首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

那些搞 CC 攻击的都是些什么人啊?连个通下水道的都不放过?

  •  
  •   sipolar · 47 天前 · 4986 次点击
    这是一个创建于 47 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我 TM 就是一个通下水道的,业余时间在网上现学现用做了个垃圾站点,推广一下上门通下水道的服务,而且啥排名都没有。然后还三天两头遭遇 CC 攻击,网站日志显示疯狂 GET 不存在的页面应该算是 CC 攻击?每次我都只能重启服务器解决。网站地址我就不放了,以免引起误解。 我比较好奇的是这类人都是干啥的?是纯粹无聊还是误伤? 真尼玛的太难了。

    截图不让发···

    66 回复  |  直到 2019-10-26 16:09:50 +08:00
        1
    leojia   47 天前
    老哥,通下水道这行好做么,我家下水道经常堵,一般都是淘宝买点疏通剂搞定,感觉市场还是蛮大的
        2
    hotbaidu   47 天前
    服务器在境外挂上 cloudflare,国内可以上百度云减速,最近 https 免费开放了。
        3
    tutustream   47 天前
    求问 哪种地漏比较好啊?
        4
    designer   47 天前   ♥ 2
    说明这一块利润大,伤害了别人的利润。
    如果你的网站是冷门没有人花时间和精力去搞你的站
        5
    b821025551b   47 天前
    emmmmm 有的时候会有很多安全机构去各种扫的,只要放到公网肯定会来一堆不错在路由的请求。
        6
    doveyoung   47 天前
    你们这都是什么人啊!你们干什么不好非要搞 CC 攻击啊!
    我的网站都被攻击了啊!我连排名都没有啊!
    你们能不能学学好!

    后面怎么说来着
        7
    lxk11153   47 天前
    @leojia #1 他说的通下水道会不会是自嘲?

    CC 攻击工具有哪个比较好用?
        8
    sipolar   47 天前
    @leojia 哪有什么市场一说,竞争太激烈了,门槛太低,勉强糊口罢了。当然,如果足够黑心,还是赚钱的。
        9
    Trim21   47 天前 via Android
    可能是那种自动扫漏洞的脚本,不一定是针对你的…
        10
    Darkside   47 天前
    @doveyoung (某睿智家长)(笑
        11
    5yyy   47 天前
    捅下水道
        12
    sipolar   47 天前
    @lxk11153 确实是通下水道、马桶的。主业之一。看人家在 58 花钱做推广,然后自己感觉效果也不咋地,就现学现用试试做个网站看看。之前做了个修空调的,效果还行。因为深圳这边季节性太强,到了秋冬季节就没什么事了,所以年初就计划搞一个通下水道的业务。
        13
    sipolar   47 天前   ♥ 2
    @tutustream 地漏结构越简单越好,别整太复杂的。简单、易维护比较重要。
        14
    dapang1221   47 天前
    GET 不存在的页面……?不会是被用什么工具猜目录了吧,一般 cc 或 DDOS 都选占用资源高的动态页。nginx 可以直接返回 404 挡住这些流量,如果攻击者不把上行带宽打满,cpu 还是能扛住的
        15
    ik   47 天前 via iPhone
    五月份开始我家的下水道开始频繁的堵, 差不多一周联系两次通下水道的过来,这样来回搞了两个月自己买了个疏通机,通了一次已经管了两三个月了。


    北京有没有需要上门通下水道的 🌚
        16
    sipolar   47 天前
    @dapang1221 帐号太新不能发图片,日志里面都是下面这种,整页整页的。
    [21/Oct/2019:14:08:41 +0800] "GET / HTTP/1.1" 200 9266 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /A.H.K.html HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /xz.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /1111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /QQgroup68988741.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /GZ.HTM HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:05 +0800] "GET /886.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
        17
    sadfQED2   47 天前 via Android   ♥ 5
    震惊!现在修下水道都需要懂互联网?太难了
        18
    dapang1221   47 天前
    @sipolar 不是 cc 攻击,你这几条要是连着的,那请求数不算多,返回 http code 503 是程序返回的吗,加个 nginx 直接返回 404 会好些
        19
    mywaiting   47 天前
    @sipolar 这些都是工具扫 webshell 的,看这一堆的 asp 就明白了

    要是自己的网站,明白知道服务器没有啥 .asp .php 这样的,收到这样的请求三次直接封 IP 一个小时可以了
        20
    sipolar   47 天前
    @dapang1221 我是随手复制的,完整的就是下面这种:
    123.191.136.207 - - [21/Oct/2019:14:09:06 +0800] "GET /test.txt HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/test.txt" 1713320
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.htm HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.htm" 732
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /2008723182517855.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/2008723182517855.asp" 700
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.asp" 599
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /wangshiruyan.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/wangshiruyan.asp" 495
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /3.asa HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/3.asa" 526

    同一时间点,上百项。然后服务器就没响应了。
        21
    wangxiaoaer   47 天前 via Android   ♥ 2
    兄弟,你这个通下水道 通的真的下水道吗?
        22
    uyhyygyug1234   47 天前   ♥ 1
    fail2ban 可以直接在 iptables 上 drop 的,根据出现 404 503 日志。
        23
    LZSZ   47 天前
    你这是被人扫了,不是 cc。
        24
    sipolar   47 天前
    @LZSZ 呃,我以为是 CC 攻击,我啥都是 google/baidu 来的。
        25
    malusama   47 天前
    欢迎来到互联网。
    访问几个不存在的页面服务器就不行了?
        26
    westoy   47 天前
    看日志就是被路过扫马的爬了一遍, 不是 CC
        27
    Mac   47 天前
    你服务器也太脆了,上百项就没响应了?这纯粹是被扫而已,我这里遇到天天扫的直接抓 UA 特征,302 转到 GOOGLE
        28
    exceptionplayer1   47 天前
    有业余学习的,也有专业的,专业的估计就跟爬虫一样,全网扫。
    我也不懂
    我只是猜测
    不过这点量应该能抗住吧
    想办法抗住
        29
    heiheidewo   47 天前
    日志里面写了 QQ 群号码啊,明显是做推广的
        30
    houzhimeng   47 天前
    不是攻击,这是公网扫描
        31
    sipolar   47 天前 via Android
    @Mac 阿里云虚拟机基础版,主要还是不会做任何安全配置。只会重启服务器。。。。
        32
    ShangAliyun   47 天前
    共享环境下的其他站点被攻击误伤了吧
        33
    7654   47 天前
    访问不存在的路径,我都是 302 到首页
        34
    guokeke   47 天前
    基本都是误伤
        35
    ggicci   47 天前
    为啥一下子想到了老王
        36
    belin520   47 天前
    @tutustream #3 地漏潜水艇呀,都是可拆卸,芯磨损了换一个。
        37
    tabris17   47 天前
    这个不是 CC 攻击,只是普通的漏洞扫描而已
        38
    itskingname   47 天前
    我记得淘宝上有卖那种电动通马桶的机器,外形像步枪,被警察给端了。
        39
    golden0125   47 天前   ♥ 1
    @sipolar 找特征吧,像这种单一 IP 的话,直接屏蔽就好了
        40
    droiz   47 天前 via iPhone
    @itskingname 哈哈哈 还有这种操作
        41
    wd1196554643   47 天前
    卧槽,现在通下水道都要求都这么高吗!!
        42
    peesefoo   47 天前 via Android
    传统的推广方式竞争也挺大的,就像下水管上贴的牛皮藓广告也经常被同行撕掉,争吵打架事也时有发生。这行不怕脏不怕累还是可以养家的,通个下水道半小时的活,有些要 60,有些要 200。隔壁邻居从开始的通厕所起家,搞到现在十多辆高压疏通清洗车的规模。其实通下水道也不是单一的通下水道,抽粪池、转手卖肥料。。。
        43
    vincent7245   47 天前
    封 IP 吧,简单粗暴而且绝对好用,去年我们公司的服务器被同行攻击,各种方法都试了,封 IP 是最有效的,做个脚本实时更新异常访问的 IP 黑名单
        44
    crab   47 天前
    @tutustream 潜水艇
        45
    scukmh   47 天前
    这是扫 webshell 的
        46
    18k   47 天前
    太南了,通下水道都得懂技术了
        47
    yujiain2008   47 天前
    用高防服务器吧,或者使用软件防火墙,屏蔽国外也行
        48
    sipolar   47 天前
    @peesefoo 我就是贴广告搞不下去了,深圳这边一方面同行撕,另一方面城管部门采取封停电话这种精准打击方式。只能在网上谋个出路,然后发现也是好难····
        49
    sipolar   47 天前
    @golden0125 谢谢了,我去查一下怎么个整法。
        50
    sipolar   47 天前
    @18k 通下水道其实也没什么技术含量,不怕脏,有手就行。主要是这个行业都是中老年人,拼的都是耐力,谁勤快谁就能挣钱,当然黑心也能挣钱。我们这种后生拼耐力是不可能拼得过的,只能琢磨一下这个路子看看情况。关键是贴牛皮癣这个套路已经跟不上时代了,同行撕,环卫撕,剩下一丁点被城管拍照了,还要封停电话,罚款处理。总得找条活路吧,又没学什么技术,只会些家庭内的修修补补。

    其实也就是利用闲暇时间,少撸几把,用 GOOGLE、百度这类工具现学现用,建站程序都是傻瓜式操作,无非就是瞎比敲几个字,配上工作图片,算是丰富内容。之前做个本地空调维修的站点,虽然流量很少,但是转化还挺高。所以有了点信心,做个通下水道的,结果现在天天跟个神经质一样,早上一起来就看看有没有宕机,隔段时间就看看。
        51
    peesefoo   47 天前 via Android   ♥ 1
    @sipolar 这些扫描都是每个网站无法避免的,不一定是恶意攻击。上面大家已经提供了很多解决方案,归纳一下:
    1、套个有防护的 CDN,国内可以用百度云加速、360 网站卫士(现在叫奇安信?),国外用 cloudflare
    2、22 楼提供的,fail2ban 配合 iptables,制定规则(如短时间内大量 404 请求),自动封禁相应 ip。
        52
    supersu   47 天前
    @sipolar 贴一下网址吧,想学习一下你的单页是怎么设计的
        53
    peesefoo   47 天前 via Android
    另外,这类扫描还不至于那么容易导致服务器宕机,最好检查一下服务器配置,正常情况下,访问不存在的文件返回的是 404,你的日志返回的都是 503。
        54
    sipolar   47 天前
    @peesefoo 非常感谢!
        55
    keepeye   47 天前
    可能是误伤 我之前买了一台服务器,ip 有问题,之前被人拿来做免费 http 代理的,然后一直收到疯狂的请求
        56
    jin7   47 天前
    有的通下水道的 漫天要价 专门坑人, 还是自己买个揣子自己通.
        57
    sunmker   47 天前
    我前两天看日志也发现了一大堆访问 asp,jsp,php 的,UA 都是 Go-Http-client,统计了一下 IP 直接入站规则屏蔽了
        58
    Reficul   47 天前
    可能是服务端实现有问题,这么点请求树莓派都不至于被打挂了。。。
        59
    freelancher   47 天前
    资深运维。

    。。。其实就是黑产程序自动扫描来当肉鸡用的。没想到你的不经扫而已。。

    真的水平有限就做一个静态的页面。管他什么鬼 CC。一点事都没有。
        60
    vincel   46 天前
    确实 感觉你这个网站做静态页面比较好 没什么交互,一劳永逸,不用担心什么攻击
        61
    celeron533   46 天前
    我猜可能是黑吃黑。
    那些扫描路径看上去像是一些被入侵主机的后门入口或者官方建站程序的管理端。如果有命中的,则说明:
    1. 你使用了某种建站软件且留了安装入口或后门
    2. 你的机器曾经被其他人入侵过,现在这个人也要来窃取革命果实
        62
    eason1874   46 天前
    一秒才几个请求,不是攻击,看访问路径可以看出是扫描机日常操作。

    错误路径正常应该返回 404 而你的是 503,说明网站程序有问题,我感觉狂按 F5 就能把你网站刷宕机。
        63
    tairan2006   46 天前
    你这个应该是被扫描了。。很正常,一般主机都会被扫的,网段+80 端口,常用路径

    你这个 503 只能说明配置的有问题
        64
    sipolar   46 天前
    @eason1874 呃,那建站程序有问题的话该如何排查?或者说哪里有这方面的文章可以参考?我用的是 WORDPRESS,买的知更鸟主题。之前我向阿里云提交工单,他们也提到过建站程序可能有问题,我也不会排查就没折腾了,我想着反正重启就完事了,但是没想到现在频率实在太高了。
        65
    Yvette   46 天前
    我还想了一会儿通下水道到底是什么黑话,原来真的就是通下水道啊
        66
    maxbon   45 天前
    单 IP 可太好防了,nginx 就能做
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   971 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 29ms · UTC 21:40 · PVG 05:40 · LAX 13:40 · JFK 16:40
    ♥ Do have faith in what you're doing.