V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jack
V2EX  ›  站长

CloudFlare Business 依旧被搞瘫痪求助

  •  
  •   Jack · 2015-02-22 10:09:37 +08:00 · 15352 次点击
    这是一个创建于 3563 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Linode + CloudFlare Business依旧被DDoS攻击导致IP被挂空了,现在不知道是为什么。

    CF说流量并没有全部从CF通过,又让我做了些设置,有什么可能性通过PHP或者MYSQL漏洞得到了我的服务器的真实IP而绕过了CF吗?

    如果我通过iptables限制服务器只允许来自CF的IP访问,这样能成功block掉攻击IP吗?

    求解。。。。

    第 1 条附言  ·  2015-02-22 10:47:27 +08:00
    PS:有没有自带DDoS防御的大陆访问速度还不错的国外主机服务呢?!。。这么搞实在太麻烦了。。。贵点也没关系
    57 条回复    2015-02-23 10:18:01 +08:00
    aveline
        1
    aveline  
       2015-02-22 10:10:54 +08:00   ❤️ 1
    CF 里面是不是有条 direct 的记录 ...
    oott123
        2
    oott123  
       2015-02-22 10:11:59 +08:00 via Android
    当然,如果你有 CDN ,你需要在源服务器上配置只接受来自 CDN 的流量。
    a2z
        3
    a2z  
       2015-02-22 10:12:10 +08:00
    你加上cdn之后没有换源ip,这样cdn根本没有用,对方还按照旧的ip打。
    限制只允许cf的ip访问对于ddos来说也没有用,因为流量还是到达了你的服务器,只是你自己选择不接受而已。
    Yamade
        4
    Yamade  
       2015-02-22 10:13:01 +08:00
    看下日志.应该是DDOS绕过了CDN,直接到了后端IP.
    建议Nginx限制下,贴上日志看下.染过CloudFlare一定有规则.
    aveline
        5
    aveline  
       2015-02-22 10:15:18 +08:00
    发邮件的时候暴露了 IP,换用 Mailgun 或者 Sendcloud 什么的试试?或者把邮件服务器单独出来?

    Return-Path: <www-data@li***-***.members.linode.com>
    Received: from li***-***.members.linode.com (li***-***.members.linode.com. [106.185.52.*])
    by mx.google.com with ESMTPS id do3si16706383pbb.158.2015.02.21.18.12.13
    for <[email protected]>
    (version=TLSv1 cipher=RC4-SHA bits=128/128);
    Sat, 21 Feb 2015 18:12:13 -0800 (PST)
    Received-SPF: none (google.com: www-data@li***-***.members.linode.com does not designate permitted sender hosts) client-ip=106.185.52.*;
    Received: from li***-***.members.linode.com (localhost [127.0.0.1])
    by li***-***.members.linode.com (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id t1M2CAut010538
    for <[email protected]>; Sun, 22 Feb 2015 10:12:10 +0800
    Received: (from www-data@localhost)
    by li***-***.members.linode.com (8.14.3/8.14.3/Submit) id t1M2CAYa010537;
    Sun, 22 Feb 2015 10:12:10 +0800
    Date: Sun, 22 Feb 2015 10:12:10 +0800
    Message-Id: <201502220212.t1M2CAYa010537@li***-***.members.linode.com>
    aveline
        6
    aveline  
       2015-02-22 10:16:47 +08:00
    另外 DDoS 在 iptables 限制其实没多大用 ... 流量都已经到你主机了才 drop =_=
    Jack
        7
    Jack  
    OP
       2015-02-22 10:19:00 +08:00
    @a2z IP换过了。。。那就无解了么。。。 - -
    Jack
        8
    Jack  
    OP
       2015-02-22 10:19:51 +08:00
    @Yamade 日志看不出来异常。。
    Yamade
        9
    Yamade  
       2015-02-22 10:23:02 +08:00
    @Jack 贴出来在说.
    Jack
        10
    Jack  
    OP
       2015-02-22 10:23:16 +08:00
    @aveline 没有用邮件服务。。。被攻击的网站是subhd.com。。。
    Jack
        11
    Jack  
    OP
       2015-02-22 10:31:13 +08:00
    PS:有没有自带防御的大陆访问速度还不错的国外主机服务呢?!。。这么搞实在太麻烦了。。。贵点也没关系
    elgoog
        12
    elgoog  
       2015-02-22 10:52:28 +08:00
    不会是subhd吧
    oott123
        13
    oott123  
       2015-02-22 10:54:11 +08:00 via Android
    @aveline
    @a2z
    请教两位,iptables 对 DDoS 的防御作用真的没用嘛?
    比如常见的 syn 攻击,流量最多也就是握手包吧?
    似乎 udp 协议的攻击流量会大一些…
    aiguozhedaodan
        14
    aiguozhedaodan  
       2015-02-22 11:01:40 +08:00 via Android
    这你应该去hostloc.com问
    typcn
        15
    typcn  
       2015-02-22 11:02:05 +08:00
    是不是哪个子域名暴漏的 IP ?或者是 @ 裸域?
    DDoS 攻击的大多数都是没有技术的,不会去挖掘你的程序漏洞的,甚至他们连修改 host header 都不会。
    binarymann
        16
    binarymann  
       2015-02-22 11:03:49 +08:00
    @elgoog 估计是...搞不明白为什么这么好一个字幕站不找谁不惹谁会被攻击呢?
    Jack
        17
    Jack  
    OP
       2015-02-22 11:08:23 +08:00
    @Yamade 173.245.62.109 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE HTTP/1.1" 200 7030 "http://subhd.com/search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
    199.27.133.22 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 302 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)"
    173.245.48.137 - - [21/Feb/2015:20:53:02 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
    199.27.128.230 - - [21/Feb/2015:20:53:03 +0800] "GET /search/Nightcrawler HTTP/1.1" 200 7215 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    141.101.85.52 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
    173.245.62.76 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2221541233.jpg HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
    173.245.48.81 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e7%8b%bc%e5%9b%be%e8%85%be/ HTTP/1.1" 200 3462 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729)"
    173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 8192 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
    108.162.222.225 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2201863327.jpg HTTP/1.1" 200 6053 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
    199.27.128.220 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4448 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
    173.245.48.125 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    108.162.222.222 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7316 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.111 Safari/537.36"
    173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 12288 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
    173.245.62.151 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
    173.245.48.80 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
    173.245.48.137 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4321 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
    199.27.133.28 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 200 4662 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)"
    108.162.215.131 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 718; .NET CLR 2.0.50727; AskTbAVR-IDW/5.15.2.23268; youxihe.1647)"
    108.162.222.141 - - [21/Feb/2015:20:53:03 +0800] "GET /d/6533054 HTTP/1.1" 200 3933 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
    173.245.62.121 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7202 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
    Jack
        18
    Jack  
    OP
       2015-02-22 11:25:25 +08:00
    @typcn 我就想知道啊。。 但是目前无解。。。
    cnbeining
        19
    cnbeining  
       2015-02-22 11:38:55 +08:00
    1. Linode不抗D。去找OVH先。

    2. 换IP Range,飞走。

    3. 关闭一切的直接访问途径。一般泄露的是邮件等地方。把他们拎出去,换其他服务,或者换别的机器。

    4. 确定你的主IP不暴露后,去CF把安全调到最高吧。

    5. nginx设置下,只接受CF的IP段,避免扫描大法。

    你的防御比他的攻击便宜,等等就是了。
    Yamade
        20
    Yamade  
       2015-02-22 11:50:29 +08:00
    @Jack 你给的日志看都是正常的访问IP,这些IP来自 CloudFlare. 能不能贴下绕过 CloudFlare 的访问IP日志.
    Yamade
        21
    Yamade  
       2015-02-22 11:53:06 +08:00
    ```
    netstat -tan| sed -e '1,2d'| awk '{print $5}' | awk -F: '{print $1}' |sort|uniq -c |sort -nr |more

    ```
    这条命令看下哪些IP不正常.
    Jack
        22
    Jack  
    OP
       2015-02-22 11:54:40 +08:00
    @Yamade IP早挂空了,你说的那些没有日志
    Yamade
        23
    Yamade  
       2015-02-22 12:02:19 +08:00
    @Jack 攻击者的ip日志木有?用了CF 还要加点nginx配置才好用.我也被攻击过.也买过cf200 刀的服务.建议你看下日志.找出规律
    a2z
        24
    a2z  
       2015-02-22 12:43:47 +08:00
    @oott123
    只要源ip暴露想打挂的方式有很多。
    互联网就是个黑暗森林
    chinvo
        25
    chinvo  
       2015-02-22 12:46:53 +08:00
    樓主,我的建議是這樣的。
    1、在iptables上限制。如果你嘗試用nginx限制攻擊者,你會發現負載一點都沒有降低。
    2、可以添加 nginx-naxsi,配合fail2ban使用
    3、趕緊換個ip,郵件用第三方
    4、可能的話還是換aws之類的雲服務,防火牆槓槓的
    maye696
        26
    maye696  
       2015-02-22 12:56:26 +08:00 via iPhone
    被广电总局攻击了?
    cnbeining
        27
    cnbeining  
       2015-02-22 12:58:00 +08:00
    @chinvo AWS抗D太贵了。OVH抗D便宜点。

    总之一句话:别暴露源IP。暴露了就必须换,侥幸心理只会立刻被揍趴下。就是无脑UDP洪水都够你喝一壶:占满你的口,你就挂了。
    chinvo
        28
    chinvo  
       2015-02-22 13:03:52 +08:00
    @cnbeining aws攻擊流量不計費(寫ticket給客服就能免)
    yov123456
        29
    yov123456  
       2015-02-22 13:49:07 +08:00 via iPhone
    azure可以
    wezzard
        30
    wezzard  
       2015-02-22 15:02:38 +08:00
    OS X 下訪問變亂碼了……
    Jack
        31
    Jack  
    OP
       2015-02-22 15:52:26 +08:00
    @chinvo
    @cnbeining
    @chinvo
    AWS可以在不用CF直接暴露IP的情况下直接防御DDoS吗?。。
    evlos
        32
    evlos  
       2015-02-22 16:36:12 +08:00
    楼主你是在被 DDoS 之后才上的 CDN 么?那之后有换服务器的 IP 么?
    Jack
        33
    Jack  
    OP
       2015-02-22 16:37:59 +08:00
    @evlos 上了CF之后换过两次IP
    maoyipeng
        34
    maoyipeng  
       2015-02-22 16:39:09 +08:00
    试试httpguard
    Yamade
        35
    Yamade  
       2015-02-22 17:22:59 +08:00
    @yov123456 国际版你确定可以么?
    Yamade
        36
    Yamade  
       2015-02-22 17:24:13 +08:00
    建议楼主测试下Azure国际版,有一次微软中国的客服和我说过国际版有这样的防护功能,国内版本的没有.
    diguoemo
        37
    diguoemo  
       2015-02-22 20:49:18 +08:00
    还是没回复啊大哥。。
    wdlth
        38
    wdlth  
       2015-02-22 20:53:33 +08:00
    @Jack 你日志里面的都是CloudFlare自己的IP,你应该记录访问客户的真实IP。
    62900015
        39
    62900015  
       2015-02-22 20:59:24 +08:00
    Jack
        40
    Jack  
    OP
       2015-02-22 20:59:44 +08:00
    @wdlth 谢谢,以后需要的时候再搞搞。。
    tvvocold
        41
    tvvocold  
       2015-02-23 00:00:16 +08:00
    @Jack 试过加速乐吗?
    cnbeining
        42
    cnbeining  
       2015-02-23 01:36:22 +08:00
    @Jack CF是不会直接暴露IP的,除非你乱设定DNS等作死。

    既然换IP还被揍,考虑是不是邮件或者CNAME或者任何其他记录导致了IP被泄露。是不是已经换用Mailgun之类的东西代发邮件了?

    CF应该不会回源你的IP,毕竟你交保护费了。。。

    你记录IP的确不对,但是的确有帮助。仔细看看日志,是不是有东西绕过CF了?是不是nginx设置了白名单,仅有CF的IP段可以访问?

    是不是已经将CF的安全级别调成“I'm under attack”了?这样CF会严密监视你的流量。
    xuhaoyangx
        43
    xuhaoyangx  
       2015-02-23 05:16:38 +08:00
    @aveline 对了看到发邮件,linode我明明没有装mail有关的组件,话说 怎么dz wordpress都能发得出邮件出来。就linode可以
    Jack
        44
    Jack  
    OP
       2015-02-23 08:11:08 +08:00
    @cnbeining all done .. 还是被攻击,只能认为是php程序漏洞导致得到了真实IP,但是不知道是怎么实现的
    msg7086
        45
    msg7086  
       2015-02-23 08:21:38 +08:00
    @Jack 有兴趣Q上一起探讨问题吗?可Q霸气无二义就领②②
    或者我们可以开个讨论组或者群把贝宁蜀黍一起拉进来看看怎么搞。
    DDoS还是很好抗的。
    如果你数据库用innodb的话还可以galera搭集群做镜像站玩。
    chinvo
        46
    chinvo  
       2015-02-23 09:12:41 +08:00
    @Jack 你想多了,得搭配CloudFront(AWS的一個服務),如果直接暴露IP,不打你80也可以打你別的端口。
    Jack
        47
    Jack  
    OP
       2015-02-23 09:15:58 +08:00
    @chinvo 目前不知道打的是什么端口,可能是任何端口
    jasontse
        48
    jasontse  
       2015-02-23 09:18:20 +08:00 via iPad
    @Jack 不管打的是哪个端口,要避免认出这个 IP 是你的。
    Jack
        49
    Jack  
    OP
       2015-02-23 09:27:44 +08:00
    @jasontse 所以发了此贴求查漏洞 http://www.v2ex.com/t/172255
    chinvo
        50
    chinvo  
       2015-02-23 09:28:49 +08:00
    @Jack 所以直接暴露IP絕對不是一個好主意。爲什麼樓主執意要直接暴露IP呢?
    Jack
        51
    Jack  
    OP
       2015-02-23 09:29:41 +08:00
    @chinvo 大哥。。。我是不想暴露IP,我是不知道为什么会暴露啊
    cnbeining
        52
    cnbeining  
       2015-02-23 09:48:48 +08:00
    @Jack 淡定,先喝杯茶。

    你先挪Ramnode或者OVH这种地方,抗打一些。

    然后我们细致分析一下为什么有问题。。。

    我的邮箱嘛。。。@gmail.com 欢迎戳。QQ嘛,你戳MR的时候也把我戳到了。
    msg7086
        53
    msg7086  
       2015-02-23 10:01:31 +08:00
    刚刚群里已经讨论出个可行方案了。如果有兴趣可以敲我们,没兴趣就算了。
    cnbeining
        54
    cnbeining  
       2015-02-23 10:04:26 +08:00
    @msg7086 说的好像是我们发动了攻击要让人去交保护费一样。。。。。。。。。。。。。wwwww
    Jack
        55
    Jack  
    OP
       2015-02-23 10:08:16 +08:00
    @cnbeining 看不懂。。。
    Jack
        56
    Jack  
    OP
       2015-02-23 10:08:44 +08:00
    @msg7086 什么叫敲你们。。。
    cnbeining
        57
    cnbeining  
       2015-02-23 10:18:01 +08:00
    @Jack 我们觉得我们好像找到了可以减缓攻击的办法。可以通过我们的联系方式找到我们。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2828 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 07:26 · PVG 15:26 · LAX 23:26 · JFK 02:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.