今天早些时候,我们遇到了一件奇怪的事情:似乎一名员工在我们的网站上使用了一个名为“deadlinkchecker.com”的东西(在 Amazon Linux EC2 实例上运行 Apache httpd),整个实例崩溃了。当我仔细查看 httpd 日志时,我发现在大约 20 分钟的时间内(在此期间来自其他地方的请求很少),来自这个“deadlinkchecker.com”的请求接近 800 个,其中一些请求需要几分钟才能满足。实际上,我们似乎意外地对自己发起了 DoS 攻击。
这里有没有人听说过这样的事情?这里有没有人知道这个“deadlinkchecker.com”?
更新
我最初没有检查错误日志。我发现在问题出现的同一时间段内有数百条错误日志条目,形式如下:
[proxy_fcgi:error] [pid nnnn] (70007)The timeout specified has expired: [client 74.208.42.172:ppppp] AH01075: Error dispatching request to : (polling)
具有各种不同的端口号(IP 地址是 deadlinkchecker.com 的 IP 地址)。然后(在指示关闭的条目之后)出现了几百个指示拒绝连接的条目。
更新 查看 AWS 监控,我们发现在 deadlinkchecker.com 的流量大量爆发前约一分钟,出现了轻微的 CPU 峰值和较大的网络输出峰值(但我在 httpd 日志中没有看到任何可疑之处),随后随着危机的发展,CPU 使用率立即稳步上升,并在 CPU 使用率达到峰值时开始出现网络输入峰值。