部署在腾讯云的公益网站遭受了一次 CC 攻击

12月30日下午,宝贝回家论坛一台服务器(server4)开始出现异常的高负载情况。首先是自动触发了自动扩容

机制,增加了新服务器进来分担压力,保障了服务的持续可用,给问题解决争取了时间窗口。

随后手机收到告警短信,登录腾讯云控制台,首先排除了DDOS,因为外网入带宽和出带宽都正常。异常的是内网出带宽和入带宽。难道有内网的服务器发起攻击?

登录到服务器上来看,top没有看出什么异常,没有特别高的进程,php-fpm进程确实多了一些,每个进程的cpu时间也确实长了一些,但是也不说明什么问题。看access_log也没有看到ip聚集的请求。

怀疑服务器本身有异常,把服务器重启了一下,问题没解决。

把出现问题的服务器(server4)从负载均衡中踢出,问题立刻消失。加回到负载均衡集群中,问题没有再出现了。

随后发现,另一台原来没有问题的服务器(server1)现在变成高负载了。一样从负载均衡中踢出来再加回去,这下两台都高负载了。

没有什么头绪,只好继续分析access_log。这次看出来问题了。

有一批来自世界各地的肉鸡(也可能是伪造的ip)在根据用户ID一个一个的访问用户资料。这些ip都来自哪里的呢?

所以问题很清晰了,这是一个CC攻击,并且攻击ip是分散的,不能通过封ip来化解。

攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(ChallengeCollapsar)。

对于CC攻击,discuz是有对应的设计的,可以在config_global.php中配置,不过对抗手段都会或多或少的影响到正常访问。针对这次攻击我启用了 $_config['security']['attackevasive']=4

也就是要求每个用户第一次访问的时候都要看一个2秒的等候页面,然后自动进入原来的访问地址,这是目前对于用户访问体验伤害最小的方式(用户什么都不用做,只要第一次等2秒就一切正常了)。如果CC攻击没有继续升级对抗这个策略的话,这次攻击应该就到此为止了。

相关推荐

新时代运维监控能力的进化——天网云用户体验监控平台实践

【黑客解析】黑客是如何实现数据库勒索的?

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维杂家技术分享

腾讯云VPN网关对接StrongSwan开源VPN软件配置手册

ECS选择Linux centos 7.4 (服务器创建过程不进行演示请自行查找)

38911
来自专栏Rainbond开源「容器云平台」

好雨云帮问答集锦( 2017.04.03-2017.04.16)

1156
来自专栏ThoughtWorks

避免CI成为一个安全隐患|洞见

背景 最近临时交接了一个客户测试环境和产品环境的维护工作。交接的客户资产包含:代码库、生产环境主机、测试环境主机、搭建在测试环境主机上的持续集成服务器以及对应的...

3298
来自专栏云计算教程系列

如何减轻memcached的放大攻击

在2018年2月27日,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝...

1614
来自专栏安恒信息

Memcached反射放大DDoS攻击威胁分析

2018年2月27日,多国CERT和多家网络和云运营商报告称,恶意攻击者正在使用不安全配置的Memcached服务器来借力放大DDoS攻击。 根据报告,Memc...

2995
来自专栏云计算D1net

Linux现严重安全漏洞

GnuTLS库中的一个源代码错误可能证明是对Linux用户隐私的一个严重威胁,因此开发者紧急修复这个安全漏洞。GnuTLS库是大量的不同Linux发布版软件...

2736
来自专栏吴伟祥

版本控制工具(CVS、SVN、GIT)简介 原

版本控制工具:  提供完备的版本管理功能,用于存储、追踪目录(文件夹)和文件的修改历史,是软件开发者的必备工具,是软件公司的基础设施。版本控制软件的最高目标,...

983
来自专栏迁移服务平台

腾讯云文件迁移使用指南

迁移上云的时候,会有迁移上腾讯云对象存储(cos)的需求,目前的迁移方案有两种:1、cos提供的COS Migration工具;2、客户自己利用友商和cos的a...

1864
来自专栏张善友的专栏

持续集成及部署利器:Go

Go是一款先进的持续集成和发布管理系统,由ThoughtWorks开发。(不要和Google的编程语言Go混淆了!)其前身为CruiseControl,是Tho...

2345
来自专栏CSDN技术头条

Docker 1.9版本修复互联和存储的缺陷

Docker 1.9发布了,并且它修复了Docker用户长期以来的顽疾:互联(Networking)。 Multi-Host Docker Networking...

1797

扫码关注云+社区