记一次阿里云ECS被DDOS攻击100+G流量

突然收到一条阿里云发来的信息：

为了保障服务器的稳定运行，您的IP：139.196.95.XX实例名称：网络人 已启动限流保护措施，阈值与产品规格相关，您可以登陆云盾控制台调整清洗阈值。

发现网站打不开，SSH也无法登陆，使用了控制台重启命令，没有任何反应，开始方了！！

发现可以通过控制台提供的SSH登陆查看。开始我以后服务器出现了错误，因为我在后台看到了CPU与带宽有一个瞬间峰值，明显的不正常，以后服务器被黑掉了。

通过查看历史命令发现了2条：

MAKRER=SHOW_LOCALE;printf $MAKRER""; locale; MAKRER=SHOW_LOCALE;printf $MAKRER"";
CHECK_TYPE=SHELL; echo "INFO=${CHECK_TYPE} PID=$$ PPID=$PPID TTY=$(tty) SHELL=$0 HOME=$HOME PWD=$PWD| CHECK_SHELL_END"

这是什么鬼，尝试运行了一下：

SHOW_LOCALELANG=en_US.UTF-8
LANGUAGE=
LC_CTYPE="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_PAPER="en_US.UTF-8"
LC_NAME="en_US.UTF-8"
LC_ADDRESS="en_US.UTF-8"
LC_TELEPHONE="en_US.UTF-8"
LC_MEASUREMENT="en_US.UTF-8"
LC_IDENTIFICATION="en_US.UTF-8"
LC_ALL=

INFO=SHELL PID=1673 PPID=1665 TTY=/dev/pts/1 SHELL=-bash HOME=/root PWD=/root| CHECK_SHELL_END

只是得到了相关的信息，并没有什么特别的。后来多次尝试发现这就是使用了阿里云控制台重启功能生成的命令。也不知道有什么作用。

然后我提交了工单询问情况，阿里云的人工20分钟了都没有任何回复，我又点了一下催单，大约5分钟后，告诉我如下：

您好, 查看服务器进入黑洞, 默认的黑洞时长是2.5小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响：
攻击是否持续。如果攻击一直持续，可能重新触发黑洞机制，黑洞时间将会延长。
攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。

开始搞不懂什么鸟黑洞，然后根据链接看了一下原来是被Ddos攻击，自动被隔离了。由于是第一次被攻击，大约1小时后就解封了。

正常情况下我都没有开启网站日志的习惯，所以不知道攻击来源是什么地方。有过这次教训后，马上开始了访问日志。看看是哪个鸟人没事来攻击！

我通过aliyun的控制台可以看到攻击的部分信息：

1. 登录云盾DDoS防护产品控制台。
2. 在资产中心页面上方选择资产所在地域。
3. 单击对应页签，选择要操作的云产品类型：ECS、SLB、EIP（含NAT）、其他。
4. 在实例列表中定位到要操作的实例，单击其IP。
   如果实例过多，建议您使用实例ID、实例名称或实例IP搜索目标实例。

101G来攻击我这个小站，是不是大炮打蚊子啊，也不知道这是怎么想的！

除非注明，网络人的文章均为原创，转载请以链接形式标明本文地址：https://www.55mx.com/post/69