阿里云经常发邮件说我的机子“由于被检测到对外攻击,已阻断该服务器对其它服务器端口 UDP:ALL)”是怎么回事?

2018-08-23 08:36:05 +08:00
 kernel
机子上只装了 postfix 对外端口并改了端口号和一个自已写的爬虫,没有其它对外监听端口。
最近几个星期经常隔几天收到一个邮件:

“”“
您的云服务器( XXX )由于被检测到对外攻击,已阻断该服务器对其它服务器端口( UDP:ALL )的访问,阻断预计将在 XXX 时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。
”“”

每次被阻时间虽不长,我也没采取措施就好了(其实是我根本不知道哪有被攻击的点啊,只装了个 postfix ),过几天再来一次,但是很烦不是?

PS. 机子用了 5M 固定带宽,流量有时大有时小。
8040 次点击
所在节点    云计算
17 条回复
x86
2018-08-23 08:38:22 +08:00
怎么回事,让你买安骑士呗
tatelucky
2018-08-23 08:38:34 +08:00
不是有客服吗?
kernel
2018-08-23 08:44:58 +08:00
另外我发现了,每次都是早上 6 点前一段时间,是我的爬虫工作最忙的点(同时会把数据发到另一机房),基本 5M 用满,平时流量不大。
难道是因为阿里云发现我平时流量不大一到那个时间点连着 4 小时左右大流量就认为我是在发攻击?

这是最近二个月开始有这消息,以前还没有,感觉可能是最近新上的功能。
kernel
2018-08-23 08:47:09 +08:00
@tatelucky 因为实际上似乎没有对我的爬虫产生影响,也没有报错,发生的时间每次都是我在睡觉时也办法上去看看网络情况
ray1980
2018-08-23 08:50:10 +08:00
只有 WP 和几个没啥流量的站,也同样收到消息。
ww2000e
2018-08-23 08:56:59 +08:00
以前免费用半年,我什么也没做,也会发安全提示给我。。。
yidinghe
2018-08-23 08:59:05 +08:00
我也不知道如何排查,所以只能无视了。
opengps
2018-08-23 09:01:47 +08:00
服务器里有向外发 udp 协议数据的程序,这种情况误判可能性不大,还是找你们网工查查吧
我能提供的思路是 分时段使用 netstat 命令,找出 udp 对外发数据的进程 id,逐一排查进程是不是可信的
lujjjh
2018-08-23 09:04:52 +08:00
多半是 UDP 反射攻击,不提供 UDP 服务的话可以直接禁掉入站的 UDP
imn1
2018-08-23 09:07:03 +08:00
都是语文没学好么?
「对外攻击」,不是被攻击,就是你是主动发起方,你爬虫频率太高了吧?
lujjjh
2018-08-23 09:33:07 +08:00
@imn1 反射攻击了解下,https://codehut.me/posts/Y3Vyc29yOjMx

爬虫频率太高不应该阻断 UDP
kernel
2018-08-23 09:36:59 +08:00
@opengps 所有发通知的时间和我爬虫的高峰是一致的,应该是误判。

@imn1 我不就是说的这情况? 另外我爬虫频率不高,只是流量大一点(再大也是 5M,能大到哪里去),而且我只连接固定不到 5 个网站。

@lujjjh 没有 UDP 服务,只有 postfix 和一个默认端口 111 的 rpcbind,别人应该不能借路
opengps
2018-08-23 09:47:15 +08:00
@kernel 不排除误判可能
另外你的爬虫应该用不到 udp 协议吧,网站爬虫都是 7 层 http ( https ),基于 4 层 tcp 的
触发检测规则的应该不是你的爬虫
lxg1421
2018-08-23 09:59:13 +08:00
我们服务器之前是开放所有端口,好像是被当肉鸡了,重新加了安全组没事了
lujjjh
2018-08-23 10:19:44 +08:00
@kernel 默认开启的端口才是最危险的……我一开始也以为我的是误判(似乎不购买收费服务就看不到源端口和目标端口),机器上只开启了 ntpd 和 rpcbind。

但是我研究了下阿里云的网络流量监控,发现阿里云给出的疑似攻击的点出流量和入流量成正比,很像是反射攻击。你可以看看你的异常点的入流量是否正常。

ntpd 和 rpcbind 因为协议设计原因都可以用来反射攻击: https://www.aqniu.com/threat-alert/9897.html
shenkai600
2018-08-23 16:07:50 +08:00
这个报警一般就是被黑了,做一下安全组,sshkey 也换一套吧,进程定时任务系统日志什么的都查一套。
MorningBOBO
2018-08-23 18:10:30 +08:00
有可能是误判,检查下出入口的流量

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482363

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX