V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
meetocean
V2EX  ›  问与答

网站不断被攻击, CPU 100%

  •  
  •   meetocean · 2018-07-24 22:11:49 +08:00 · 4174 次点击
    这是一个创建于 2314 天前的主题,其中的信息可能已经有所发展或是发生改变。
    以前在本站公开个人域名之后,后台不断被攻击,管不了那么多,就不理睬。

    但是致命的是,只要导致 CPU 使用率 100%,网站就崩溃,前台进入不。

    重启,过一段时间,仍然问题如上所述。

    本来人气就少,所以关闭了网站。域名又续费了,做论坛没有时间和精力管理,大环境又不好,现在想做成个人博客。


    有没有网友遇到这种情况,是如何解决的?
    29 条回复    2018-08-29 04:20:30 +08:00
    xiaohantx
        1
    xiaohantx  
       2018-07-24 22:35:40 +08:00 via Android   ❤️ 1
    应该不是被攻击吧...看看服务器日志..小站攻击成本划不来呀...
    wqsfree
        2
    wqsfree  
       2018-07-24 22:37:19 +08:00 via iPhone   ❤️ 1
    可以写个脚本,抵御一些 CC 攻击,具体还得看你是什么类型的攻击?
    meetocean
        3
    meetocean  
    OP
       2018-07-24 22:43:20 +08:00
    @xiaohantx
    有两种,一种是用 PHP 写的访问记录,记录里有各种试图找漏洞的 URL ;
    一种是服务器的日志,日志里显示很多外部 IP 的 SSH 访问。
    应该网站本身没有被攻破,但是 CPU 到 100%之后,就无法访问。

    另外,那种攻击似乎是程序自动化攻击。
    troy123
        4
    troy123  
       2018-07-24 22:50:46 +08:00   ❤️ 1
    请求频率限制
    wafm
        5
    wafm  
       2018-07-24 22:56:12 +08:00   ❤️ 2
    WAF 可以抵御一下
    meetocean
        6
    meetocean  
    OP
       2018-07-24 23:00:23 +08:00
    @wqsfree
    应该是 CC 攻击与 SSH 暴力登录尝试攻击比较多。
    meetocean
        7
    meetocean  
    OP
       2018-07-24 23:02:08 +08:00
    当时因为没有太多的时间深入分析,不知道是哪种攻击导致的 CPU 100%。

    网站用的 Google Cloud Platform。应该可以抵挡 SSH 暴力登录尝试攻击吧?
    meetocean
        8
    meetocean  
    OP
       2018-07-24 23:05:25 +08:00
    网站初期没有什么人气,只有几个注册用户,本想能安安静静的建一个网站,但是仍然难逃被攻击的厄运。

    哎,想减少折腾都不行。
    meetocean
        9
    meetocean  
    OP
       2018-07-24 23:14:03 +08:00
    人气这么少,还有人用多种方式攻击,应该是冲着源代码来的,不然没有意义。

    网站比较核心的代码,就是“生辰八字排盘系统”,这类排盘系统网上有很多,所以价值性也不高。

    能确定的是,这是楼主原创的,和其它系统的区别就是比较有创意性,很细致,可选项比较多,排盘样式可定制。
    yongshou
        10
    yongshou  
       2018-07-24 23:31:11 +08:00 via Android   ❤️ 1
    装个安全狗试试看
    xujinkai
        11
    xujinkai  
       2018-07-24 23:38:13 +08:00 via Android   ❤️ 1
    ssh 改个端口基本就解决了 网站不懂
    3dwelcome
        12
    3dwelcome  
       2018-07-24 23:39:34 +08:00 via Android   ❤️ 1
    cpu 百分百是内存挤爆的问题,多留点预报内存,别全用完。
    一般攻击是不太可能长期 cpu 100 的,除非是逻辑死循环了。
    wqjdzh
        13
    wqjdzh  
       2018-07-24 23:46:16 +08:00   ❤️ 1
    应该是网站被写入了木马文件造成的,不断消耗内存,并不是一直被攻击造成的.
    meetocean
        14
    meetocean  
    OP
       2018-07-24 23:50:54 +08:00
    @3dwelcome
    这个有可能,只是加内存,费用也会提高。
    meetocean
        15
    meetocean  
    OP
       2018-07-24 23:55:12 +08:00
    @wqjdzh
    当时也想到这种可能性,但是没有发现多余的文件以及可疑的文件。目前能确定的攻击是 CC 和 SSH,也许还有其它攻击没有发现。
    ryd994
        16
    ryd994  
       2018-07-25 00:12:41 +08:00 via Android
    WordPress ?有验证码插件
    meetocean
        17
    meetocean  
    OP
       2018-07-25 00:23:24 +08:00
    @ryd994

    用的 Laravel 框架。

    从后台的请求可以看到,攻击者在猜测各种流行的框架,WordPress 也在其中。
    herozhang
        18
    herozhang  
       2018-07-25 00:23:31 +08:00
    把域名解析转到政府或者军队网站,等对方被抓了,你再解析回来。
    ryd994
        19
    ryd994  
       2018-07-25 00:43:04 +08:00 via Android
    @meetocean 上验证码吧
    再不济在 Web 服务器上限制频率,就限制后台页面,特别是登录页面
    不怕麻烦的话可以限制 127.0.0.1 访问,每次操作都 ssh -D 代理上去
    sdushn
        20
    sdushn  
       2018-07-25 00:45:04 +08:00 via Android
    @herozhang 这招好用的,不过有可能会被请去喝茶
    Wincer
        21
    Wincer  
       2018-07-25 07:26:31 +08:00 via Android   ❤️ 1
    试试把 ssh 禁止用户名密码登陆?我之前的服务器也会有人暴力登陆,后来禁止密码登陆后就好了
    meetocean
        22
    meetocean  
    OP
       2018-07-25 08:40:14 +08:00
    @Wincer
    GCP 平台默认就没有密码登录,用的是 SSH 密钥方式登录。

    回复你这个问题时,我查看来一下开发文档,“配置本地 SSH 的快捷登录.md"文件内容,用的密钥,没有使用密码。

    上传文件用的 GIT,也是用的调用 SSH 密钥方式。
    GreatHumorist
        23
    GreatHumorist  
       2018-07-25 08:58:51 +08:00 via iPhone   ❤️ 1
    有没有可能是 mysql 慢查询啥的
    meetocean
        24
    meetocean  
    OP
       2018-07-25 09:13:39 +08:00
    @GreatHumorist
    这个可能性不大:
    1. 当时的数据相当小,真实用户才几个,加上虚拟用户,一起不超过 20。
    所以既是出现慢查询,也不会产生实际的慢效果。

    2. 本人对 mysql 也算很熟悉,如果有慢查询出现,会优化的。mysql 也有检测查询效率的方法。
    kilohaty
        25
    kilohaty  
       2018-07-25 10:53:14 +08:00
    只遇到过被 《挖矿程序》 入侵,CPU 100%
    akira
        26
    akira  
       2018-07-25 17:12:32 +08:00
    很大机会是被人当矿机了
    FormatC
        27
    FormatC  
       2018-07-26 00:20:14 +08:00 via Android
    正确答案:网络风暴
    janusec
        28
    janusec  
       2018-07-28 10:58:34 +08:00
    网站被盯上,该上 WAF 了,有很多免费的。比如:Janusec 应用网关(Janusec Application Gateway),提供 WAF (Web Application Firewall, Web 应用防火墙)、CC 攻击拦截、统一 Web 化管理入口、证书私钥保护,Web 路由以及可扩展的负载均衡等功能,是应用安全领域的最佳实践。

    如服务器为 Linux, 可以与网站部署在同一台主机上。
    testsec
        29
    testsec  
       2018-08-29 04:20:30 +08:00 via iPhone
    楼主试试这个 魔方云盾是一款免费基于云端的抗攻击,访问加速服务,魔方云盾拥有遍布全球的加速抗攻击节点,能够让您在最低成本的情况下 解决掉 99%的 ddos/cc 攻击 一键免费开启 https

    魔方云盾官方网站 www.wafcloud.net
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:33 · PVG 17:33 · LAX 01:33 · JFK 04:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.