IP为113.116.6.6的同学,我有话想对你说

背景

今天上午我在工作的时候偶然想起来博客所在的vps可能需要续费了,登录到idc的管理页面忽然发现我的小水管VPS状态为“暂停”,仔细查看到期时间为2018年10月多,这也还没到期,奇了怪了,按照惯例idc应该在操作的时候会发送提醒邮件给我,于是我找到了这样一封邮件

火狐截图_2018-08-15t04-43-49.365z.png - 大小: 33.57 KB - 尺寸: 810 x 328 - 点击打开新窗口浏览全图
邮件的大概意思是我的服务器被暂停了,暂停的理由用黑色加粗字体标出“资源滥用:超出15%以上”,邮件发送时间为当地的2018年8月15号0点06分,也就是国内时间2018年8月15号12点06分,时差12个小时。

这样看来应该是服务器某些应用出现了异常导致,但是现在服务器处于暂停状态,我又无法登录服务器,无法查明具体原因,所以只能发Ticket过去寻求帮助。

于是博主我又一次施展32级基础英语能力与idc进行沟通,idc那边提供7×24小时服务,虽然是凌晨,但是idc依然在10分钟后回复了我

火狐截图_2018-08-15t06-52-53.919z.png - 大小: 16.31 KB - 尺寸: 685 x 294 - 点击打开新窗口浏览全图
idc告知我监控系统显示我的服务器负载过高,已经超出15%,如果我已经准备好查明原因,他们将立刻恢复服务。

我回复Ticket说已经准备好了。

说实话,idc的应急响应还是很到位的,大概5分钟后我的服务器恢复到正常状态,同时idc提示我尽快解决问题,否则还是会被监控系统自动暂停,并且告知他们出现的具体是什么问题他们好做记录。

火狐截图_2018-08-15t06-58-38.408z.png - 大小: 16.23 KB - 尺寸: 817 x 266 - 点击打开新窗口浏览全图
此时已经距离IDC发出暂停警告邮件已经过去了1个小时。

排查

在服务器恢复正常状态后我迅速登录到服务器,top命令显示CPU占用已经达到80%,出现大量的httpd进程,因为我的博客是跑在apache下面,所以判断应该是博客有大量的访问请求导致。

为了防止服务器再次被拉黑,所以我先暂停了nginx服务,让CPU先降下来,然后告知IDC我的服务器疑似遭到攻击。

接下来我就得看看是来自哪里的攻击,拖出日志到本地,根据web访问日志基本上搞清楚了是什么问题,下面就稍微做个分析。

复盘

首先,在日志文件里面找到了ip为113.116.6.6大量连续的访问记录,确定了嫌疑IP是113.116.6.6。

根据访问顺序判断大概是这么个流程:

113.116.6.6 在09:45:30的时候使用IE内核浏览器打开了我博客的一篇文章,文章链接为 https://www.92ez.com/?action=show&id=23345 ,这是我在2015年8月28号发布的一篇名为 “kali linux 2.0 配置GSM Sniffer环境” 的文章,主要目的是普及GSM Sniffer的知识,当时GSM Sniffer很火的时候玩的人也很多,博主也是其中一个,为了方便大家所以写的一个科普文。

火狐截图_2018-08-15t07-16-09.621z.png - 大小: 510.92 KB - 尺寸: 973 x 581 - 点击打开新窗口浏览全图
可能是我的博客在IE内核下面的体验不够好,这位同学在09:45:36的时候切换到使用Chrome内核的猎豹浏览器重新打开了这篇文章。

仅仅过了不到1分钟,这位同学在09:46:19打开了另外一篇文章,文章链接 https://www.92ez.com/?action=show&id=57,这一篇文章的标题“My GSM Sniffer Kit come soon.”,主要是展示了博主我在玩GSM Sniffer时候的一些成果

火狐截图_2018-08-15t08-32-17.481z.png - 大小: 845.08 KB - 尺寸: 973 x 540 - 点击打开新窗口浏览全图
这篇文章发布于2015年3月22号,距离现在应该3年半了。

一分钟后,也就是09:47:26,这位同学又打开了一篇文章,文章链接 https://www.92ez.com/?action=show&id=76,是一篇发布于2015年6月30号,标题为“玩osmocom-bb需要哪些技能?【翻译】”的文章,这篇文章翻译自osmocom.org官方网站,主要是为了说明玩osmocombb需要有一定的基础知识,否则会碰到很多问题。

火狐截图_2018-08-15t08-33-13.137z.png - 大小: 83.01 KB - 尺寸: 963 x 581 - 点击打开新窗口浏览全图

在09:47:56的时候,这位同学又打开了一篇文章,文章链接 https://www.92ez.com/?action=show&id=23458, 是一篇发布于2017年10月24号,标题为“Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”的文章,这篇文章的目的是为了纠正官方网站结构变更导致的资源缺失问题。

火狐截图_2018-08-15t08-33-51.500z.png - 大小: 131.54 KB - 尺寸: 954 x 615 - 点击打开新窗口浏览全图

不得不说,这位同学看文章的速度真是快,一分钟看一篇。

在09:48:21的时候,这位同学回到了首页,然后在浏览了10秒钟后打开了 https://www.92ez.com/?action=show&id=23459 这篇文章,标题为 “博客新增音乐功能的说明”

火狐截图_2018-08-15t08-34-36.913z.png - 大小: 54.15 KB - 尺寸: 954 x 452 - 点击打开新窗口浏览全图
我想应该是这位同学手抖点错了吧,他应该是要点 “Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”才对。

十分钟后,也就是10:01:44,这位同学直接打开了这个链接 https://www.92ez.com/config.php ,很可惜,这个链接打开是一片空白,啥也没有,但是这位同学的思路很敏锐,config.php这个名字很特殊,看来这位同学对php是略知一二的,因为网站的配置信息一般都写在这里面,说不定能爆出点儿啥,而且很多php框架都有这个文件,万一碰到了通用漏洞呢,岂不是美滋滋,但是很遗憾,没发现有价值的东西。

很快,这位同学又发现了新的链接 https://www.92ez.com/attachment.php 这个链接是用来显示附件的,直接打开也是提示跳转首页,没卵子用

uuuuuuuuuuuuuu.jpg - 大小: 30.67 KB - 尺寸: 580 x 236 - 点击打开新窗口浏览全图

可能是因为这位同学啥也没拿到,一怒之下祭出了他珍藏的扫描器,一阵狂扫

微信图片_20180815155503.png - 大小: 102.21 KB - 尺寸: 815 x 788 - 点击打开新窗口浏览全图
在10:14:37的时候这位同学使用浏览器访问了https://www.92ez.com/install.php,这个文件是很多开源的php系统常见的安装文件,有的安装完忘记删也会存在漏洞,所以这位同学以为我博客有这个漏洞,结果还是啥也没有。

在10:17:26的时候,这位同学直接使用目录的方式访问install https://www.92ez.com/install 也没有反应,然后又打开了 https://www.92ez.com/install/install.php 结果还是一样,又打开了 https://www.92ez.com/install/install.sql 结果依然跳转到首页,哎呀,真糟糕,啥也没有拿到。

这位同学使用了两个不同的扫描器进行扫描,一个是扫描路径的,一般是用来判断cms的类型,一种是扫描备份文件,这种扫描一直持续到12:06:15,这个时候IDC监控发现异常并且对我的服务器执行了暂停操作。

经过将近1个小时的沟通后,也就是13:01:21服务器恢复,这位同学的扫描器还在扫,大概是去睡午觉了吧。

一直到13:03:09的时候我手动关闭了nginx服务。

后记

虽然我不知道这位同学到底有何意图,但是从你打开的文章来看,您应该是对osmocombb很有兴趣,是因为最近短信诈骗太火了吗,导致您的认为根源在于我的博客?觉得要伸张正义为民除害对吗?

那拜托您仔细看好了,我所有的文章都是在讨论技术问题,并没有教人如何犯罪,博主我本人也非常痛恨拿技术犯罪的人,但是您真的没有必要对我512m内存的小水管vps动手,这对您没好处,您是想从我这拿走什么呢?有什么值得您拿呢?都是一些技术文章,而且都是公开的,真的没有东西。

您用着您的win7,跑着网上随便都能下载到的扫描器,如果你认为这就是所谓的黑客技术,这就是所谓的伸张正义,这样就能炫耀您的技术,那么呵呵,您还是好好的把书念好,好吗?

最后还是附上一个大概的定位,不管准不准确

火狐截图_2018-08-15t08-24-32.033z.png - 大小: 46.08 KB - 尺寸: 338 x 318 - 点击打开新窗口浏览全图
火狐截图_2018-08-15t08-24-06.938z.png - 大小: 44.14 KB - 尺寸: 335 x 318 - 点击打开新窗口浏览全图
深圳高级中学,一听就很高级

补充

巧的是在博客恢复之后不到半个小时,也就是 14:50:14 ,遭到了来自江苏南京电信网段为 180.97.35.*的目录扫描,不过这个看起来更像是一些安全网站的例行扫描,也就无所谓了

屏幕截图2018081500.png - 大小: 646.95 KB - 尺寸: 1572 x 900 - 点击打开新窗口浏览全图

本文链接:https://www.92ez.com/?action=show&id=23471
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 我是如何将酒店的路由器强制绑定到我的账号下

访客评论
#1
回复 ryu 2018-08-17, 5:19 AM
我也在学写博客,但是对于网站安全是很少懂。您博客下还没有人回复,所以我先回复了。有什么好的建议学到网站维护吗。
#2
回复 H 2018-08-18, 6:57 PM
中奖了,也许要的就是删除的那些东西,哈哈哈。。。说不定还是个小姐姐
#3
回复 访客评论 2018-08-18, 8:16 PM
这个好像还行啊,我拿扫面器扫了很久,你那边没啥问题,难道是我的字典不如人家的牛逼吗?
#4
回复 访客评论 2018-08-18, 8:18 PM
你可以加个开源ngx-lua-waf,然后加个redis,实现自动拉黑。或者直接走cdn吧
#5
回复 白小白 2018-09-05, 2:20 AM
怎么联系博主,我的QQ215331809
#6
回复 aa 2018-09-07, 12:21 PM
博主你的淘宝店链接有吗
#7
回复 hh 2018-09-12, 1:11 AM
这对方是深圳福田公安局
#8
回复 S1NH 2018-09-15, 1:16 AM
第一次参加某ctf比赛的时候,拿出扫描器一通狂扫。
接着我们队就被警告了>_<
发表评论

评论内容 (必填):