关注

在Monado主站遭到攻击的同时,存储桶也遭遇了(疑似同一位攻击者)的恶意刷流量。
产生了1.9TB的流量,损失了人民币1650元左右的流量费用。
目前欠费1225元,还有一部分未结算。
正在走工单争取减小损失。
如果失败,这笔款项我将自己承担(不动用Monado捐助收入)。

不关是我站损失一千六流量费,
@holgerhuo 的存储桶同样被刷了1.59TB的流量,损失惨重...
我们现在关联了工单,一起争取减小损失...
攻击者冲着我们的钱包来有什么好处吗?
@broad

@broad
Mastodon的S3 ACL默认是public-read,
有些对象存储服务,对象上传时指定的ACL是最高的,不受桶ACL影响。
如有需要,Mastodon环境变量加上一行"S3_PERMISSION=private"。
文档没写,是个非常大的坑。

@chasedream1129 没有暂停阀值吗,可以联络客服询问一下。
看到最近一众站点被攻击。感觉很遗憾,不知道该如何安慰。
现在的互联网环境已经这么差了吗。

@official @chasedream1129
cos的统计延迟实在是比较高 我们俩几乎都是 一收到异常流量告警 就处理了 但是依旧很惨重(主要是因为腾讯云权限配置没生效所以损失了这么多 但从开始被刷到我们收到邮件有大概20分钟… 这段时间流量大概是找不回了)

@holgerhuo @chasedream1129 我回过头看日志,好像有也被什么奇怪的流量刷过的痕迹,但主要在刷的是动态页面,静态资源也有被刷,但似乎没有刷动。
感觉腾讯云,这个叫 COS 的对象储存产品逻辑就有问题,暴露桶的地址已经算是 BUG 了,计费也全是问题,真是叫人不敢放心用。
之前和腾讯云尝试合作一个商业项目,BaaS 方向,也是发现对计费、鉴权方面极不敏感,很让人害怕。感觉这么大一个厂家,搞得像只知道做技术的小作坊,没有人做产品的感觉。

@official @chasedream1129
感觉中文站都被它搞过了 不知道这人什么心理
看来还是我们俩一开始防御做的不太好😂 那个存储桶配置确实有点太开放了

腾讯云在国内算是比较年轻的云平台 可能经验确实不大足
但应该也还靠得住 他们的工程师昨天半夜3点还在回复工单(可能所有的工程师都逃不过这个命运orz)

@board
钱不知道花在哪里可以捐给有需要的人
人民币不是用来浪费的

@jiangshanghan 服务商是腾讯云,说起来他们工程师还挺敬业的....凌晨三点连夜给我们整理日志

@sora 四位受害者,除了本站都是个人向的小站...
这和商业扯的上关系吗...

@chasedream1129 这就有点奇怪了,想不透黑客图的什么。

提个阴谋论 

@sora @chasedream1129 有司的人给自己增加工作量。(
不过这么说的话,本站才是更“好”的目标吧。

@chasedream1129 我觉得用捐助没问题,不放心可以开个投票

@chasedream1129 让你损失惨重岂不是顺了攻击者的意,用捐款每人出一点不痛不痒是最好的反击

登录以加入对话
Monado

Monado 是一个以任天堂为主、面向全平台游戏的、非营利性的中文向社区。在这里,你可以畅所欲言一切和游戏有关的东西,包括但不限于游戏日常、心得、感想、同人等;当然,吐槽自己的生活也完全没有问题。请在遵守所在国家或者地区法律法规的前提下自由的使用。

捐助我们