腾讯云 cos 也被盗刷了

我的 WebStack-Hugo 个人导航站点最开始用的是腾讯云的 cos 对象存储作为所有图片的存储和访问,在 2024 年 3 月底的时候收到腾讯云的通知说 200 万次的标准存储请求已经用掉了 180 多万次。

cos-warning.webp

收到信息吓了一跳,心想我这一个小破网站不至于这么多的请求吧,肯定被攻击盗刷了。加上之前在网络上看到的阿里云/腾讯云对象存储被刷爆的新闻还历历在目,于是赶紧的上去腾讯云一看发现一天的读写请求居然达到了 25 万多次!

cos-y-requests

虽然之前一直设置了防盗链,但是一直允许着 “空 referer”,这无疑是一个巨大的漏洞,参考 《COS被流量盗刷了》 的经历,第一时间就把这个 “空 referer” 设置为了 “拒绝”,并开启了日志。

果不其然,一段时间过后从生成的日志文件,发现了这样的一个网址:https://123.wqydl.cn/123-wqydl-get

这个网站一直在请求获取个人 cos 内的 /webstack/logos/default.webp 这个图片!为了安全起见,又赶紧第一时间把这个网站加入了黑名单,并且把对应的 cos 权限设置成了 “私有读写”

但是从源源不断产生的日志可以看到这个恶心的网站还一直不依不饶在每隔几分钟就执行一堆读取请求! get-requests-by-time.webp

但幸运的是这些请求现在都 “AccessDenied” 了,但对它的一些后续可能的动作也很是好奇,在持续观察中。 cos-access-denied.webp

cos-log.png

cos-safe.png

终于,第二天的晚上终于在他们的官网联系上了对应的客服,他们把相应的网站停掉后一切又回归正常。
cos-package-free.webp

最后,以此为鉴,希望大家在提供公共资源的时候擦亮眼睛,避免踩坑。