感觉,我可能发现了阿里云的一个秘密

2018-05-12 23:27:20 +08:00
 realpg

我维护了几十个公立医院的官方网站服务器……

它们都在阿里云

每个网站一个 ECS,每个网站独立账号,医院主体注册方便发票直接开给他们

所有网站附件都在七牛,静态资源都在 cdn 服务器,webserver 只提供动态内容

大部分都是单一 ECS,25Mbps 峰值带宽,按流量计费,预存一点钱,按流量计费,流量都很少,都是纯动态内容 少量医院不接受这种预存费之后消费开发票的,采用 5Mbps 带宽方式购买

大部分网站 5000~8000 个新闻动态输出的 HTML 页(超过一万就会删除一部分到归档数据 基本维持这个范围)

每个页基本净 HTML 文件大小 15KB-30KB

不知道从哪天起,我这里管理的所有阿里云的按流量计费的医院网站,都开始流量暴涨,以前 10G 流量包一般可用 5 个月,现在可用两天……

经过深入分析日志,所有的按流量计费的 ECS,都有大量的 UA 为 360Spider 的 bot,24 小时疯狂刷全站,每小时都把我的整站几千个新闻刷一遍……

而通过跟 360 搜索提供的资料比对,这些 BOT 的 UA 跟 360 官方 UA 不一致,且 IP 段不在 360 官方公布的爬虫 IP 段范围

它们的 IP 地址: 106.120.161.0/24 111.206.52.0/24 111.206.59.0/24 36.110.211.0/24

而我的这么多同样体量的医院网站里面,所有按带宽计费的都没出现这情况……

所以,我可能得出了一个可怕的结论:

避免被告索赔千万,算了,我啥结论也没得出,大家散了吧

25503 次点击
所在节点    程序员
131 条回复
odirus
2018-05-14 13:21:12 +08:00
@odirus #120 如果真如你说的是监守自盗的话,应该不会主动攻击教育网的 IP 吧。倒是感觉这台机器就是为了攻击别人而存在的。
yungen
2018-05-14 21:04:14 +08:00
您好,我是 ECS 的产品同学。阿里云提供了云监控以从多个维度监控云服务器 ECS 实例的运行状况, 可以通过帮助文档中实例监控 https://help.aliyun.com/document_detail/25482.html 进行查看,从而判断按流量计费 /按带宽计费两种计费方式的实例实际流量消耗情况。建议您可以配置安全组规则拒绝爬虫源 IP 地址,针对您所提及的 IP 段不是阿里云的,这些爬虫也并非阿里云发起,阿里云愿意协助用户查实,同时也可以通过控制台提交工单给我们售后工程师,协助您排查对应流量产生等相关问题。
realpg
2018-05-14 23:04:34 +08:00
封了他的 IP 段之后,又来新的了
134.73.7.0/24

UA: "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider(compatible; HaosouSpider;)"
xiaocaibaozi
2018-05-14 23:16:05 +08:00
原来还有这种。。。没有 1000 万。
skylancer
2018-05-15 00:00:17 +08:00
@goodryb 嗯,照你这个逻辑,TP-Link 不差钱,就不该把产品全转 vxworks,是吧
uuair
2018-05-15 10:48:06 +08:00
gnuth
2018-05-18 11:16:10 +08:00
楼主,这边是数字公司另外一个部门的。我们的产品会对客户授权的网站做安全监测,可能与这流量有关。能否联系下? 3-9-6-0*6*7-2*0^2 (w-e-c-h-a-t,纯数字),感谢。
realpg
2018-05-18 11:17:57 +08:00
@gnuth #127
晚点跟您联系 这两天在铺设一条 600 公里的长途光缆忙的脚不沾地
暂时已经永久屏蔽 IP 方法临时解决问题了
gnuth
2018-05-18 11:26:57 +08:00
@realpg 好的,很抱歉给你造成麻烦,也不希望给阿里云带来误解。

我们的客户中有不少医院,需要监测黑链挂马之类的问题,所以会比较频繁地爬取整个站点。
不过我们的 UA 没有 “ HaosouSpider ”,134.73.7.0/24 也不是我们的出口 IP 段。应该是有多个产品在同时监测。
realpg
2018-05-18 11:48:44 +08:00
@gnuth #129
就 HaosouSpider 而言,这个 IP 在我的多个实例中可以复现,当我封锁了全部已经找到的 360Spider (不包含网上公布的 42 开头的与官网公布的 Search spider 完全一致 UA 的那种)之后,大约过 6~8 小时就会出现 134.73.7.x 的 IP 挂着 360Spider(HaosouSpider)的访问,访问流量特征同之前屏蔽的那部分,包括采集周期,间隔等特征高度一致,与其他 Spider 的屏蔽也有时间相关性
dre4m
2020-01-26 09:53:01 +08:00
阿狸云分析自己客户的,如果是小水管 VPS,就 DD 你,配合黑洞玩的欲哭无泪,想逼你买高防 IP。如果流量那种 VPS 或虚机就 CC 你,让你买流量包。6 的很,监守自盗,谁用谁知道。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/454381

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX