关于4月4日博客遭恶意流量攻击的声明

By 幽冥狼族团队应急响应中心
#前言
距离上次被DDOS攻击已经是十分久远的事情了,已经有1年左右的时间,距离上上次已经记不起具体那一天了。团队一直在默默地发展着,并没有招蜂引蝶,然而在4月4日一次措手不及的恶意流量攻击,经过讨论,我们认为有必要发表一次声明。

在叙述经历之前,先简单的介绍一下团队网站的服务器配置情况:
  • ECS 1核4G内存10MB带宽,Linux系统
  • 阿里云云盾+知道创宇商业防护
  • 少量阿里云负载均衡
团队官网、博客以及靶场,早已经做好分布式搭建,三方的状态互不影响
团队现在也在发展过程中,做到这样已经算是不错的了

#事件经过
在2020年4月4日,晚间,维护组正打算尝试一下360旗下的奇安信网站卫士,于是注册了360账号,成功将域名解析放置在奇安信网站卫士服务下进行cname解析

众所周知,奇安信网站卫士是需要实名审核并验证成功,才能提供加速和安全防护的,所以自4月4日18点15分解析好博客的cname后,因为还没过审核,相当于直接是解析到博客服务器的源站IP
但是没有想到,已经保持1年多未曾受到流量攻击的团队博客,在4月4日国家哀悼日竟然遭到恶意流量攻击,让我们措手不及。
于是在4月4日20点40分,我们接到阿里云的短信通知,通知网站已经处于闭站保护状态,我们立即意识受到流量攻击
团队成员马上进行操作:立即将团队博客的域名解析,移回知道创宇商业防护下,将剩余攻击全部拦截并进行溯源

这是当时的截图,可以发现博客的服务器因为没有接入防护,进入关站保护状态了

我们迅速对该CC攻击进行溯源分析,这是原始数据


同时,我们还发现,攻击者对团队官网和靶场都进行了不同程度的流量攻击
注明:因为团队官网和靶场并没有解析至未审核通过的奇安信网站卫士下,所有对其的攻击流量全部被拦截,两者的服务器并没有进入关站保护状态


团队应急响应中心溯源后,找到了疑似攻击者的源IP


团队在此郑重声明:本团队的所有网站均已备案,属于正常运营站点。
此次恶意流量攻击量小,以及损失较小,若再次出现这样的情况,团队将直接上交证据,协同网警处理

#处理过程
先尝试远程登录服务器,并解绑知道创宇防护的域名解析(回源解析)
  • 查看Nginx 和 PHP-FPM,ps -ef|grep xxxx
  • 查看CPU使用情况 top
  • 查看系统剩余内存 free -m
  • 查看Nginx错误日志 tail -f error.log
  • 查看日志容量 ll -h
  • 查看并发连接数 netstat -nat|grep ESTABLISHED|wc -l
一顿骚操作之后,并没有什么异常,发现Nginx和PHP 进程没问题。但是CPU还是飙升,错误日志还是在刷,于是分别重启了一下 PHP 和 Nginx,结果CPU依旧飙升。
经过团队应急响应中心分析连接日志后,认为对方已经拿到了团队博客服务器的源IP,决定立即更换公网IP

具体操作:1、删除团队博客的域名解析,立即重启团队博客服务器,直接对博客服务器进行服务器迁移操作
                2、加强对团队官网服务器和靶场服务器的防护力度
#总结
团队官方博客已于4月5日下午15时恢复正常使用,团队官网和靶场未受到此次攻击的影响
经验教训:1、时时刻刻准备好网站的防护,攻击总是措手不及
                2、团队应该做好实时监控,发现异常立即进行相应处理,将损失降到最低
幽冥狼族团队再次郑重声明:本团队的所有网站均已备案,属于正常运营站点。
此次恶意流量攻击量小,以及损失较小,若再次出现这样的情况,团队将直接上交证据,协同网警处理

By 幽冥狼族团队应急响应中心
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客
原文地址《关于4月4日博客遭恶意流量攻击的声明
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)