

网站被攻击了

全景再现

2025-09-10

导读：现已经恢复，我好难啊。里面有一些命令，可以帮助你分析访问日志。

一、事件背景

近期，全景再现科技网站遭遇了异常流量攻击，主要表现为：

•
电信带宽激增（短时间内增长260GB），移动带宽受影响较小。
•
大量404请求，主要来自国内电信IP段（如 113.*, 119.*, 183.*）。
•
攻击时间线：从 2025-09-08 10:00 开始，至 2025-09-10 02:00 实施更严格的安全措施后才被阻止。

二、攻击分析

1.
攻击类型：盗链攻击（Hotlinking Attack）

•
攻击者直接引用我站静态资源（如 /data/avatar/user/xxx.png、/static/js/common.js）。
•
由于我启用了 防盗链（Referer Check），这些请求被拦截并返回 404，但仍消耗了大量带宽。

2.
攻击来源

•
主要来自 国内电信IP段（如 113.100.*, 183.19.*, 119.125.*）。
•
部分IP持续活跃，请求量从 72次激增至130次+，表明攻击规模在扩大。

3.
攻击影响

•
电信带宽被占满，导致部分用户（尤其是电信网络）访问异常。
•
服务器负载升高，但未造成数据泄露或服务瘫痪。

三、应对措施

1.
新增安全策略

•
实时流量统计：监控带宽异常，及时发现攻击。
•
自动封禁高频IP：短时间内大量请求的IP自动加入黑名单。
•
人工测试验证：确保正常用户不受影响，如遇问题可及时反馈。

2.
技术优化

•
调整防盗链规则，允许空 Referer 和合法来源（如自己的域名）。
•
优化Apache/IP封禁策略，使用 mod_evasive或 fail2ban限制恶意请求。
•
日志分析，确认攻击源并针对性封禁（如 113.100.0.0/16整个IP段）。

3.
长期防护方案

•
启用CDN（如Cloudflare）：隐藏真实IP，提供WAF防护，缓解盗链攻击。
•
静态资源签名URL：确保只有合法请求能访问资源。
•
带宽监控告警：设置阈值，异常流量时自动触发防护机制。

四、攻击原因推测

虽然具体攻击者难以确定，但可能原因包括：

1.
自动化扫描工具：尝试盗用网站资源（如图片、JS文件）。
2.
竞争对手或恶意用户：故意消耗服务器资源。
3.
DNS解析问题：切换至腾讯云DNSPod后流量异常，但无直接证据。
4.
其他可能性（如机房推销带宽服务、国际政治因素等），但概率较低。

五、后续优化

1.
持续监控日志，分析异常请求模式。
2.
优化移动/电信分流策略，确保负载均衡。
3.
提升用户体验：

•
降低跳出率（目前已有改善）。
•
增加用户停留时间（目前趋势向好）。

六、总结

本次事件并非黑客入侵，而是 盗链攻击，通过 防盗链+IP封禁 已有效拦截。未来将通过 CDN+自动化防护 进一步提升安全性，确保网站稳定运行。

上面是人工智能总结的

-------------------------------------------------------------------------

下面是原文章

网站被攻击了，我做了如下，这3个是重点

1、今晚网站添加了新统计。

2、添加短时间，大量访问的，自动封禁。

3、我自己测试，拼命访问都不会被封，人的速度做不到机器的速度，估计也不会影响大家，假如出现无法访问，及时在群里面提出。

原因和具体过程如下：

我留意到流量增加很明显，而且控制在40Mb左右的速度。我猜想是否有人在复制我的网站，几十TB下载到什么时候啊。这个时候我都是在想，我是否需要免费共享一些全景图，打上大水印，给大家测试使用，而不需要偷偷在我网站下载。

然而我增加新的移动带宽，客户说，都打不开全景了。我找人测试，我自己测试一切都正常啊。昨天晚上我还找了不同网络的，电信，联通，移动测试都是正常。但是唯独就是电信卡那么一点点。所以昨晚我就奋斗了很久。认真分析了日志。得出结果，网站被攻击。而不是被人下载。

下图是最近2天内的流量，左边是9月8日10点开始到晚上凌晨。也即是前面1/4，假如算是正常的话。那么就是1/4到2/4之间属于9月9日0点到12点，夜间访问应该是立刻下降的。然后就持续地攻击。

直到右边的9月10日0点实施了更安全的方法，直到1点才完整阻止了这场无聊的闹剧。

下面是一些攻击的详细分析给大家，下图是DNS解析。看起来攻击还在，只是不会导致流量大量损失。感觉攻击的开始，是从使用腾讯云dnspod的时候。大家可以看到下图。2025-09-06 11:18:20才是使用。然后就是DNS继续就立刻大了很多。谁和dnspod有仇啊？我是从新网那边dns服务器转移到dnspod，难道新网会因为这种事情迁怒我吗？这个不可能吧。

日志分析情况昨晚2个

持续攻击源：一些IP在两个时间段都出现了，并且访问次数大幅增加，例如：

•183.19.243.125：从 82次 → 141次

•113.100.122.17：从 72次 → 130次

•183.19.137.125：从 72次 → 130次

•183.52.37.108：从 72次 → 104次

•218.15.235.157：从 72次 → 104次

•113.95.168.54：从 72次 → 91次

•119.138.43.53：从 72次 → 91次

这表明这些IP背后的攻击源持续活跃，攻击并未停止，反而在加强。

找出 404 状态码最多 的 IP 地址并按访问次数排序，昨晚10点12点    

Get-Content .\access0909.log |     Where-Object { $_ -match ' 404 ' } |     ForEach-Object { ($_ -split '\s+')[0] } |     Group-Object |     Sort-Object Count -Descending |     Select-Object Count, Name -First 20

上面是查询的命令，下面是结果

   Count Name       ----- ----         120 20.171.207.46          82 183.19.243.125          72 119.134.175.248          72 113.100.122.17          72 113.100.96.163          72 116.28.236.92          72 113.95.168.54          72 218.15.235.157          72 113.75.38.36          72 119.138.43.53          72 183.52.37.108          72 183.19.137.125          52 43.152.143.80          51 59.34.23.68          46 113.85.195.190          46 14.210.18.156          46 113.75.19.159          46 113.100.176.116          46 113.86.175.245          46 113.101.13.161

今天1-9点   Count Name   ----- ----     342 192.144.138.190     143 119.125.22.213     141 183.19.243.125     130 113.100.122.17     130 119.125.11.32     130 183.19.137.125     130 113.85.136.208     117 125.89.211.179     104 14.159.88.59     104 183.21.173.179     104 116.16.23.84     104 183.52.37.108     104 218.15.235.157     104 113.85.136.54      91 125.89.225.228      91 113.95.168.54      91 119.125.88.102      91 119.138.43.53      91 116.29.241.161      91 183.24.165.11

查看 404 请求的 TOP IP 和它们访问的 URL
$ipData = @{}switch -File .\access0909.log {    default {        if ($_ -match ' 404 ') {            $fields = $_ -split '\s+'            $ip = $fields[0]            $url = $fields[6]
            if (-not $ipData.ContainsKey($ip)) {                $ipData[$ip] = @{ Count = 0; URLs = @{} }            }            $ipData[$ip].Count++            $ipData[$ip].URLs[$url]++        }    }}
$ipData.GetEnumerator() | ForEach-Object {    $topURL = $_.Value.URLs.GetEnumerator() | Sort-Object Value -
Descending | Select-Object -First 1 -ExpandProperty Name    [PSCustomObject]@{        IP      = $_.Name        Count   = $_.Value.Count        TopURL  = $topURL    }} | Sort-Object Count -Descending | Select-Object -First 20

上面是查询的命令，下面是结果。

192.144.138.190      342 /kong/index.php?user/login119.125.22.213       143 /js/date.js183.19.243.125       141 下面都是和上一个一样119.125.11.32        130 113.85.136.208       130 113.100.122.17       130 /183.19.137.125       130 /125.89.211.179       117 /183.21.173.179       104 /116.16.23.84         104 /113.85.136.54        104 /183.52.37.108        104 /14.159.88.59         104 /218.15.235.157       104 /119.125.88.102        91 /183.19.230.123        91 /113.95.168.54         91 /116.29.241.161        91 183.24.165.11         91 119.138.43.53         91

找出返回 ??404 状态码?? 的请求中最常见的 ??URL 路径??（Select-String -Path ".\access3.log" -Pattern " 404 " | ForEach-Object { ($_.Line -split '\s+')[6] } | Group-Object | Sort-Object -Property Count -Descending | Select-Object -First 20 Count,Name

 28729 /data/avser/5e7ed192b100b3ec06ac.png 28727 /statjs/commn.js 28722 /staimages/default_avar.jpg 28720 /templat/delt/js/vidjs-i.min.js 28720 /static/images/ce-.png 28715 /data/sle/14978626.png 28711 /stc/js/datetimepier.js 28704 /dta/article/201905/155712163.png 28700 /dta/avauser/f4383eb100702494b1b9c96.jpg 28689 /data/avauser/3f490c4a2767fb27b2218.png 28687 /static/jquery-1.9.1.js 28682 /dta/ar/1497863368.png 28658 /stati/redefine.js   261 /tempult/js/zui.min.js   260 /statiger.js   260 /statiery.form.js   258 /statotbox.js   256 /templlt/js/vi.min.js   162 /robots.txt    91 /sti.js?v=0