对象存储被攻击：经历10小时，消耗19T流量，欠费6000元

一、事情缘由

最近在服务器中建立了一个云盘服务 AList (opens new window)（一个支持多种存储的文件列表程序）。

在AList中已运行着：阿里云盘、中国移动云盘、本机存储 等服务。

打算把对象存储也接入到 AList 服务中。在配置完成后，应该是触发了对象存储的BUG，遂在 Github 中提了一个 issues ，并提供了对应的复现链接。

问题就出在这提供的复现链接里。

二、对象存储被打光 19T 流量

在技术的世界，我愿意相信大家都是善良的、纯粹的。这次是被赤裸裸的打了脸。

（大雨中百鬼夜行，有人混在其中，比鬼还高兴。）

由于在 issues 中暴露了复现链接，自己也没有防范意识，没及时关闭服务。

攻击者从17号23点开始，通过他控制的 小鸡 不断访问我未关闭的 AList 服务。

至18日10点我主动关闭 AList 服务，有效攻击才被终止，无效攻击还在持续。此时对象云储存被消耗 19T 流量。😒😒😒

（平常一个月流量不会超过 2G ）

不法之徒攻击的是 AList 服务中，一个 65M 的 MP4 文件。通过多线程访问下载，来达到刷流量的目的。

攻击者有庞大的 IP 池，不断切换 IP 来绕过服务器防火墙，IP都是国外的，也无法溯源。🤢🤢🤢

三、云服务账号欠费

账户中没有充钱的，他们提供每月 10G 的免费流量额度，用完才会扣费。

和客服沟通得知，每个账户都默认开通了 欠费保护期权益 。

设置里没有关闭 欠费保护期权益 入口，用户无法主动关闭，需要提交工单给客服才可关闭。

貌似这也是业界普遍做法，恶意拆测一下：他们就希望通过这个默认设置能坑一个是一个。

正常情况来说：

• 用户账户默认状态下应该是关闭 欠费保护期权益 的（电话欠费停机）。

• 退而求其次用户能在设置页面，主动选择打开或者关闭 欠费保护期权益 。

• 再再退而求其次每个账户都应该要有 欠费保护上限，而非无底洞般的扣下去（支付宝、信用卡防盗刷）。

上面这三点他们绝对有能力做到，而取决于他们愿不愿意做。

查询资料得知，有些网友比我还惨。有的公司被打了7位数的账单，核心数据取不出，面临倒闭；有的和我一样，被不法分子利用，打了 CNY2W+ ；有的小伙伴看着 CNY20W 的账单连夜"删号跑路"。

（当点下“创建应用”按钮的一瞬间，你的钱包就已经交给了服务商了🐶。节点越多，流量跑的越快，钱包漏得越多。）

通过官网对象存储价格计算，实际欠费为 CNY 5700+ 。

这对我也不是什么小数目，正在积极和厂商协中。看能否免除一些费用，或者抵用一部分费用。

三、不要回答！

我是这个世界的一个和平主义者，我首先收到信息是你们文明的幸运，警告你们：不要回答！不要回答！不要回答！！！

你们的方向上有千万颗恒星，只要不回答，这个世界就无法定位发出源。

如果回答，发射器将被定位，你们的文明将遭到入侵，你们的世界将被占领！

不要回答！不要回答！！不要回答！！！ ———— 《三体》

在小说中《三体》中，1379号监视器给地球文明以善意的提醒。

同样也给我带来了警醒，不要在网上轻易暴露自己的信息，因为我还很弱小。

谨慎的擦除在网上留下的痕迹，全民裸奔的现在也要保护好自己和数据。

四、如何防范

1、加一个禁止国外访问的规则， 现在攻击源很多都集中在国外。 后期溯源也会好处理很多，国内的攻击成本会高很。

2、过滤掉 firehol_level4 (opens new window) 列表中的所有IP，攻击的这些IP基本都在其中。

3、私人服务尽量不要暴露在公共区域。即使有暴露的需求，也应该是临时服务。

五、协商解决解决过程（追加）

民事诉讼

在收到 5700+ 账单时我是非常气愤的，账号没有基本的保护功能。这是对方的功能上的失职，肯定时需要付有一部分责任。

最开始想到的方式是走民事诉讼。因为在 V2 看多有很多小伙伴为自己争取正当权利而走上诉讼流程，也花不了几个钱，主要是耗费时间。

去经历这个过程，也是对生活的一种成长，对见到小伙伴为自己争取正当权利后输入的一种复刻型输出。

上海法院诉讼网有相关介绍说明，需要准备的诉讼材料有：起诉书、口诉笔录、原告身份证明、授权委托书、法定代表人身份证明等等。

对方公司的基础信息很容易查到，法定代表人身份证明这一条普通人几乎拿不到。起诉流程也断裂在了此处。

12315投诉，消调委介入

民事诉讼行不通转而投向了消费者投诉举报平台，在填写资料过程中发现有一条投诉类型非常适合当前这件事。

投诉问题类型：导致消费者受到产品伤害（因产品设计不合理、质量不合格、警示信息不全等原因而导致消费者受到产品伤害）

因为对方产品设计的不合理，警示不全导致我收到产品伤害。对方肯定是需要负有责任的。

12315 显示的结果是：不受理。经双方同意通过浦东新区消调委进行调解。

消调委也有给我打来了电话，询问了进展如何。

客服回电

经由消调委的介入，客服的口气改变了很多。开始强调责任对等了。

从最开始的 寸步不让 到 强调您也有泄露了密钥后被攻击的责任。

从开始的一分不能少、到对折、到最后协商出来的 1500。

仔细回想，其实我可以压的更低比如800、1200说不定对方也能同意。

如果我完全不在乎，对方也不能拿我怎么样。但谁叫我还保有基本的良知、人性的光辉呢。😀

最坏的结果多打我几次电话？社工库查查我信息？最后走起诉流程？对他们来说成本也是巨大的。

1500 算是当前不算差的结果。非零和博弈。也算在接受范围之内。

1500 当买个教训，让 1500 一直警醒自己。

谨慎的在网上发布自己的信息，个人信息、服务信息之类。