V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
realpg
V2EX  ›  程序员

感觉,我可能发现了阿里云的一个秘密

  realpg ·
realpg · 2018-05-12 23:27:20 +08:00 · 25461 次点击
这是一个创建于 2388 天前的主题,其中的信息可能已经有所发展或是发生改变。

我维护了几十个公立医院的官方网站服务器……

它们都在阿里云

每个网站一个 ECS,每个网站独立账号,医院主体注册方便发票直接开给他们

所有网站附件都在七牛,静态资源都在 cdn 服务器,webserver 只提供动态内容

大部分都是单一 ECS,25Mbps 峰值带宽,按流量计费,预存一点钱,按流量计费,流量都很少,都是纯动态内容 少量医院不接受这种预存费之后消费开发票的,采用 5Mbps 带宽方式购买

大部分网站 5000~8000 个新闻动态输出的 HTML 页(超过一万就会删除一部分到归档数据 基本维持这个范围)

每个页基本净 HTML 文件大小 15KB-30KB

不知道从哪天起,我这里管理的所有阿里云的按流量计费的医院网站,都开始流量暴涨,以前 10G 流量包一般可用 5 个月,现在可用两天……

经过深入分析日志,所有的按流量计费的 ECS,都有大量的 UA 为 360Spider 的 bot,24 小时疯狂刷全站,每小时都把我的整站几千个新闻刷一遍……

而通过跟 360 搜索提供的资料比对,这些 BOT 的 UA 跟 360 官方 UA 不一致,且 IP 段不在 360 官方公布的爬虫 IP 段范围

它们的 IP 地址: 106.120.161.0/24 111.206.52.0/24 111.206.59.0/24 36.110.211.0/24

而我的这么多同样体量的医院网站里面,所有按带宽计费的都没出现这情况……

所以,我可能得出了一个可怕的结论:

避免被告索赔千万,算了,我啥结论也没得出,大家散了吧

131 条回复    2020-01-26 09:53:01 +08:00
1  2  
DZBM
    101
DZBM  
   2018-05-14 08:16:51 +08:00 via Android   ❤️ 1
公有云的蛋糕还大着呢,用这种手段能搞几个钱?关键是风险很大也不可持续。楼主说的也是有理有句的,坐等官方给个说法。
DZBM
    102
DZBM  
   2018-05-14 08:21:17 +08:00 via Android
公有云蛋糕还大着呢,这种手段能搞几个钱?风险大收益小还不可持续。不过楼主说的有理有据的,坐等官方给个说法。
recursion917
    103
recursion917  
   2018-05-14 08:51:03 +08:00 via iPhone   ❤️ 2
如果不是阿里云,怎么解释用固定带宽的没有出现这种情况,不是内 部人员怎么知道用的什么套餐
hhacker
    104
hhacker  
   2018-05-14 09:14:32 +08:00
我只是觉得流量包挺贵的 如果有突发流量会比用固定带宽贵
19zero
    105
19zero  
   2018-05-14 10:05:23 +08:00
查了一下,应该是上面有人说的 360 态势感知,为什么总是你的这几台机器,个人觉得是跟广告投放有关吧,是不是近期做了一些百度、360 的 SEO ?
EricFuture
    106
EricFuture  
   2018-05-14 10:27:50 +08:00
可怕
einvince
    107
einvince  
   2018-05-14 10:27:57 +08:00
前阵子机器有入侵,有设置安全组,入侵后啥也不干,就占 75 的 cpu,然后 aliyun 让买高防
xiaoji24
    108
xiaoji24  
   2018-05-14 10:32:51 +08:00
厉害了,LZ 给个具体 IP 出来,大家钻研一下啊~
USNaWen
    109
USNaWen  
   2018-05-14 10:34:45 +08:00
有点意思啊。。。谁家爬站还能看计费类型的。
id4alex
    110
id4alex  
   2018-05-14 10:36:35 +08:00
问下, 服务器 IP 端是不是不一样啊
nullcoder
    111
nullcoder  
   2018-05-14 10:47:46 +08:00
@ibolee 可能你没收到过感谢,感谢会有消息提醒,block 没有
ibolee
    112
ibolee  
   2018-05-14 10:53:43 +08:00
@nullcoder 我要表达的是关于心态的疑问。

为什么表扬的时候不表达出来让大家知道呢?为什么批评( block )的时候却要说出来自己在批评( block 对方)了呢。

与功能 /通知无关。
lq007
    113
lq007  
   2018-05-14 11:19:23 +08:00
有可能用了安全漏洞检测的产品,前不久发生过医院被黑的事情。
nodeath
    114
nodeath  
   2018-05-14 11:35:57 +08:00
你可以再切会带宽计费看看情况,这种情况也有可能是政策原因,今年开始部分地区对网页防篡改抓的很严
hayao650
    115
hayao650  
   2018-05-14 12:30:33 +08:00
哈哈哈,我们家也有诡异的问题,前阵子两台服务器差不多固定间隔时间 CPU 飙升,检查自己代码很长时间,似乎没有发现什么会固定执行的东西,然后升级了一台的配置,一下子就清净了
realpg
    116
realpg  
OP
   2018-05-14 12:48:49 +08:00
又冒出来新的 IP 段了

106.120.160.75 - - "GET /display_article/**** HTTP/1.1" 200 7917 "-" "Mozilla/5.0 (Windows NT 6.2; rv:30.0) Gecko/20150101 Firefox/32.0 360Spider"
incompatible
    117
incompatible  
   2018-05-14 12:49:58 +08:00 via iPhone
@recursion917
1. 巧合
2. 想知道是不是固定带宽不用非得内部人员吧。让你测一下某个 ip 的出网带宽你难道不知道如何测?
zhangdawei
    118
zhangdawei  
   2018-05-14 13:11:03 +08:00   ❤️ 1
阿里云犯不着挣这点钱吧...
zhangdawei
    119
zhangdawei  
   2018-05-14 13:11:48 +08:00
而且这事儿挣得一点钱和万一曝光出来巨大的新闻作用,不成正比,不太相信
odirus
    121
odirus  
   2018-05-14 13:21:12 +08:00   ❤️ 1
@odirus #120 如果真如你说的是监守自盗的话,应该不会主动攻击教育网的 IP 吧。倒是感觉这台机器就是为了攻击别人而存在的。
yungen
    122
yungen  
   2018-05-14 21:04:14 +08:00   ❤️ 1
您好,我是 ECS 的产品同学。阿里云提供了云监控以从多个维度监控云服务器 ECS 实例的运行状况, 可以通过帮助文档中实例监控 https://help.aliyun.com/document_detail/25482.html 进行查看,从而判断按流量计费 /按带宽计费两种计费方式的实例实际流量消耗情况。建议您可以配置安全组规则拒绝爬虫源 IP 地址,针对您所提及的 IP 段不是阿里云的,这些爬虫也并非阿里云发起,阿里云愿意协助用户查实,同时也可以通过控制台提交工单给我们售后工程师,协助您排查对应流量产生等相关问题。
realpg
    123
realpg  
OP
   2018-05-14 23:04:34 +08:00
封了他的 IP 段之后,又来新的了
134.73.7.0/24

UA: "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider(compatible; HaosouSpider;)"
xiaocaibaozi
    124
xiaocaibaozi  
   2018-05-14 23:16:05 +08:00 via Android
原来还有这种。。。没有 1000 万。
skylancer
    125
skylancer  
   2018-05-15 00:00:17 +08:00
@goodryb 嗯,照你这个逻辑,TP-Link 不差钱,就不该把产品全转 vxworks,是吧
uuair
    126
uuair  
   2018-05-15 10:48:06 +08:00
gnuth
    127
gnuth  
   2018-05-18 11:16:10 +08:00
楼主,这边是数字公司另外一个部门的。我们的产品会对客户授权的网站做安全监测,可能与这流量有关。能否联系下? 3-9-6-0*6*7-2*0^2 (w-e-c-h-a-t,纯数字),感谢。
realpg
    128
realpg  
OP
   2018-05-18 11:17:57 +08:00
@gnuth #127
晚点跟您联系 这两天在铺设一条 600 公里的长途光缆忙的脚不沾地
暂时已经永久屏蔽 IP 方法临时解决问题了
gnuth
    129
gnuth  
   2018-05-18 11:26:57 +08:00
@realpg 好的,很抱歉给你造成麻烦,也不希望给阿里云带来误解。

我们的客户中有不少医院,需要监测黑链挂马之类的问题,所以会比较频繁地爬取整个站点。
不过我们的 UA 没有 “ HaosouSpider ”,134.73.7.0/24 也不是我们的出口 IP 段。应该是有多个产品在同时监测。
realpg
    130
realpg  
OP
   2018-05-18 11:48:44 +08:00
@gnuth #129
就 HaosouSpider 而言,这个 IP 在我的多个实例中可以复现,当我封锁了全部已经找到的 360Spider (不包含网上公布的 42 开头的与官网公布的 Search spider 完全一致 UA 的那种)之后,大约过 6~8 小时就会出现 134.73.7.x 的 IP 挂着 360Spider(HaosouSpider)的访问,访问流量特征同之前屏蔽的那部分,包括采集周期,间隔等特征高度一致,与其他 Spider 的屏蔽也有时间相关性
dre4m
    131
dre4m  
   2020-01-26 09:53:01 +08:00
阿狸云分析自己客户的,如果是小水管 VPS,就 DD 你,配合黑洞玩的欲哭无泪,想逼你买高防 IP。如果流量那种 VPS 或虚机就 CC 你,让你买流量包。6 的很,监守自盗,谁用谁知道。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1187 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 22ms · UTC 23:42 · PVG 07:42 · LAX 15:42 · JFK 18:42
Developed with CodeLauncher
♥ Do have faith in what you're doing.