前天四百大妈(《spider-man:no way home》)提前放流,我随即便下载了“资源均为网友上传,仅供测试宽带所用,严禁用于商业用途,否则产生的一切后果将由我自己承担!本站将不对本站的资源负任何法律责任!如支持作品,请购买正版!”的学习版的《四百大妈:no way home》进行观摩学习。
防止后续被查水表,对文章中人物,时间,地点做了混淆处理
事情起因 🔗
前天晚上某人突然发来两张张截图
随即反问我:变肉鸡了?!
我当时看到就麻了,服务器中“病毒”我不会整啊,我第一反应要不重装系统算了,但毕竟是生产环境服务器,各种服务在上面跑着,还要隔离迁移服务,头就大。
看到一秒几千的连接数头就大,这不就是一秒几千次“攻击”麻,到底是被谁淦的jio本啊,服务器疯狂“DDoS”人家:(
分析过程 🔗
查看登录用户 🔗
既然是被黑了我第一反应是查看最近有哪些用户登录过服务器,但是发现都是自己,而且服务器是放在内网。服务器22端口也未透出了,不排除日志文件被篡改。但是是否被篡改我现在还无法判断。先存疑!
流量分析 🔗
看了一下这几天出口流量
24(h)*1(GB/h)
( ゚∀。) 有点好奇学校为什么还没过来查水表
一开始以为是我放在生产服务器私货qbittorrent在工作,开始做上传。 但是流量明明是80端口发向目标的IP的高位端口的,而我qbittorrent的上传端口明明也是高位端口,而且docker也不在工作。所以不太可能是qbittorrent。
随即我翻了一下nginx的配置文件,部署在80端口服务就那么几个。当我看到80端口的资源站时候!
服务器不是被黑,是有人在资源站下东西!!( ゚∀。)
我立刻想到我前天下载的“学习版四百大妈”
打开nginx的log一看,果不其然!
事后反思 🔗
分析nginx的log发现一堆的chrome/34的上古版本,猜测是某下载器的伪造的请求头,应该是某位同事使用某雷下载电影,某雷识别到之后,将资源站变成它的某个“CDN”了吧。连忙在nginx配置ban掉来自chrome/34的请求。
最后,“不要公器私用的🤐”