背景
今天上午我在工作的时候偶然想起来博客所在的vps可能需要续费了,登录到idc的管理页面忽然发现我的小水管VPS状态为“暂停”,仔细查看到期时间为2018年10月多,这也还没到期,奇了怪了,按照惯例idc应该在操作的时候会发送提醒邮件给我,于是我找到了这样一封邮件
邮件的大概意思是我的服务器被暂停了,暂停的理由用黑色加粗字体标出“资源滥用:超出15%以上”,邮件发送时间为当地的2018年8月15号0点06分,也就是国内时间2018年8月15号12点06分,时差12个小时。这样看来应该是服务器某些应用出现了异常导致,但是现在服务器处于暂停状态,我又无法登录服务器,无法查明具体原因,所以只能发Ticket过去寻求帮助。
于是博主我又一次施展32级基础英语能力与idc进行沟通,idc那边提供7×24小时服务,虽然是凌晨,但是idc依然在10分钟后回复了我
idc告知我监控系统显示我的服务器负载过高,已经超出15%,如果我已经准备好查明原因,他们将立刻恢复服务。我回复Ticket说已经准备好了。
说实话,idc的应急响应还是很到位的,大概5分钟后我的服务器恢复到正常状态,同时idc提示我尽快解决问题,否则还是会被监控系统自动暂停,并且告知他们出现的具体是什么问题他们好做记录。
此时已经距离IDC发出暂停警告邮件已经过去了1个小时。排查
在服务器恢复正常状态后我迅速登录到服务器,top命令显示CPU占用已经达到80%,出现大量的httpd进程,因为我的博客是跑在apache下面,所以判断应该是博客有大量的访问请求导致。
为了防止服务器再次被拉黑,所以我先暂停了nginx服务,让CPU先降下来,然后告知IDC我的服务器疑似遭到攻击。
接下来我就得看看是来自哪里的攻击,拖出日志到本地,根据web访问日志基本上搞清楚了是什么问题,下面就稍微做个分析。
复盘
首先,在日志文件里面找到了ip为113.116.6.6大量连续的访问记录,确定了嫌疑IP是113.116.6.6。
根据访问顺序判断大概是这么个流程:
113.116.6.6 在09:45:30的时候使用IE内核浏览器打开了我博客的一篇文章,文章链接为 https://www.92ez.com/?action=show&id=23345 ,这是我在2015年8月28号发布的一篇名为 “kali linux 2.0 配置GSM Sniffer环境” 的文章,主要目的是普及GSM Sniffer的知识,当时GSM Sniffer很火的时候玩的人也很多,博主也是其中一个,为了方便大家所以写的一个科普文。
可能是我的博客在IE内核下面的体验不够好,这位同学在09:45:36的时候切换到使用Chrome内核的猎豹浏览器重新打开了这篇文章。仅仅过了不到1分钟,这位同学在09:46:19打开了另外一篇文章,文章链接 https://www.92ez.com/?action=show&id=57,这一篇文章的标题“My GSM Sniffer Kit come soon.”,主要是展示了博主我在玩GSM Sniffer时候的一些成果
这篇文章发布于2015年3月22号,距离现在应该3年半了。一分钟后,也就是09:47:26,这位同学又打开了一篇文章,文章链接 https://www.92ez.com/?action=show&id=76,是一篇发布于2015年6月30号,标题为“玩osmocom-bb需要哪些技能?【翻译】”的文章,这篇文章翻译自osmocom.org官方网站,主要是为了说明玩osmocombb需要有一定的基础知识,否则会碰到很多问题。
在09:47:56的时候,这位同学又打开了一篇文章,文章链接 https://www.92ez.com/?action=show&id=23458, 是一篇发布于2017年10月24号,标题为“Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”的文章,这篇文章的目的是为了纠正官方网站结构变更导致的资源缺失问题。
不得不说,这位同学看文章的速度真是快,一分钟看一篇。
在09:48:21的时候,这位同学回到了首页,然后在浏览了10秒钟后打开了 https://www.92ez.com/?action=show&id=23459 这篇文章,标题为 “博客新增音乐功能的说明”
我想应该是这位同学手抖点错了吧,他应该是要点 “Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]”才对。十分钟后,也就是10:01:44,这位同学直接打开了这个链接 https://www.92ez.com/config.php ,很可惜,这个链接打开是一片空白,啥也没有,但是这位同学的思路很敏锐,config.php这个名字很特殊,看来这位同学对php是略知一二的,因为网站的配置信息一般都写在这里面,说不定能爆出点儿啥,而且很多php框架都有这个文件,万一碰到了通用漏洞呢,岂不是美滋滋,但是很遗憾,没发现有价值的东西。
很快,这位同学又发现了新的链接 https://www.92ez.com/attachment.php 这个链接是用来显示附件的,直接打开也是提示跳转首页,没卵子用
可能是因为这位同学啥也没拿到,一怒之下祭出了他珍藏的扫描器,一阵狂扫
在10:14:37的时候这位同学使用浏览器访问了https://www.92ez.com/install.php,这个文件是很多开源的php系统常见的安装文件,有的安装完忘记删也会存在漏洞,所以这位同学以为我博客有这个漏洞,结果还是啥也没有。在10:17:26的时候,这位同学直接使用目录的方式访问install https://www.92ez.com/install 也没有反应,然后又打开了 https://www.92ez.com/install/install.php 结果还是一样,又打开了 https://www.92ez.com/install/install.sql 结果依然跳转到首页,哎呀,真糟糕,啥也没有拿到。
这位同学使用了两个不同的扫描器进行扫描,一个是扫描路径的,一般是用来判断cms的类型,一种是扫描备份文件,这种扫描一直持续到12:06:15,这个时候IDC监控发现异常并且对我的服务器执行了暂停操作。
经过将近1个小时的沟通后,也就是13:01:21服务器恢复,这位同学的扫描器还在扫,大概是去睡午觉了吧。
一直到13:03:09的时候我手动关闭了nginx服务。
后记
虽然我不知道这位同学到底有何意图,但是从你打开的文章来看,您应该是对osmocombb很有兴趣,是因为最近短信诈骗太火了吗,导致您的认为根源在于我的博客?觉得要伸张正义为民除害对吗?
那拜托您仔细看好了,我所有的文章都是在讨论技术问题,并没有教人如何犯罪,博主我本人也非常痛恨拿技术犯罪的人,但是您真的没有必要对我512m内存的小水管vps动手,这对您没好处,您是想从我这拿走什么呢?有什么值得您拿呢?都是一些技术文章,而且都是公开的,真的没有东西。
您用着您的win7,跑着网上随便都能下载到的扫描器,如果你认为这就是所谓的黑客技术,这就是所谓的伸张正义,这样就能炫耀您的技术,那么呵呵,您还是好好的把书念好,好吗?
最后还是附上一个大概的定位,不管准不准确
深圳高级中学,一听就很高级补充
巧的是在博客恢复之后不到半个小时,也就是 14:50:14 ,遭到了来自江苏南京电信网段为 180.97.35.*的目录扫描,不过这个看起来更像是一些安全网站的例行扫描,也就无所谓了
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。