被攻击-服务器流量跑满--论坛显示人数很多

k16868k

【如内容违法或虚假，请联系上述邮件删除】时间：2017.1.22号
网站：www.motomi.cc
效劳器： 阿里云ECS
操作系统：WIN2008
带宽：1M（今天发现被占满后我升级到了2M）
状况阐明：由于好几天自己都没有上网站去看看，今天发现很卡，然后就在后台看了一下，发现一个礼拜内带宽都是跑满的状况，由于我的网站没什么人气，所以基本不可能跑满带宽，我去网站后台查看了一下最近的访客，也没几个人，但是在论坛前台居然显现有1000多人在线，这个应该就是被人搞了吧




我采取的措施：
发现这个状况之后我也是一头雾水，不知道从哪里下手，所以
1.我第一步就直接咨询了阿里云的客服，客服说他那里看是没有什么问题，很正常，然后客服通知我能够提交工单咨询工程师，我工单问了一下工程师得到的回答


2.然后我依据工程师的说法，先树立了一个实例快照，以防万一，效劳器上我没有装置杀毒软件，由于有人说没卵用，然后有人说用百度的云加速，我就把DNS改成百度云加速的了，可惜似乎一个吊样，还是没有用。
3.阿里云效劳器那里有个云盾，我也是翻开一个基础版，不知道有没用处，但是问题还是没处置




讨教：
1.怎样细致查询出问题出在哪里？我是效劳器里面的超级傻蛋，都不懂，看了很多很专业的完整一头雾水
2.查出问题之后要怎样处置啊？求大神一定救我


大好人终身安全，小弟不容易啊，弄个小网站玩玩被这么搞，我置信对大神来说这是小事一桩，但是真是难道我了，我会不时跟进这个帖子，直到问题处置，也为以后遇到我一样问题的人一个处置计划。谢谢(关注老榕树网络旗下“网络思维”微信公众号:wlsw360 (每天都有好文章)

 

                                                   本帖如有虚假或违法，请联系邮箱删除，本社区删贴不收任何费用，欢迎举报。老榕树社区属老榕树网络旗下网站，旨在为老榕树用户提供创业咨询、网站建设技术交流、源码下载、提供各种实用工具。如有部分帖子涉及违法、虚假，请你第一时间与社区联系，把需要删除的社区链接提供给我们，我们核实之后，第一时间删除。邮箱：125175998@qq.com

2014伤心男

处置计划这个给不出来，小事一桩也一定。这个需求细致看下，假如你有兴味的话，我这里有偿提供技术支持。能够加qq 861827250 处置问题后付费。

天天三餐白米饭

做网站这是常态
检查IP衔接数，发现衔接太多的禁掉，再重启效劳器。特别是有些采集软件，24小时蹲在这里不时采集数据，一定要禁掉。
听说阿里的云盾不是太管用，貌似云锁还好一些，也可能都不论用。

草木沁清

网站入口文件index.php里的<?php下面添加：
//获取UA信息
$ua = $_SERVER['HTTP_USER_AGENT'];
//将歹意USER_AGENT存入数组
$now_ua = array('FeedDemon ','BOT/0.1 (BOT for JCE)','CrawlDaddy ','Java','Feedly','UniversalFeedParser','YisouSpider','ApacheBench','Swiftbot','ZmEu','Indy Library','oBot','jaunty','YandexBot','AhrefsBot','MJ12bot','WinHttp','EasouSpider','HttpClient','Microsoft URL Control','YYSpider','jaunty','Python-urllib','lightDeckReports Bot');
//遏止空USER_AGENT，dedecms等主流采集程序都是空USER_AGENT，部分sql注入工具也是空USER_AGENT
if(!$ua) {
header("Content-type: text/html; charset=utf-8");
wp_die('请勿采集本站，由于采集的站长木有小逼逼！');
}else{
    foreach($now_ua as $value )
//判别能否是数组中存在的UA
    if(eregi($value,$ua)) {
    header("Content-type: text/html; charset=utf-8");
    wp_die('请勿采集本站，由于采集的站长木有小逼逼！');
    }
}

二，在.htaccess文件下添加所要屏蔽的爬虫：
RewriteCond %{HTTP_USER_AGENT} Python-urllib [NC,OR]
RewriteCond %{HTTP_USER_AGENT} YisouSpider [NC,OR]


【参考】：依据User-agent特征来屏蔽爬虫，运用.htacess文件：

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^Ezooms
RewriteCond %{HTTP_USER_AGENT} ^Ezooms/1.0

星河宇飞来

这个问题我个人查了近一个月时间，刚开端以为是黑客所为，后来觉得不短冖，一路查下来，估记跟程序及主机相关商家都有关系。
更奇特的是，有一个帖子内容被抬高到近十万，重复删除后，这些爬虫只盯着某一个链接死命爬。虽说这个内容跟魏则西或武警相关，但也不需于敏感事情，这些内容在网上随意一找就是一大把。
而且这个最开端的链接，只需一点击，整个网站断线，十分奇特。

网站原本就没有会员，所以，屏蔽一切来源IP，从主机到网站后台。问题倒是处置了部分，速度上明显进步。
但同时呈现了另外一个问题，不论是屏蔽IP（那些死盯着某一个链接的IP），或者是屏蔽歹意爬虫代理，腾讯剖析就登录不上。由于我需求在这里查看地域来源。
因而来看，这个事情跟腾讯剖析是脱不了关系了。
综合剖析起来，觉得是程序某处的安全问题，或被某些有心机的人应用了某些漏洞。

蓝小振

浪子在线 发表于 2017-1-24 10:25
这个问题我个人查了近一个月时间，刚开端以为是黑客所为，后来觉得不短冖，一路查下来，估记跟程序及主机相 ...
昨天曾经有偿辅佐楼主搞定了问题，你说的是一方面缘由，还有的问题是mysql占用内存居高不下。这些都需求全面排查的。至于爬虫这块如无特殊请求能够疏忽的，由于这个占用不了多少带宽和流量。即便是大量的成千上万的，也不会呈现宕机的现象。不然大家就都怕蜘蛛了。

王活泼

我上面所说的二种办法，第一种，同样的主机，同样程序，却呈现一个呈现500错误，另外一个却正常，也让人十分不解。
参考的那个，我还没试，估记原理跟第二个差不多。
虽说到底能不能屏蔽这些歹意爬虫，还真不知道，但最少能带来一点速度，或者某些思绪。为什么这些来源跟腾讯剖析有关呢？也是一个十分不解的问题，一切来源代理都是Python-urllib/1.17或2.6或2.7。

辰林靳苒

浪子在线 发表于 2017-1-24 10:25
这个问题我个人查了近一个月时间，刚开端以为是黑客所为，后来觉得不短冖，一路查下来，估记跟程序及主机相 ...
系统环境问题站了很大一部分。很多站长运用的是一站式组件环境，招致系统盘部分目录权限开放水平较大，端口开启的比较多，给了黑客不时扫描效劳器端口和入侵的便利条件，假如对方运用的是肉鸡中止批量扫描。这个十分占用效劳器内存和带宽，另外程序的一些设置有的站长采取的默许设置，也会有一定的影响，这个需求依照效劳器带宽，内存，cpu等相关参数，合理的分配。并对php.ini和sql中止优化。

王活泼

hhb121 发表于 2017-1-24 10:29
昨天曾经有偿辅佐楼主搞定了问题，你说的是一方面缘由，还有的问题是mysql占用内存居高不下。这些都需求 ...
我是昨晚无意到这里，看到楼主发的这个，估主跟我遇到的状况差不多。人嘛，碰到一样的事情，能不能处置，其实心里也没底，就算给个不一样的思绪。
原本昨晚就想发到这里，可论坛上限制了发贴时间，搞到四点才睡的，一醒来就发这个了，不论有没有用，我还是希望提供处置办法的人多于这类生儿子没屁眼的运用歹意爬虫的人。这样，整个网络环境会好些，让技术人员专心做好，进步技术。而不是把时间破费在这些方面················

小小小童话

hhb121 发表于 2017-1-24 10:29
昨天曾经有偿辅佐楼主搞定了问题，你说的是一方面缘由，还有的问题是mysql占用内存居高不下。这些都需求 ...
你错了，歹意爬虫一爬起来，跟DDOS攻击一样的，他是不论robots文件上的阐明的，主机内存耗费带来整个网站的访问速度的。
其实我早就遇到这个事情，都不知道怎样处置。假如是阿里的员工，他肯定说是你主机配制底，需求升级。这个问题去年在它们那里遇到过。
这 次查下来，觉得爬虫的影响真的不可藐视。那个速度，真不是一样的。
问题远远还没有查到根上，或许还有没有发现的。
曾说过不到这里来的，可真实是忍不住发回复。希望这些能惹起官方的留意：
某一链接能影响整个网站乃至整个主机的瘫痪。

扭扭丹丹

回来再啰嗦一句，十分轻视应用歹意爬虫的主机商或域名代理。
他这爬虫一爬，网站速度就明显下去，你找它，它会说是由于配制底，需求你升级，增加配制。
或者你的主机转移了不在它那里了，他就运用这种伎俩来报仇，让你觉得还是在它那里好。

浪子在线原域名在一年前就停此解析了，往常，我才知道他被墙了。
在这个过程中，没转移前几年都没动，也没有发现这个墙不墙的，都不知道墙是啥回事。转移中，动过一家域名商，转过二家主机商。到底是在哪家呈现这个状况，往常还真的难查。
转移域名商或主机商，这中间的解析都呈现某种问题，当时运用了新域名，所以，老域名不时没有理睬它，也没管它，差不多算是中止解析。

在这个爬虫事情后，想起了某些事情，把老域名同样解析到新域名上。
一连串的问题就连了起来。
老域名的解析，只需一点击，就跟前面所说的点击链接标题能瘫痪主机一样，整个网站断线。
再一查，老域名被墙了。
因而我把这整个问题的起点向前推进，事情的缘由从何而起。

这些事情看似没有关连，呈现的状态，却是一样的。
老域名能断线，一个链接也能断线，腾讯剖析的代理或IP都无缘无故的牵了进来，等等。
看似无关，却好象有点关连，看似有关连嘛，这个源头却不知道在哪。