阅读视图

发现新文章,点击刷新页面。

网站镜像攻击2024第一版

又是网络攻击的一年,又是新花样掺老花样,无聊得想拉屎。

我发现每次我遇到无聊得想拉屎的事情的时候,股票啊基金啊虚拟货币啥的都暴跌。


又是网站镜像攻击

我大概2007年开始写博客,2010年正式建立这个网站。

那几年里,垃圾站、抄袭站、镜像站 堪称行业定义。你去买个域名买个空间,如果卖家发现你不是做这些粪坑玩意的,都会鄙视你。

以至于我到现在,电脑里还保留着某个流氓软件……的快捷方式。

b85m-win540-snap

清晰记得那时候校学生会和院学生会都偷偷在学校官网里塞私链给自己的垃圾站引流,然后颐指气使地对我这种无官无位的普通学生鄙夷不屑。

然后突然有一天谷歌更新了收录算法,一下子就把所有垃圾站砍光了。百度倒是一直那个德行,除了垃圾其他什么都不搜,不过就算收录了也没啥用,你在上面也搜不到你想要的内容。


国内博客网站被大批镜像

这最近一个月,突然好多博客在写如何避免自己网站被镜像。招数还是10多年前时候的那些招数,只不过 javascript 的语法比以前干净了,

就有点奇怪了,这十多年从来没人担心过这种问题,怎么突然全在提这个问题。

然后随手搜了一下,果不其然本站也被镜像了。

screenshot_on_b85m_by_flameshot_at_2024-10-09_19-27-47

screenshot_on_b85m_by_flameshot_at_2024-10-09_17-57-07

镜像就镜像呗,反正谷歌收录又不是识别不出来。

screenshot_on_b85m_by_flameshot_at_2024-10-09_19-46-03

b85m-win541-snap

唉草,谷歌现在这么垃圾了吗?原创不收录,反而优先收录镜像站。

我这十多年老域名的含金量还不如一个一年的镜像站了?


分析

随便看了一眼 access.log

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-48-31

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-47-47

IP 是 103.233.9.190 ,一个香港的主机。

原本会以为会是什么云服务商的 Worker 啥的,结果就是个普通的主机。顿时觉得没意思了。

之前这货用的IP是 154.39.149.128 。上个季度我网站流量排第二的就是这个IP。

前端是套的 cloudflare 。但是后面这个 103.233.9.190 基本没藏,所有有趣的设置都在 103.233.9.190 上而不在 cloudflare 上。我估计是工作量太大了根本设置不过来。

直接访问会报 404 错误。

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-58-15

必须用美国(此处存疑)的IP访问才能正常访问,如果用欧洲或者其他国家的IP还是404,感觉就是为了搞谷歌收录。

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-57-51

刚才也说了,后面的真是主机基本没藏。

直接用静态解析就能访问到。

screenshot_on_b85m_by_flameshot_at_2024-10-10_20-04-20

screenshot_on_b85m_by_flameshot_at_2024-10-10_20-05-48

没啥意思。

用 Internet Archive 搜了下,这个域名去年也是在做某些网站的镜像。看来是老杂种了。

PS:写文的时候 Internet Archive 挂了,疑似是被攻击,还被拖库,这是有够惨。反正网站是打不开了,没得截图。


共情

随便在网上搜了下这两个IP,看来受害者还挺多。

Cloudflare 和 Google 的 DCMA 投诉啥的虽然略有效果,但是收效甚微,最多就是恢复下当前的收录。

很明显这坏人不像是处于经济动机做这些恶心事。而且国庆假期期间还搞事也说明了就是个社会闲散人员。

除了几个提供警示和反制手段的博客之外,也有不少精神胜利法的。上来先猜一波方法是什么动机是什么目的是什么,最后猜了一圈就给出个大结论,连access.log都不会看;然后在搞什么收录搞什么投诉再搞什么举报,最后就精神大胜利了,非常阿Q。


处理

随便写了 rewrite 策略糊弄了事。

是的这一块我不太关心。这玩意就是猫捉老鼠,跟实际上看猫和老鼠完全不一样,很无聊。

想一下如果我是坏人,那我有什么办法?我办法多了去了,网上多数人的防御和反制手段基本都拦不住我。问题是缺德的事情我不做,更别说这事情本身就没有经济价值。


结论

写完这篇文章后搞不好又得遭一波 DDOS CC 攻击。

参考资料和引用资料我就不放了,别再被爬去被用作攻击列表。毕竟有些博主的反制能力不是很强。

请不要尝试去访问攻击者的镜像。

The post 网站镜像攻击2024第一版 first appeared on 石樱灯笼博客.

又遭大规模 DDoS 攻击 2023 第二版

我就跟你说我招人恨吧!

注:本文于2023年7月20日中午开始撰写,所以请以20日为当前日期阅读。(因为写得太慢导致时间观都错位了)


发现

我跟你讲这次我完全就没发现。

我甚至都不知道攻击是从什么时候开始的。

就是今天中午又发现博客打不开。本以为只是GFW又开始抽风,毕竟眼看就要开大运会了。谁知道等半天甩出来一个纯文字的超时错误……不该是Apache报错吗,怎么一堆文字出来。

登上服务器一看果然是大规模 DDoS 攻击 2023 第二版


处理

随便写了个 Cloudflare 规则糊弄了事。


分析(Part1)

我甚至不知道这次攻击是啥时候开始的。就好像昨天还在回复 挨踢路 – 老狼评论,还在那想办法弄清谷歌索引抽风的问题。仔细一看,什么?!两天前?!?!? 那我昨天干啥去了?

尤其是我刚刚重温完《速水玲香诱拐杀人事件》,中间差一天这事情或许是某种邪恶的阴谋?

z6sJqJk75r7SszezK5ddLbYBdFwiXvXS5PJswqEN

开始重新看 Cloudflare 的汇总信息。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-05

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-22

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-32

没啥收获。

24小时内流量一直是平的。7天内和30天内虽然有波动,但是有一部分流量是因为《幽灵诡计》发布了Steam版而一大堆人来看我当初转载的那篇幽灵诡计无剧透文字攻略

现在的互联网真是惨,那个攻略的原文因各种原因最终被和谐的一干二净,以至于原作者是谁我都不知道。

看看流量统计。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-17-01

再看威胁统计。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-17-31

都没看出啥名堂。

就好像是有多次攻击,也消耗了不少资源,但我也没感觉到的样子。

点点防火墙拦截日志。

screenshot_on_b85m_by_flameshot_at_2023-07-20_13-45-34

这IP是真的有够多,感觉脚本小子不应该能有这么个规模的资源,这莫不是 花钱 找的什么黑产吧?

……

算了还是回归看 access.log 吧。


分析(Part2)

打开 access.log,扑面而来一堆屎。

screenshot_on_b85m_by_flameshot_at_2023-07-20_14-04-49

Yee

screenshot_on_b85m_by_flameshot_at_2023-07-21_00-00-35

这个攻击者脾气还挺大,关键字里一大堆脏话。

看来攻击是从14日就开始了,然后……好像攻击没啥效果,也可能大部分被 Cloudflare 给拦截了还是怎样。正式能造成性能问题的攻击应该是开始于7月18日夜间,而我在回复过老狼的评论之后也一直没有注意过博客,总之一直到刚才我才发现。

总不会是网站都挂了整整一天了才发现吧。

也真是太懒,我都提到过多少次我有个监控工具了但是一直不部署,就有种中国人特有的大病,啥玩意都拖到治不了了才求医似的。


分析(Part3)

然后就是这个攻击者,妥妥的是本站的读者,攻击的目标页面也刚好是《又遭大规模 DDoS 攻击 2023 第一版》,简直就是想要公开挑战。

……谁想理你似的。

但是你模拟攻击前能不能先搞个肉鸡跳板啊,这重庆的IP记录得一清二楚。

这可就有趣了,因为我在现实生活中基本上不认识多少重庆人,网络上认识的重庆人就更少,但唯独这个IP却是知道的:

screenshot_on_b85m_by_flameshot_at_2023-07-20_23-40-22

一看这小屁孩发言……

罢了罢了,以后自然会有其他人教他做人,我才懒得动弹。


结论

黑客这玩意在国内早就完犊子了,乌云网昨天不是刚刚好被关站7年么。

上一次我也说了,就连小学生都在做当黑客攻击五角大楼的白日梦,老奶奶都开始吹牛逼,那黑客就跟股市房市一样,基本上已经完犊子了。

现在这天气热啊,天热就想多喝水,多喝水就总想上厕所,总想上厕所就睡不着觉。

screenshot_on_b85m_by_flameshot_at_2023-07-21_00-53-43

防护规则开了大概12个小时,就已经有一百七十万次已拦截攻击了,是上一次攻击力度的两倍。这是比上一次多花了不少钱吧。

哦对了,那个小屁孩的 IPv6 地址我也有,但没有采取措施的必要。

毕竟,我已经懒到宁可憋尿都不想起床了。

The post 又遭大规模 DDoS 攻击 2023 第二版 first appeared on 石樱灯笼博客.
❌