大姥帮忙看看是被攻计了,还是挂马了.

wlm0067 · 发表于 2018-4-19 12:10:07

新换的服务器,偶然性带宽骤涨,我看IFTOP,是某IP连接造成的.封了该IP,该IP会连接一段时间,流量为0.这是被攻击了,还是被挂马了?

CheapLolicon · 发表于 2018-4-19 12:15:00

wlm0067 发表于 2018-4-19 12:23

每次IP都不同,上行带宽能跑几百兆,新服务器,域名用的是CDN,还不是服务器的主IP,上行是从IP走的. ...

我还以为你说单IP，多IP，而且还依照你的绕过cdn描述，那就证明你被人host来耗流量咯

CheapLolicon · 发表于 2018-4-19 12:15:01

被反代了吧2333

wusign · 发表于 2018-4-19 12:23:00

应该是被采集了，用iptables限制一下只允许CDN的IP访问即可。

wlm0067 · 发表于 2018-4-19 12:23:06

CheapLolicon 发表于 2018-4-19 12:15

被反代了吧2333
每次IP都不同,上行带宽能跑几百兆,新服务器,域名用的是CDN,还不是服务器的主IP,上行是从IP走的.

wusign · 发表于 2018-4-19 12:28:00

"

CF有公布完整的IP段，我写了脚本每天自己更新，自己也撸一个吧。

wlm0067 · 发表于 2018-4-19 12:28:33

CheapLolicon 发表于 2018-4-19 12:28

我还以为你说单IP，多IP，而且还依照你的绕过cdn描述，那就证明你被人host来耗流量咯 ...
被人host来耗流量?这个怎么说?大佬解释下.谢谢

wlm0067 · 发表于 2018-4-19 12:31:48

wusign 发表于 2018-4-19 12:43

应该是被采集了，用iptables限制一下只允许CDN的IP访问即可。
不是被采集,采集没那么高带宽,我rsync数据,最多也没到100M.你说iptables限制一下只允许CDN的IP访问,我用的CF,CF公布的IP段不全.

wlm0067 · 发表于 2018-4-19 12:43:44

wusign 发表于 2018-4-19 12:52

CF有公布完整的IP段，我写了脚本每天自己更新，自己也撸一个吧。
https://www.cloudflare.com/ips/这里的好像不全,我以前服务器被CC时,搞过这个.后来发现有不是这个表里的CF IP.