記一次真實的網(wǎng)站被黑經(jīng)歷

距離上次被DDOS攻 擊已經(jīng)有10天左右的時間，距離上上次已經(jīng)記不起具體那一天了，每一次都這么不了了只。然而近期一次相對持久的攻 擊，我覺得有必要靜下心來，分享一下被黑的那段經(jīng)歷。

在敘述經(jīng)歷之前，先簡單的介紹一下服務(wù)器配置情況：

• ECS 1核2G內(nèi)存1MB帶寬，Linux系統(tǒng)

• RDS 2核240MB內(nèi)存，最大連接數(shù)60

• Redis 256MB共享實例，搬家之后沒用到

• CDN 按量付費，緩存小文件

以上配置，對于一個日訪問量幾千的網(wǎng)站來說應(yīng)該綽綽有余了，并發(fā)撐死十幾個左右，以下是簡單的網(wǎng)站部署情況：

經(jīng)歷

前段時間聽說過互聯(lián)網(wǎng)大佬阮一峰博客被DDOS的經(jīng)歷，可謂是持久啊，最終被迫轉(zhuǎn)移服務(wù)器，據(jù)說還被勒索。然不知道為啥是哪個仙人板板居然盯上了我的小站？難道我比阮大神長得帥？

好吧，故事開始，2018年6月14日，凌晨兩點三十收到了阿里云系統(tǒng)告警通知，告知網(wǎng)站無法訪問，然而那會我還在睡夢中。

跟往常一樣，差不多六點左右醒來，習(xí)慣性的翻看手機(jī)，恰好此時又發(fā)來了短信告警。要在平時的話是可以再睡兩個小時的，然而此時一個激靈，瞬間困意全無，怎么說我也是有幾千訪問量的博主了。

于是，趕緊爬起來打開電腦，嘗試訪問下博客和論壇，果不其然瀏覽器在一直打轉(zhuǎn)轉(zhuǎn)。

問題排查

嘗試遠(yuǎn)程登錄服務(wù)器：

• 查看Nginx 和 PHP-FPM，ps -ef|grep xxxx

• 查看系統(tǒng)剩余內(nèi)存 free -m

• 查看CPU使用情況 top

• 查看Nginx錯誤日志 tail -f error.log

• 查看日志容量 ll -h

• 查看并發(fā)連接數(shù) netstat -nat|grep ESTABLISHED|wc -l

一頓騷操作之后，并沒有什么異常，內(nèi)存和CPU平穩(wěn)，Nginx和PHP 進(jìn)程沒問題。然后分別重啟了一下 PHP 和 Nginx，開始網(wǎng)站還可以訪問，進(jìn)入社區(qū)首頁就被卡死。

查看錯誤日志，后臺使勁的刷日志，隨便查看了幾個IP，有印度的，美國的，菲律賓的等等，當(dāng)然大多數(shù)還是國內(nèi)的IP。一晚上的時間居然刷了上百兆日志(上次被D我清理過一次)，反正我覺得是不少了，對比網(wǎng)站平時的訪問量來說。

之前有過幾次攻 擊，但都是三三倆倆的過來，使用Nginx禁掉IP就是了。然而此次，顯然不是禁掉IP可以解決問題的了，這么多IP收集是個問題(當(dāng)然可以通過正則匹配獲取)，還有可能造成誤傷。

上班途中

然而上班才是正事，心思著一時半會解決不了問題，瞄了一眼錯誤日志，還在使勁的刷著，然后順手發(fā)了個朋友圈然后去洗漱：

路上一路嘟念，心想是不是到了9點，他們準(zhǔn)時下夜班然后就可以正常訪問了，自我開解一下。

上班中

到了公司，第一件事當(dāng)然是遠(yuǎn)程登錄下服務(wù)器，看了一下，錯誤日志還在使勁刷。正常來說這個是時間點是不會有用戶來訪問的。

重啟了服務(wù)多次，訪問一下首頁就被卡死，然后瞬間癱瘓，整個網(wǎng)站(社區(qū)+博客)都不能訪問了。既然這樣，還是老實上班，坐等攻 擊停止吧。

期間群里的小伙伴們問網(wǎng)站怎么了，打不開了椰？將近中午的時候，查看了一下錯誤日志，還有那么幾個IP再嘗試請求不同的地址，一瞅就不是什么好東西，果斷deny了一下。話說，現(xiàn)在請求沒那么多了，重啟了一些Nginx 和 PHP 進(jìn)程，訪問首頁還是卡死？真是怪了個蛋。

心想是不是RDS數(shù)據(jù)庫的問題，查看了監(jiān)控報警面板，CPU和內(nèi)存利用率和當(dāng)前總連接數(shù)都正常，沒有什么異常，凌晨兩點-六點左右的確有波動，但是不至于被D死。既然都登錄了，要不順便把 ECS 和 RDS 都重啟了吧。

果然，重啟一下居然神奇的好了，吃午飯的時候還用手機(jī)訪問了一下，正常，可以安心吃飯了。

問題解決

其實，最終問題怎么解決的，我并不清楚，說幾個比較疑惑的點：

• ECS 服務(wù)器 CPU 和內(nèi)存也在正常閾值

• Nginx 和 PHP-FPM 進(jìn)程都分別重啟過

• RDS 數(shù)據(jù)庫連接數(shù)盡管有所波動，但是并沒有占滿未釋放

• 看錯誤日志請求都是來自上百個不同的IP，并且大多都是訪問的社區(qū)URL

• 還有這些肉雞為什么都是晚上？晚上便宜？還是說在西半球組織×××

• 此次是有針對性的，還是隨機(jī)的？但愿是隨機(jī)的

• 中間停止過一次社區(qū)，博客是可以一直正常訪問的，懷疑是首頁數(shù)據(jù)庫查詢的問題，基于連接數(shù)應(yīng)該不是這個問題，難道是Discuz的Bug？但是后來重啟數(shù)據(jù)庫后的確可以正常訪問了。

其實阿里云有基礎(chǔ)的DDOS防護(hù)，清洗觸發(fā)值：

• 每秒請求流量：300M

• 每秒報文數(shù)量：70000

對于一般小站來說，是萬萬不可能達(dá)到300M的流量閾值的，博客的CDN峰值才3M而已。

所以說，這些小波流的攻 擊只能自身去默默承受，而機(jī)器配置不高，買不起帶寬只能任杭州網(wǎng)站建設(shè)自由的撒歡，還不如直接關(guān)站，扔給他一個Nginx + 靜態(tài)頁面讓它D去吧。