最近也有圈友说自己的网站被黑客绕开认证逻辑,疯狂刷上游API 造成了损失。
我觉得应该把自己同样的经历写出来分享出来和大家一起探讨一下了!
我经历黑客攻击后立马对自己的网站做了全面检查维护并做好多层安全措施加固!
(认证逻辑加强,加 vercel kV 与 upstash 全局限流限制 IP 和单个用户频率限制使用)
文章末尾有我完整的完全措施加强日志文档。
分享这篇文章希望能帮到有需要的朋友们!
一、先说遭遇:
我的网站有点流量后,可能也是没有保护好域名,在9 月 10 日 8 点左右被黑客恶意攻击了,一分钟几千次请求,并且绕开了我的认证代码逻辑,疯狂盗刷我的上游API,还好当时是看着每天消耗量当天续的,没有造成大量的积分消耗。
不过现在基本上 API 都有设置当天用量限制,强烈建议大家把每天上限消耗都设置上,及时止损!
我是怎么发现我的网站被黑客恶意攻击了呢?
我每天起床第一件事就是看积分消耗了多少,结果那天我打开 API 一看,傻眼了!
昨晚睡觉前充值进去的积分,变为0 了!
我数据库又没有消耗记录!
但上游 API 有消耗记录,马上联系 API 客服,他说我可能 KEY暴露在前端,我人工和AI检查,也找技术大佬帮忙看,都没有暴露 API_KEY。
我中间还测了两次:
(1)1 次又充了一千积分进去,结果没到两分钟,又没了!
(2)第二次,我想会不会是KEY的问题,我删了所有的KEY,又重新部署上去,刚部署完,我发现 API 上游日志,有一两千个疯狂请求正在运行,马上把KEY删了阻止了损失。
我一直在找哪个环节出错了问题,结果我在部署的 vercel 发现了大量的错误请求日志(以毫秒疯狂请求)。
黑客机刷攻击的日志 最近几天的日志稍微正常了
黑客还给我cloudflare R2 存储桶上传了将近170 G 的照片文件
我意识到我的网站可能被黑客攻击了,于是把日志的大量报错发给AI来详细分析。
二、分析BUG漏洞和加强措施
下面我是我和AI的对话分记录:
为了更好的阅读体验,来飞书看吧:
https://acnwscsrr4nu.feishu.cn/wiki/AzWTw1HKYiQJdIkPmiWcI9nmnPf
Comments on "你的API_KEY可能需要加强认证:亲历黑客每分钟数千次请求攻击,我是如何止损并全面加固网站的" :