Linode + CloudFlare Business依旧被DDoS攻击导致IP被挂空了,现在不知道是为什么。
CF说流量并没有全部从CF通过,又让我做了些设置,有什么可能性通过PHP或者MYSQL漏洞得到了我的服务器的真实IP而绕过了CF吗?
如果我通过iptables限制服务器只允许来自CF的IP访问,这样能成功block掉攻击IP吗?
求解。。。。
1
aveline 2015-02-22 10:10:54 +08:00 1
CF 里面是不是有条 direct 的记录 ...
|
2
oott123 2015-02-22 10:11:59 +08:00 via Android
当然,如果你有 CDN ,你需要在源服务器上配置只接受来自 CDN 的流量。
|
3
a2z 2015-02-22 10:12:10 +08:00
你加上cdn之后没有换源ip,这样cdn根本没有用,对方还按照旧的ip打。
限制只允许cf的ip访问对于ddos来说也没有用,因为流量还是到达了你的服务器,只是你自己选择不接受而已。 |
4
Yamade 2015-02-22 10:13:01 +08:00
看下日志.应该是DDOS绕过了CDN,直接到了后端IP.
建议Nginx限制下,贴上日志看下.染过CloudFlare一定有规则. |
5
aveline 2015-02-22 10:15:18 +08:00
发邮件的时候暴露了 IP,换用 Mailgun 或者 Sendcloud 什么的试试?或者把邮件服务器单独出来?
Return-Path: <www-data@li***-***.members.linode.com> Received: from li***-***.members.linode.com (li***-***.members.linode.com. [106.185.52.*]) by mx.google.com with ESMTPS id do3si16706383pbb.158.2015.02.21.18.12.13 for <[email protected]> (version=TLSv1 cipher=RC4-SHA bits=128/128); Sat, 21 Feb 2015 18:12:13 -0800 (PST) Received-SPF: none (google.com: www-data@li***-***.members.linode.com does not designate permitted sender hosts) client-ip=106.185.52.*; Received: from li***-***.members.linode.com (localhost [127.0.0.1]) by li***-***.members.linode.com (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id t1M2CAut010538 for <[email protected]>; Sun, 22 Feb 2015 10:12:10 +0800 Received: (from www-data@localhost) by li***-***.members.linode.com (8.14.3/8.14.3/Submit) id t1M2CAYa010537; Sun, 22 Feb 2015 10:12:10 +0800 Date: Sun, 22 Feb 2015 10:12:10 +0800 Message-Id: <201502220212.t1M2CAYa010537@li***-***.members.linode.com> |
6
aveline 2015-02-22 10:16:47 +08:00
另外 DDoS 在 iptables 限制其实没多大用 ... 流量都已经到你主机了才 drop =_=
|
10
Jack OP @aveline 没有用邮件服务。。。被攻击的网站是subhd.com。。。
|
11
Jack OP PS:有没有自带防御的大陆访问速度还不错的国外主机服务呢?!。。这么搞实在太麻烦了。。。贵点也没关系
|
12
elgoog 2015-02-22 10:52:28 +08:00
不会是subhd吧
|
13
oott123 2015-02-22 10:54:11 +08:00 via Android
|
14
aiguozhedaodan 2015-02-22 11:01:40 +08:00 via Android
这你应该去hostloc.com问
|
15
typcn 2015-02-22 11:02:05 +08:00
是不是哪个子域名暴漏的 IP ?或者是 @ 裸域?
DDoS 攻击的大多数都是没有技术的,不会去挖掘你的程序漏洞的,甚至他们连修改 host header 都不会。 |
16
binarymann 2015-02-22 11:03:49 +08:00
@elgoog 估计是...搞不明白为什么这么好一个字幕站不找谁不惹谁会被攻击呢?
|
17
Jack OP @Yamade 173.245.62.109 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE HTTP/1.1" 200 7030 "http://subhd.com/search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
199.27.133.22 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 302 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)" 173.245.48.137 - - [21/Feb/2015:20:53:02 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 199.27.128.230 - - [21/Feb/2015:20:53:03 +0800] "GET /search/Nightcrawler HTTP/1.1" 200 7215 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36" 141.101.85.52 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 173.245.62.76 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2221541233.jpg HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" 173.245.48.81 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e7%8b%bc%e5%9b%be%e8%85%be/ HTTP/1.1" 200 3462 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729)" 173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 8192 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)" 108.162.222.225 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2201863327.jpg HTTP/1.1" 200 6053 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" 199.27.128.220 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4448 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" 173.245.48.125 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36" 108.162.222.222 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7316 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.111 Safari/537.36" 173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 12288 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)" 173.245.62.151 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36" 173.245.48.80 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)" 173.245.48.137 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4321 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 199.27.133.28 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 200 4662 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)" 108.162.215.131 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 718; .NET CLR 2.0.50727; AskTbAVR-IDW/5.15.2.23268; youxihe.1647)" 108.162.222.141 - - [21/Feb/2015:20:53:03 +0800] "GET /d/6533054 HTTP/1.1" 200 3933 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36" 173.245.62.121 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7202 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0" |
19
cnbeining 2015-02-22 11:38:55 +08:00
1. Linode不抗D。去找OVH先。
2. 换IP Range,飞走。 3. 关闭一切的直接访问途径。一般泄露的是邮件等地方。把他们拎出去,换其他服务,或者换别的机器。 4. 确定你的主IP不暴露后,去CF把安全调到最高吧。 5. nginx设置下,只接受CF的IP段,避免扫描大法。 你的防御比他的攻击便宜,等等就是了。 |
20
Yamade 2015-02-22 11:50:29 +08:00
@Jack 你给的日志看都是正常的访问IP,这些IP来自 CloudFlare. 能不能贴下绕过 CloudFlare 的访问IP日志.
|
21
Yamade 2015-02-22 11:53:06 +08:00
```
netstat -tan| sed -e '1,2d'| awk '{print $5}' | awk -F: '{print $1}' |sort|uniq -c |sort -nr |more ``` 这条命令看下哪些IP不正常. |
23
Yamade 2015-02-22 12:02:19 +08:00
@Jack 攻击者的ip日志木有?用了CF 还要加点nginx配置才好用.我也被攻击过.也买过cf200 刀的服务.建议你看下日志.找出规律
|
25
chinvo 2015-02-22 12:46:53 +08:00
樓主,我的建議是這樣的。
1、在iptables上限制。如果你嘗試用nginx限制攻擊者,你會發現負載一點都沒有降低。 2、可以添加 nginx-naxsi,配合fail2ban使用 3、趕緊換個ip,郵件用第三方 4、可能的話還是換aws之類的雲服務,防火牆槓槓的 |
26
maye696 2015-02-22 12:56:26 +08:00 via iPhone
被广电总局攻击了?
|
27
cnbeining 2015-02-22 12:58:00 +08:00
|
29
yov123456 2015-02-22 13:49:07 +08:00 via iPhone
azure可以
|
30
wezzard 2015-02-22 15:02:38 +08:00
OS X 下訪問變亂碼了……
|
32
evlos 2015-02-22 16:36:12 +08:00
楼主你是在被 DDoS 之后才上的 CDN 么?那之后有换服务器的 IP 么?
|
34
maoyipeng 2015-02-22 16:39:09 +08:00
试试httpguard
|
36
Yamade 2015-02-22 17:24:13 +08:00
建议楼主测试下Azure国际版,有一次微软中国的客服和我说过国际版有这样的防护功能,国内版本的没有.
|
37
diguoemo 2015-02-22 20:49:18 +08:00
还是没回复啊大哥。。
|
39
62900015 2015-02-22 20:59:24 +08:00
|
42
cnbeining 2015-02-23 01:36:22 +08:00
@Jack CF是不会直接暴露IP的,除非你乱设定DNS等作死。
既然换IP还被揍,考虑是不是邮件或者CNAME或者任何其他记录导致了IP被泄露。是不是已经换用Mailgun之类的东西代发邮件了? CF应该不会回源你的IP,毕竟你交保护费了。。。 你记录IP的确不对,但是的确有帮助。仔细看看日志,是不是有东西绕过CF了?是不是nginx设置了白名单,仅有CF的IP段可以访问? 是不是已经将CF的安全级别调成“I'm under attack”了?这样CF会严密监视你的流量。 |
43
xuhaoyangx 2015-02-23 05:16:38 +08:00
@aveline 对了看到发邮件,linode我明明没有装mail有关的组件,话说 怎么dz wordpress都能发得出邮件出来。就linode可以
|
44
Jack OP @cnbeining all done .. 还是被攻击,只能认为是php程序漏洞导致得到了真实IP,但是不知道是怎么实现的
|
45
msg7086 2015-02-23 08:21:38 +08:00
@Jack 有兴趣Q上一起探讨问题吗?可Q霸气无二义就领②②
或者我们可以开个讨论组或者群把贝宁蜀黍一起拉进来看看怎么搞。 DDoS还是很好抗的。 如果你数据库用innodb的话还可以galera搭集群做镜像站玩。 |
49
Jack OP @jasontse 所以发了此贴求查漏洞 http://www.v2ex.com/t/172255
|
52
cnbeining 2015-02-23 09:48:48 +08:00
|
53
msg7086 2015-02-23 10:01:31 +08:00
刚刚群里已经讨论出个可行方案了。如果有兴趣可以敲我们,没兴趣就算了。
|