网络人

记一次阿里云ECS被DDOS攻击100+G流量

Kwok: 2020-05-11 15:05:47 点击:24 评论: 0

突然收到一条阿里云发来的信息:

为了保障服务器的稳定运行,您的IP:139.196.95.XX实例名称:网络人 已启动限流保护措施,阈值与产品规格相关,您可以登陆云盾控制台调整清洗阈值。

发现网站打不开,SSH也无法登陆,使用了控制台重启命令,没有任何反应,开始方了!!

发现可以通过控制台提供的SSH登陆查看。开始我以后服务器出现了错误,因为我在后台看到了CPU与带宽有一个瞬间峰值,明显的不正常,以后服务器被黑掉了。

通过查看历史命令发现了2条:

MAKRER=SHOW_LOCALE;printf $MAKRER""; locale; MAKRER=SHOW_LOCALE;printf $MAKRER"";
CHECK_TYPE=SHELL; echo "INFO=${CHECK_TYPE} PID=$$ PPID=$PPID TTY=$(tty) SHELL=$0 HOME=$HOME PWD=$PWD| CHECK_SHELL_END"

这是什么鬼,尝试运行了一下:

SHOW_LOCALELANG=en_US.UTF-8
LANGUAGE=
LC_CTYPE="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_PAPER="en_US.UTF-8"
LC_NAME="en_US.UTF-8"
LC_ADDRESS="en_US.UTF-8"
LC_TELEPHONE="en_US.UTF-8"
LC_MEASUREMENT="en_US.UTF-8"
LC_IDENTIFICATION="en_US.UTF-8"
LC_ALL=

INFO=SHELL PID=1673 PPID=1665 TTY=/dev/pts/1 SHELL=-bash HOME=/root PWD=/root| CHECK_SHELL_END

只是得到了相关的信息,并没有什么特别的。后来多次尝试发现这就是使用了阿里云控制台重启功能生成的命令。也不知道有什么作用。

 

然后我提交了工单询问情况,阿里云的人工20分钟了都没有任何回复,我又点了一下催单,大约5分钟后,告诉我如下:

您好, 查看服务器进入黑洞, 默认的黑洞时长是2.5小时,黑洞期间不支持解封。实际黑洞时长视攻击情况而定,从30分钟到24小时不等。黑洞时长主要受以下因素影响:
攻击是否持续。如果攻击一直持续,可能重新触发黑洞机制,黑洞时间将会延长。
攻击是否频繁,如果某用户是首次被攻击,黑洞时间会自动缩短;反之,频繁被攻击的用户被持续攻击的概率较大,黑洞时间会自动延长。

开始搞不懂什么鸟黑洞,然后根据链接看了一下原来是被Ddos攻击,自动被隔离了。由于是第一次被攻击,大约1小时后就解封了。

正常情况下我都没有开启网站日志的习惯,所以不知道攻击来源是什么地方。有过这次教训后,马上开始了访问日志。看看是哪个鸟人没事来攻击!

我通过aliyun的控制台可以看到攻击的部分信息:

  1. 云盾DDoS防护产品控制台。
  2. 资产中心页面上方选择资产所在地域。
  3. 其他。
  4. IP。
    实例IP搜索目标实例。

101G来攻击我这个小站,是不是大炮打蚊子啊,也不知道这是怎么想的!

本文地址:http://m.neter8.com/web/69.html
标签:DDOS攻击

本站推荐阅读

热门点击文章