IP为113.116.6.6的同学，我有话想对你说

背景

今天上午我在工作的时候偶然想起来博客所在的vps可能需要续费了，登录到idc的管理页面忽然发现我的小水管VPS状态为“暂停”，仔细查看到期时间为2018年10月多，这也还没到期，奇了怪了，按照惯例idc应该在操作的时候会发送提醒邮件给我，于是我找到了这样一封邮件

邮件的大概意思是我的服务器被暂停了，暂停的理由用黑色加粗字体标出“资源滥用：超出15%以上”，邮件发送时间为当地的2018年8月15号0点06分，也就是国内时间2018年8月15号12点06分，时差12个小时。

这样看来应该是服务器某些应用出现了异常导致，但是现在服务器处于暂停状态，我又无法登录服务器，无法查明具体原因，所以只能发Ticket过去寻求帮助。

于是博主我又一次施展32级基础英语能力与idc进行沟通，idc那边提供7×24小时服务，虽然是凌晨，但是idc依然在10分钟后回复了我

idc告知我监控系统显示我的服务器负载过高，已经超出15%，如果我已经准备好查明原因，他们将立刻恢复服务。

我回复Ticket说已经准备好了。

说实话，idc的应急响应还是很到位的，大概5分钟后我的服务器恢复到正常状态，同时idc提示我尽快解决问题，否则还是会被监控系统自动暂停，并且告知他们出现的具体是什么问题他们好做记录。

此时已经距离IDC发出暂停警告邮件已经过去了1个小时。

排查

在服务器恢复正常状态后我迅速登录到服务器，top命令显示CPU占用已经达到80%，出现大量的httpd进程，因为我的博客是跑在apache下面，所以判断应该是博客有大量的访问请求导致。

为了防止服务器再次被拉黑，所以我先暂停了nginx服务，让CPU先降下来，然后告知IDC我的服务器疑似遭到攻击。

接下来我就得看看是来自哪里的攻击，拖出日志到本地，根据web访问日志基本上搞清楚了是什么问题，下面就稍微做个分析。

复盘

首先，在日志文件里面找到了ip为113.116.6.6大量连续的访问记录，确定了嫌疑IP是113.116.6.6。

根据访问顺序判断大概是这么个流程：

113.116.6.6 在09:45:30的时候使用IE内核浏览器打开了我博客的一篇文章，文章链接为 https://www.92ez.com/?action=show&id=23345 ，这是我在2015年8月28号发布的一篇名为 “kali linux 2.0 配置GSM Sniffer环境” 的文章，主要目的是普及GSM Sniffer的知识，当时GSM Sniffer很火的时候玩的人也很多，博主也是其中一个，为了方便大家所以写的一个科普文。

可能是我的博客在IE内核下面的体验不够好，这位同学在09:45:36的时候切换到使用Chrome内核的猎豹浏览器重新打开了这篇文章。

仅仅过了不到1分钟，这位同学在09:46:19打开了另外一篇文章，文章链接 https://www.92ez.com/?action=show&id=57，这一篇文章的标题“My GSM Sniffer Kit come soon.”，主要是展示了博主我在玩GSM Sniffer时候的一些成果

这篇文章发布于2015年3月22号，距离现在应该3年半了。

一分钟后，也就是09:47:26，这位同学又打开了一篇文章，文章链接 https://www.92ez.com/?action=show&id=76，是一篇发布于2015年6月30号，标题为“玩osmocom-bb需要哪些技能？【翻译】”的文章，这篇文章翻译自osmocom.org官方网站，主要是为了说明玩osmocombb需要有一定的基础知识，否则会碰到很多问题。

在09:47:56的时候，这位同学又打开了一篇文章，文章链接 https://www.92ez.com/?action=show&id=23458， 是一篇发布于2017年10月24号，标题为“Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”的文章，这篇文章的目的是为了纠正官方网站结构变更导致的资源缺失问题。

不得不说，这位同学看文章的速度真是快，一分钟看一篇。

在09:48:21的时候，这位同学回到了首页，然后在浏览了10秒钟后打开了 https://www.92ez.com/?action=show&id=23459 这篇文章，标题为 “博客新增音乐功能的说明”

我想应该是这位同学手抖点错了吧，他应该是要点 “Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”才对。

十分钟后，也就是10:01:44，这位同学直接打开了这个链接 https://www.92ez.com/config.php ，很可惜，这个链接打开是一片空白，啥也没有，但是这位同学的思路很敏锐，config.php这个名字很特殊，看来这位同学对php是略知一二的，因为网站的配置信息一般都写在这里面，说不定能爆出点儿啥，而且很多php框架都有这个文件，万一碰到了通用漏洞呢，岂不是美滋滋，但是很遗憾，没发现有价值的东西。

很快，这位同学又发现了新的链接 https://www.92ez.com/attachment.php 这个链接是用来显示附件的，直接打开也是提示跳转首页，没卵子用

可能是因为这位同学啥也没拿到，一怒之下祭出了他珍藏的扫描器，一阵狂扫

在10:14:37的时候这位同学使用浏览器访问了https://www.92ez.com/install.php，这个文件是很多开源的php系统常见的安装文件，有的安装完忘记删也会存在漏洞，所以这位同学以为我博客有这个漏洞，结果还是啥也没有。

在10:17:26的时候，这位同学直接使用目录的方式访问install https://www.92ez.com/install 也没有反应，然后又打开了 https://www.92ez.com/install/install.php 结果还是一样，又打开了 https://www.92ez.com/install/install.sql 结果依然跳转到首页，哎呀，真糟糕，啥也没有拿到。

这位同学使用了两个不同的扫描器进行扫描，一个是扫描路径的，一般是用来判断cms的类型，一种是扫描备份文件，这种扫描一直持续到12:06:15，这个时候IDC监控发现异常并且对我的服务器执行了暂停操作。

经过将近1个小时的沟通后，也就是13:01:21服务器恢复，这位同学的扫描器还在扫，大概是去睡午觉了吧。

一直到13:03:09的时候我手动关闭了nginx服务。

后记

虽然我不知道这位同学到底有何意图，但是从你打开的文章来看，您应该是对osmocombb很有兴趣，是因为最近短信诈骗太火了吗，导致您的认为根源在于我的博客？觉得要伸张正义为民除害对吗？

那拜托您仔细看好了，我所有的文章都是在讨论技术问题，并没有教人如何犯罪，博主我本人也非常痛恨拿技术犯罪的人，但是您真的没有必要对我512m内存的小水管vps动手，这对您没好处，您是想从我这拿走什么呢？有什么值得您拿呢？都是一些技术文章，而且都是公开的，真的没有东西。

您用着您的win7，跑着网上随便都能下载到的扫描器，如果你认为这就是所谓的黑客技术，这就是所谓的伸张正义，这样就能炫耀您的技术，那么呵呵，您还是好好的把书念好，好吗？

最后还是附上一个大概的定位，不管准不准确

深圳高级中学，一听就很高级

补充

巧的是在博客恢复之后不到半个小时，也就是 14:50:14 ，遭到了来自江苏南京电信网段为 180.97.35.*的目录扫描，不过这个看起来更像是一些安全网站的例行扫描，也就无所谓了