一直拿腾讯云轻应用服务器当 frp 用,最近想着分享一些文件给别人,开了个 nginx 服务器上传了一些静态文件让人临时下载一下。开 accesslog 看了一下,发现有时会有些来自腾讯云自己服务器在访问这些文件。一般正常人都是一批文件一起下载的,accesslog 里面看到是连续相同的 IP 在访问,但来自腾讯云的访问是单独的且一个 IP 只访问一个文件,不带重复的。我的文件名都是 20 位随机字符,而且没开目录 index ,感觉一次命中路径基本不可能。我的 frp 等对外服务都是开在各自 docker 里面,不太像 host 被挂马,挂马感觉也完全不需要再走 nginx 访问一遍下载。
想了一下会不会有可能是请求被子网内其他主机监听然后重放?症状是下面这样的:
A 型攻击的日志
114.132.203.161 - - [05/Jun/2023:11:46:32 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 5601404 "http://xxx/download/play.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36" "-"
106.55.201.95 - - [05/Jun/2023:11:46:38 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 6505301 "-" "-" "-"
它先拿 114.132.203.161 这个重放了 play.html 的请求,没把文件下载完,然后换了个 IP 重新下载了文件。它这个 UA 看着像哪个 headless browser 的。
B 型攻击的日志
我的 IP - - [05/Jun/2023:18:35:58 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
220.196.160.96 - - [05/Jun/2023:18:46:02 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
我开始以为是爬虫爬的,设了 referer 和 UA 的过滤,然后想着拿 curl 试一下,结果隔了几分钟有另外一个 IP 照着我的请求来了一次。
所以这种是腾讯云的问题吗?还有什么办法发现攻击源以及防止攻击?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.