最近不知道是哪个瓜娃子在盗刷老子OBS的流量,直到腾讯云给我发了欠费通知,我才知道下行流量跑了这么多。我记得几个月前刚给腾讯云上充了100块钱,这怎么没多久就欠费了。这不查不要紧,一查吓一跳,我的博客用的对象存储的桶在5月2号8点的下行流量达到了24.94GB,4月份的下行流量将近烧了有60多个G。
由于我的OBS桶主要作为我的个人博客的图床,所以配置的权限是公有读权限,这才导致了桶资源被盗刷。其实之前三四年都没有遇到大规模流量盗刷的情况,而且我也给桶配置了防盗链,只允许白名单域名请求才能获取资源。直到最近四五月份,才遇到这档子事情。不知道是不是因为A国在搞网络攻击,而且最近 Anthropic 新出的 Mythos 模型也是闹得沸沸扬扬的,毕竟防盗链这种措施,也就防防普通的流量盗刷,对于高级攻击以及爬虫来说,那是防不住的,加上我们公司也遇到了大规模的网络攻击,感觉最近这些事情有些关联。
我想,还是要加强一下博客的安全措施比较好。
我的服务器是阿里云的服务器,也是同月份的事,WAF上拦截了一起异常的后台登录,日志显示,有个异常的IP直接以root权限登录我的服务器,这意味着,不知道什么情况,我的服务器的管理员的密码已经泄露。
我背后一惊,为了安全,我把我的博客框架从Typecho改成Hexo框架,并且释放了我的阿里云的服务器,将静态的博客托管到了Github Pages上,并且把图床也迁移到了Github上,这样子一方面我不用担心盗刷流量会走我的OBS的流量,另一方面,静态的博客页面也减少了攻击面,没有后台登录页面,没有服务器资产。
另外,Typecho的博客已经很久没有更新过了(还是基于PHP的框架),上一个版本更新还是几年前的事情了,既然我的博客需要长久维护,还是切换一个更为安全的博客框架更好。