感觉,我可能发现了阿里云的一个秘密

2018-05-12 23:27:20 +08:00
 realpg

我维护了几十个公立医院的官方网站服务器……

它们都在阿里云

每个网站一个 ECS,每个网站独立账号,医院主体注册方便发票直接开给他们

所有网站附件都在七牛,静态资源都在 cdn 服务器,webserver 只提供动态内容

大部分都是单一 ECS,25Mbps 峰值带宽,按流量计费,预存一点钱,按流量计费,流量都很少,都是纯动态内容 少量医院不接受这种预存费之后消费开发票的,采用 5Mbps 带宽方式购买

大部分网站 5000~8000 个新闻动态输出的 HTML 页(超过一万就会删除一部分到归档数据 基本维持这个范围)

每个页基本净 HTML 文件大小 15KB-30KB

不知道从哪天起,我这里管理的所有阿里云的按流量计费的医院网站,都开始流量暴涨,以前 10G 流量包一般可用 5 个月,现在可用两天……

经过深入分析日志,所有的按流量计费的 ECS,都有大量的 UA 为 360Spider 的 bot,24 小时疯狂刷全站,每小时都把我的整站几千个新闻刷一遍……

而通过跟 360 搜索提供的资料比对,这些 BOT 的 UA 跟 360 官方 UA 不一致,且 IP 段不在 360 官方公布的爬虫 IP 段范围

它们的 IP 地址: 106.120.161.0/24 111.206.52.0/24 111.206.59.0/24 36.110.211.0/24

而我的这么多同样体量的医院网站里面,所有按带宽计费的都没出现这情况……

所以,我可能得出了一个可怕的结论:

避免被告索赔千万,算了,我啥结论也没得出,大家散了吧

25125 次点击
所在节点    程序员
131 条回复
id4alex
2018-05-13 11:13:18 +08:00
专业
snsd
2018-05-13 11:28:28 +08:00
话说楼主怎么确定掩码范围的?这个比较好奇
ibolee
2018-05-13 11:33:59 +08:00
为什么 v 站已 Block 会有人在回复里说,已发送感谢却没人在回复里说?

-------------

楼主,我已经向你发送了感谢,不谢!
realpg
2018-05-13 11:34:04 +08:00
@snsd #62
并不是一个 IP 地址啊 几百个并发一堆 IP 地址一起上
vjnjc
2018-05-13 11:38:27 +08:00
哈哈谢谢楼主分享~
falcon05
2018-05-13 12:05:52 +08:00
可以,这很套路
panlilu
2018-05-13 12:25:00 +08:00
感觉楼主的分析还是有理有据的……
feather12315
2018-05-13 12:29:37 +08:00
@huhu3312 #21 一千万这个具体事件忘了。大意就是,有个 v2er 在这里发了个有关阿里的帖子,叙述了阿里的恶意行为,然后被阿里告至了法院,索赔一千万。
des
2018-05-13 12:31:38 +08:00
划重點
“所有按带宽计费的都没出现这情况”
a1kaid
2018-05-13 12:40:49 +08:00
认为与阿里云无关,根据楼主提供的几个 ip 段 google 了一下,有如下发现
以“ 106.120.161 360 ”为关键字,发现很多在“北邮人论坛“里的 360 招人的帖子
针对” 111.206.52.0/24 “这个 ip 段,发现
http://www.bjnpsh.com/comment_show.asp?id=1&classid=1&page=50
http://www.bjnpsh.com/comment_show.asp?id=1&classid=1&page=84
http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36275
很像扫描注入的,第三个网页里还带着 http://webscan.360.cn 的字样,发现是 360 扫漏洞的一个服务。联想楼主#24 描述的访问 pattern,感觉和扫漏洞确实像?
"111.206.59.0/24"这个 ip 段和上一个类似
http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36693&pPage=64
http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36693
扫描注入+360 字样
" 36.110.211.0/24"同上
http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36499

总之不太相信是阿里云的套路,360 有个扫描漏洞的网站很可疑,但也不能排除有人顶着 360 的帽子去注入(至少楼主不是第一个受害者)。
a1kaid
2018-05-13 12:45:50 +08:00
这里还有一篇腾讯云的文章,涵盖了楼主给出的 4 个 ip 段中的 3 个
https://cloud.tencent.com/developer/article/1088548

不过#59 里给出的 ip 什么都没有发现
realpg
2018-05-13 13:04:15 +08:00
@a1kaid #70

这些 IP 正常归属 360 的态势感知,之前已经有人说了
现在的问题有两点,第一,这些 IP 是不是真的,至少访问发生的时候是不是真的
第二,69 楼的重点,为啥他只扫我的流量计费的机器,这里面有啥 py 交易么
realpg
2018-05-13 13:07:20 +08:00
@a1kaid #71
59 的是我屏蔽了所有顶楼说的 IP 之后大约 8 个小时,出现的新的,而且变更了 UA,以前的 UA 就是 MOZILLZ 5.0 FIREFOX 39 360SPIDER 没有别的
应该是一种 failsafe 这个 IP 段的 UA 都不一样 而且没有之前那几个 IP 段那么多机器 就几个机器


另外针对 70 楼 我这个检查了 没有注入参数 就是单纯的 http get 访问正常 URL

这是一个我自己低性能优化的系统,最终的服务程序已经完全内存化了,无法 handle 任何构造请求,稍微多一点参数进来直接就丢 400 错误了几个字节 不会有每个真正的 15KB 每个访问的流量
Fri
2018-05-13 13:20:15 +08:00
@ibolee “ Block ”的话对方不会收到系统通知,“感谢”的话对方是可以收到通知的。
pisser
2018-05-13 13:21:02 +08:00
就像电信插广告一个门道,出事也没说不是我干得。
gejigeji
2018-05-13 13:38:56 +08:00
对 ip 进行访问次数限制
wql
2018-05-13 13:49:14 +08:00
@a1kaid 卧槽,我看到了什么网站……
这个漏洞我会反馈给那所学校的,毕竟这个漏洞会影响不止一所学校,谢了。
Jzer0n
2018-05-13 14:10:17 +08:00
有人和我说: 现在实实在在做事的不管是人或者商家, 活的都没有套路的来得滋润.

你又没有一千万那么多钱, 有些事情你总不能说得那么明白的对吧?

一个很浅白的例子:

警察和治安每天巡查辖下尽量保证安全是正常的, 但如果他 24 小时不断的光临你家, 你自己是清白的正当人家, 他这样做的目的是什么?
jadec0der
2018-05-13 14:16:04 +08:00
这…只扫流量计费的也太可疑了,真的是全部都这样没有例外吗?

虽然不太相信阿里会做这种事,但如果统计显著的话也算是实锤了
CRVV
2018-05-13 14:18:46 +08:00
如果能控制 ECS 的路由器,用假 IP 地址来访问是很容易的事情

如果能确认只攻击了流量计费机器这一点不是巧合,那么攻击者准确地知道哪些机器是流量计费的

所以犯人 必须满足两个条件
1. 能控制那些 IP 地址或者能控制路由器( 360 和 VPS 供应商)
2. 知道机器的计费方式

360 没有动机做这件事且没有渠道知道这些机器的计费方式
所以,要么是巧合,要么是 VPS 供应商干的

要验证估计也不难,如果犯人做得不够好,traceroute 或者 ping 就能确认了
如果做得足够好,把 TCP 的包都抓下来,从时间上也许能找到一些痕迹

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/454381

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX