这是一个创建于 378 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在家里搭了一套服务器,向电信申请了动态公网 IP ,通过 DDNS 绑在一个域名上,用的高位端口,开了防火墙,用 Lucky 做反代。
然后我开了一个 AList 服务给我自己挂载网盘用,服务从未公开给任何人。
但是最近通过 LOG 文件发现,有人通过很多的肉鸡服务器,一直访问我 AList 目录下一个狂飙的资源(而且在我发现这个事情之后我第一时间删除了这个资源,但还是持续访问(肯定是无法成功访问的)):
2025/01/17 00:33:07
{"ExtInfo":{"ClientIP":"27.10.81.218 中国|重庆|重庆市|联通","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"},"level":"info","msg":"Upgrade [] Connection[keep-alive]"}
2025/01/17 00:33:07
{"ExtInfo":{"ClientIP":"27.10.81.218 中国|重庆|重庆市|联通","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"},"level":"info","msg":"[alist.mywebsite.com] access target url [http://192.168.0.209:5244/d/%E5%A4%B8%E5%85%8B/%E6%9D%A5%E8%87%AA%EF%BC%9A%E5%88%86%E4%BA%AB/%E7%8B%82%E9%A3%99/%E7%8B%82%E9%A3%99.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0]"}
2025/01/16 23:53:56
{"ExtInfo":{"ClientIP":"59.51.225.47 中国|贵州省|铜仁|电信","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Linux; Android) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36"},"level":"info","msg":"Upgrade [] Connection[Keep-Alive]"}
2025/01/16 23:53:56
{"ExtInfo":{"ClientIP":"59.51.225.47 中国|贵州省|铜仁|电信","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Linux; Android) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36"},"level":"info","msg":"[alist.mywebsite.com] access target url [http://192.168.0.209:5244/d/%E5%A4%B8%E5%85%8B/%E6%9D%A5%E8%87%AA%EF%BC%9A%E5%88%86%E4%BA%AB/%E7%8B%82%E9%A3%99/%E7%8B%82%E9%A3%99.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0]"}
2025/01/16 21:30:45
{"ExtInfo":{"ClientIP":"115.239.40.115 中国|浙江省|嘉兴市|电信","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Linux; Android) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36"},"level":"info","msg":"[alist.mywebsite.com] access target url [http://192.168.0.209:5244/d/%E5%A4%B8%E5%85%8B/%E6%9D%A5%E8%87%AA%EF%BC%9A%E5%88%86%E4%BA%AB/%E7%8B%82%E9%A3%99/%E7%8B%82%E9%A3%99.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0]"}
2025/01/16 21:29:48
{"ExtInfo":{"ClientIP":"115.239.40.115 中国|浙江省|嘉兴市|电信","Host":"alist.mywebsite.com:20404","Method":"GET","URL":"/d/夸克/来自:分享/狂飙/狂飙.2023.E13.WEB-DL.4K.H265.AAC-HDCTV.mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0","UserAgent":"Mozilla/5.0 (Linux; Android) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36"},"level":"info","msg":"Upgrade [] Connection[Keep-Alive]"}
这个地址分布于全国各地,每天持续更换 ip 攻击,一小时几百次访问,我不得不开白名单,这也影响了我自己使用。
我有两个疑问想问问各位大佬:
- 他是怎么知道我这个具体狂飙资源的地址的,我可以保证我从未分享过给任何人,但是我用过网易爆米花这款 app 并且挂载了我的 AList 的 WebDAV (目前早已卸载,并且只在手机使用 ios 客户端),这是我能想到的唯一可能获取到我具体内容的方式了,要么就是爬虫?空间搜索引擎可以做到吗?
- 他持续访问我这个资源(为什么只有狂飙这一集?),能做到 AList 漏洞攻击到我的内网吗?这是什么攻击方式?我排查正常的访问没有后面这串
mp4?sign=ab4a9131bAVolZvK1S0PYMpOwpf3y3HXhrDVUGG5MLc=:0,如果这是我的登录密钥,对方又是如何找到的?而且这样难道可以拿到我的写入权限?
还请各位赐教,谢谢。
 |
1
JensenQian 2025 年 1 月 17 日
可以啊
fofa 搜就能搜到啊 我的建议是别放公网上 你搞个 openvpn 也好,wireguard 也好,别的什么 vpn ,ss 工具也好,连回去 完事了 |
 |
2
Cineray OP @JensenQian 我自己再 fofa 是搜不到的。
我知道 vpn 的解决方案,出差在酒店访问也不方便,有时候给外地同事分享文件也不方便。 所以这个贴我是想搞明白对方攻击的意图和方式,从网安的角度。 |
 |
3
shao 2025 年 1 月 17 日
吓得我立刻打开了自己的 lucky 查看 alist 的反代 log 。
|
 |
4
k9982874 2025 年 1 月 17 日 via Android
word 哥,你们反代都不加登录验证的吗?
|
 |
5
bobryjosin 2025 年 1 月 17 日 via Android
|
 |
6
lizenghui 2025 年 1 月 17 日  1
你肯定把链接分享出去过。 对方可能下载时候自动唤起了迅雷。哈哈。别问我咋知道的。
|
 |
7
ntedshen 2025 年 1 月 17 日
ddns 指定准确的域名就等于暴露域名啊,又不是说自己不到处贴就不算公开的。。。
fofa 或者 censys 找不到可能是你一部分域名套了 cf 的原因?但是国内的可以看到你有一个带了某剁椒鱼头大省 ip 的 alist.域名和 portfolio.域名。。。 扫端口也是属于家常便饭了,感觉可以看看有没有关 ip 访问? 开了 https 的部分如果你用公共证书服务或者自签的时候带了具体的子域名。。。 但是不开 https 的话,整个链路上都可以看到你访问的具体地址和内容,这个可以猜测的地方就很多了。。。 |
 |
9
yh7gdiaYW 2025 年 1 月 17 日
看 IP 地址应该不是网易爆米花的问题,网易的机房没有这么多地方
|
 |
10
jpyl0423 2025 年 1 月 17 日
alist 不用登录的吗?分享也能设置签名和过期时间
|
 |
11
RobinFai 2025 年 1 月 17 日
看日志是记录的 http ,如果反代也是 http 的,拿这个请求和响应在整个网络中都是明文的,中间过路的节点都能做过滤分析
|
 |
12
crackself 2025 年 1 月 17 日
alist 上公网切记开访问账号验证
|
 |
13
xfXqz1417LakqH82 2025 年 1 月 17 日
可能人家就单纯想狂飙看看而已
|
 |
14
shenyuzhi 2025 年 1 月 17 日
搞个 http 基本认证好了
在反代里配置,不需要写代码 下载软件什么的也支持 |
 |
15
zenghx 2025 年 1 月 17 日
你是不是用迅雷这种下载工具下过
|
|
16
Cineray OP |
|
18
Cineray OP @bobryjosin 谢谢,我去加个签名
|
Select Language