这是一个创建于 2385 天前的主题,其中的信息可能已经有所发展或是发生改变。
我维护了几十个公立医院的官方网站服务器……
它们都在阿里云
每个网站一个 ECS,每个网站独立账号,医院主体注册方便发票直接开给他们
所有网站附件都在七牛,静态资源都在 cdn 服务器,webserver 只提供动态内容
大部分都是单一 ECS,25Mbps 峰值带宽,按流量计费,预存一点钱,按流量计费,流量都很少,都是纯动态内容 少量医院不接受这种预存费之后消费开发票的,采用 5Mbps 带宽方式购买
大部分网站 5000~8000 个新闻动态输出的 HTML 页(超过一万就会删除一部分到归档数据 基本维持这个范围)
每个页基本净 HTML 文件大小 15KB-30KB
不知道从哪天起,我这里管理的所有阿里云的按流量计费的医院网站,都开始流量暴涨,以前 10G 流量包一般可用 5 个月,现在可用两天……
经过深入分析日志,所有的按流量计费的 ECS,都有大量的 UA 为 360Spider 的 bot,24 小时疯狂刷全站,每小时都把我的整站几千个新闻刷一遍……
而通过跟 360 搜索提供的资料比对,这些 BOT 的 UA 跟 360 官方 UA 不一致,且 IP 段不在 360 官方公布的爬虫 IP 段范围
它们的 IP 地址: 106.120.161.0/24 111.206.52.0/24 111.206.59.0/24 36.110.211.0/24
而我的这么多同样体量的医院网站里面,所有按带宽计费的都没出现这情况……
所以,我可能得出了一个可怕的结论:
避免被告索赔千万,算了,我啥结论也没得出,大家散了吧
 |
101
DZBM 2018-05-14 08:16:51 +08:00 via Android  1
公有云的蛋糕还大着呢,用这种手段能搞几个钱?关键是风险很大也不可持续。楼主说的也是有理有句的,坐等官方给个说法。
|
|
102
DZBM 2018-05-14 08:21:17 +08:00 via Android
公有云蛋糕还大着呢,这种手段能搞几个钱?风险大收益小还不可持续。不过楼主说的有理有据的,坐等官方给个说法。
|
 |
103
recursion917 2018-05-14 08:51:03 +08:00 via iPhone 2
如果不是阿里云,怎么解释用固定带宽的没有出现这种情况,不是内 部人员怎么知道用的什么套餐
|
 |
104
hhacker 2018-05-14 09:14:32 +08:00
我只是觉得流量包挺贵的 如果有突发流量会比用固定带宽贵
|
 |
105
19zero 2018-05-14 10:05:23 +08:00
查了一下,应该是上面有人说的 360 态势感知,为什么总是你的这几台机器,个人觉得是跟广告投放有关吧,是不是近期做了一些百度、360 的 SEO ?
|
 |
106
EricFuture 2018-05-14 10:27:50 +08:00
可怕
|
 |
107
einvince 2018-05-14 10:27:57 +08:00
前阵子机器有入侵,有设置安全组,入侵后啥也不干,就占 75 的 cpu,然后 aliyun 让买高防
|
 |
108
xiaoji24 2018-05-14 10:32:51 +08:00
厉害了,LZ 给个具体 IP 出来,大家钻研一下啊~
|
 |
109
USNaWen 2018-05-14 10:34:45 +08:00
有点意思啊。。。谁家爬站还能看计费类型的。
|
 |
110
id4alex 2018-05-14 10:36:35 +08:00
问下, 服务器 IP 端是不是不一样啊
|
 |
112
ibolee 2018-05-14 10:53:43 +08:00
|
 |
113
lq007 2018-05-14 11:19:23 +08:00
有可能用了安全漏洞检测的产品,前不久发生过医院被黑的事情。
|
 |
114
nodeath 2018-05-14 11:35:57 +08:00
你可以再切会带宽计费看看情况,这种情况也有可能是政策原因,今年开始部分地区对网页防篡改抓的很严
|
 |
115
hayao650 2018-05-14 12:30:33 +08:00
哈哈哈,我们家也有诡异的问题,前阵子两台服务器差不多固定间隔时间 CPU 飙升,检查自己代码很长时间,似乎没有发现什么会固定执行的东西,然后升级了一台的配置,一下子就清净了
|
 |
116
realpg OP 又冒出来新的 IP 段了
106.120.160.75 - - "GET /display_article/**** HTTP/1.1" 200 7917 "-" "Mozilla/5.0 (Windows NT 6.2; rv:30.0) Gecko/20150101 Firefox/32.0 360Spider" |
 |
117
incompatible 2018-05-14 12:49:58 +08:00 via iPhone
|
 |
118
zhangdawei 2018-05-14 13:11:03 +08:00 1
阿里云犯不着挣这点钱吧...
|
|
119
zhangdawei 2018-05-14 13:11:48 +08:00
而且这事儿挣得一点钱和万一曝光出来巨大的新闻作用,不成正比,不太相信
|
 |
121
odirus 2018-05-14 13:21:12 +08:00 1
@odirus #120 如果真如你说的是监守自盗的话,应该不会主动攻击教育网的 IP 吧。倒是感觉这台机器就是为了攻击别人而存在的。
|
 |
122
yungen 2018-05-14 21:04:14 +08:00 1
您好,我是 ECS 的产品同学。阿里云提供了云监控以从多个维度监控云服务器 ECS 实例的运行状况, 可以通过帮助文档中实例监控 https://help.aliyun.com/document_detail/25482.html 进行查看,从而判断按流量计费 /按带宽计费两种计费方式的实例实际流量消耗情况。建议您可以配置安全组规则拒绝爬虫源 IP 地址,针对您所提及的 IP 段不是阿里云的,这些爬虫也并非阿里云发起,阿里云愿意协助用户查实,同时也可以通过控制台提交工单给我们售后工程师,协助您排查对应流量产生等相关问题。
|
|
123
realpg OP 封了他的 IP 段之后,又来新的了
134.73.7.0/24 UA: "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider(compatible; HaosouSpider;)" |
 |
124
xiaocaibaozi 2018-05-14 23:16:05 +08:00 via Android
原来还有这种。。。没有 1000 万。
|
 |
126
uuair 2018-05-15 10:48:06 +08:00
|
 |
127
gnuth 2018-05-18 11:16:10 +08:00
楼主,这边是数字公司另外一个部门的。我们的产品会对客户授权的网站做安全监测,可能与这流量有关。能否联系下? 3-9-6-0*6*7-2*0^2 (w-e-c-h-a-t,纯数字),感谢。
|
|
128
realpg OP |
|
129
gnuth 2018-05-18 11:26:57 +08:00
@realpg 好的,很抱歉给你造成麻烦,也不希望给阿里云带来误解。
我们的客户中有不少医院,需要监测黑链挂马之类的问题,所以会比较频繁地爬取整个站点。 不过我们的 UA 没有 “ HaosouSpider ”,134.73.7.0/24 也不是我们的出口 IP 段。应该是有多个产品在同时监测。 |
|
130
realpg OP @gnuth #129
就 HaosouSpider 而言,这个 IP 在我的多个实例中可以复现,当我封锁了全部已经找到的 360Spider (不包含网上公布的 42 开头的与官网公布的 Search spider 完全一致 UA 的那种)之后,大约过 6~8 小时就会出现 134.73.7.x 的 IP 挂着 360Spider(HaosouSpider)的访问,访问流量特征同之前屏蔽的那部分,包括采集周期,间隔等特征高度一致,与其他 Spider 的屏蔽也有时间相关性 |
 |
131
dre4m 2020-01-26 09:53:01 +08:00
阿狸云分析自己客户的,如果是小水管 VPS,就 DD 你,配合黑洞玩的欲哭无泪,想逼你买高防 IP。如果流量那种 VPS 或虚机就 CC 你,让你买流量包。6 的很,监守自盗,谁用谁知道。
|
Select Language