异常流量分析：图片库服务黑客入侵

博客 on 打工人日志

k8s RKE2 cilium L2 + envoy gateway 安装配置 k8s RKE2 vSphere 存储配置 OpenClaw 全能指南：从安装到进阶自动化实战 (2026 最终版) Kubernetes — skywalking + banyanDB APM监控部署 Kubernetes — promtail + loki + grafana 日志系统部署 k8s master 节点 Unauthorized Kubernetes — metalLB + Traefik 部署 Kubernetes — SSL 证书自动更新 Kubernetes — RKE2 + kube-vip + cilium 部署使用TLSv1.3 升级nginx和openssl Proxmox VE（PVE）更新到最新版本 kindle 邮件发送失败，错误代码E999 metallb + ingress-nginx + argocd 本地部署 iStoreOS(旁路由)使用openclash实现dns劫持 openwrt 硬盘扩容搭建ip地址检索服务 Kubernetes — k8s 手动安装 1.17.9 SELinux 问题：导致端口无法创建，无法访问【福利】免费！本地部署！去除视频中移动的物体通知：《打工人日报》迁移到独立板块 KyBook 3 | calibre-web - IOS系统最佳图书伴侣 Tmux 安装和使用教程 DockerHub 加速镜像部署 - 使用cloudflare 代理 docker的零停机部署 SD-webui 批量处理图片 ubuntu 安装 ComfyUI ubuntu 安装 stable-diffusion-webui 测试策略：微服务架构单元测试：测试单元质量提升端到端测试：模拟用户体验 Kubernetes — containerd 安装和部署 CI/CD 可观察性-基于grafana Argo cd 安装和部署 linux服务器进程打开文件过多导致服务异常使用 ElasticSearch Curator 7天定期删除日志 sonarqube docker安装和配置 SSH 通过 443 端口连接 GitHub iOS 17 「待机显示」适配普通 iPhone（非 Pro/Max），屏幕在充电时常亮 GNU/Linux 一键更换系统软件源脚本解决Elasticsearch索引只读（read-only）【福利】埃隆·马斯克传 [沃尔特·艾萨克森] 在线下载【破解】小鹏P5和小鹏G9开启adb和网络adb Kubernetes — kubecost 分析 Kubernetes 成本 3D Gaussian Splatting：3D模型渲染 Linux 系统收包流程以及内核参数优化 2023亚运会电竞门票民购买指南（报名+抽签） Vue3 + vite + nginx项目部署后404问题大麦抢票辅助软件(福利 TFBOYS十年之约演唱会 2023 全机位视频) 黑群晖最新安装教程 Ansible部署ceph集群最好的微信朋友圈集赞神器-福利推荐推荐一下容器云资源 2010年的天涯神贴聊房价如何礼貌回绝不合理的需求 nginx 配置和编译 github 国内代理访问下载使用scrapy-redis实现增量爬取逆境和成长-2022年终总结优雅的使用Conda管理python环境 Jenkins 编译Android apk 流水线 Kubernetes — 更新证书 shell功能脚本集合 Nexus3 使用和部署 githubAction set-output弃用错误 Kubernetes — Rook云存储介绍和部署 Kubernetes — 基于K8S搭建Ceph分布式存储 Kubernetes — 探针和生命周期 Kubernetes — 开放标准（OCI、CRI、CNI、CSI、SMI、CPI）概述 kubernetes 部署插件 (Flannel、Web UI、CoreDNS、Ingress Controller) Cloudflare Zero Trust 内网穿透 k8s CNI 问题连接认证失效 k8s.gcr.io国内无法连接解决方法 headscale 部署使用羊了个羊小程序破解通关 K8S 问题排查：cgroup 内存泄露问题 RocketMQ k8s部署 4主4从集群 docker 问题处理 kubernetes 存储 linux服务器删除空间却未释放 kubernetes 从1.23.x 升级到 1.24.x 编写 kubernetes 资源描述文件 nginx ssh-key connection exception kubernetes manual expansion VSCode插件推荐=> Code Runner ant build.xml 编写 kubernetes 调度过程记录一次上门打散工 k8s本地联调神器kt-connect Ant中如何添加第三方jar包依赖 OpenELB：让k8s私有环境对外暴露端口 linux 网络测速安装 docker 出现 ERROR: Unsupported distribution 'ol' 问题 logrotate 日志滚动的使用 nginx 编译参数详解 nginx 重写规则 rewrite模块 nginx.conf 配置文件详解 rsync 文件同步 nginx 日志格式整理 163企业邮箱设置教程 2021年第50周记

异常流量分析：图片库服务黑客入侵

2025-03-25 · via 博客 on 打工人日志

背景

最近这两天prometheus一直再对服务器的下行带宽告警，检查告警发现是一台图片服务器，这台图片服务器是很早部署的一台nginx反向代理本地静态文件的服务器，当时没有做任何的安全防护，只是简单做了一个上传接口暴露给外网，导致这台服务器被黑客入侵，上传了大量文件，同时对这些文件有大量的下载请求，导致服务器的带宽被打满，同时也导致了prometheus的告警。

发现

发现这台服务器的带宽被打满了，所以只能先从这台服务器开始排查。先检查nginx所有大量请求的日志

1cd /var/log/nginx
2awk '{print $7}' access.log | sort | uniq -c | sort -nr | head -n 10

server-log

这个是一个图片服务器，看起来都是图片的请求，好像没有发现异常的请求。但是这个图片为什么有那么高的流量呢？检查这个图片，发现图片无法打开，所以我换二进制的方式打开图片

发现图片的二进制头部是 FFmpeg, 所以这是一个伪装成图片的视频文件

解决

检查nginx的配置文件，上传接口拒绝所有外部请求

server{
    location /upload {
        proxy_pass http://192.168.1.1:8080;

        # 拒绝所有外部请求
        allow 192.168.1.0/24;
        deny all;
    }
}

查找最早上传的文件,创建python文件，并在图片服务器执行

import os

# 查找最早包含 FFmpeg 的 JPG 文件
def find_earliest_jpg_with_ffmpeg(directory):
    earliest_file = None
    earliest_timestamp = float('inf')

    for root, dirs, files in os.walk(directory):
        for file in files:
            if file.lower().endswith('.jpg'):
                file_path = os.path.join(root, file)
                try:
                    with open(file_path, 'rb') as f:
                        file_header = f.read(55)
                        print(file_header)
                        f.close()
                        if b'FFmpeg\tService01' in file_header:
                            timestamp = os.path.getmtime(file_path)
                            if timestamp < earliest_timestamp:
                                earliest_timestamp = timestamp
                                earliest_file = file_path
                except Exception as e:
                    print(f"Error processing file {file_path}: {e}")

    if earliest_file:
        print(f"最早的包含 FFmpeg 的 JPG 文件是: {earliest_file}")

# 调用函数并传入目录路径
find_earliest_jpg_with_ffmpeg('/var/www/html/images/')

删除这些FFmpeg文件，创建python文件，并在图片服务器执行

import os

# 检查文件头是否包含 FFmpeg
def delete_file_if_header_contains_ffmpeg(file_path):
    try:
        with open(file_path, 'rb') as file:
            file_header = file.read(55)
            print(f"检查文件: {file_path}，文件头: {file_header}")
            file.close()
            if b'FFmpeg\tService01' in file_header:
                os.remove(file_path)
                print(f"文件 {file_path} 已被删除")
            else:
                print(f"文件 {file_path} 不符合删除条件")
    except FileNotFoundError:
        print(f"文件 {file_path} 找不到")
    except Exception as e:
        print(f"发生错误: {e}")

# 遍历目录并删除 JPG 文件
def traverse_and_delete_jpg_files(directory):
    try:
        for root, dirs, files in os.walk(directory):
            for file in files:
                if file.lower().endswith('.jpg'):
                    file_path = os.path.join(root, file)
                    delete_file_if_header_contains_ffmpeg(file_path)
    except Exception as e:
        print(f"遍历目录时发生错误: {e}")

# 调用函数并传入目录路径
traverse_and_delete_jpg_files('/var/www/html/images/')

总结

大家一定要增加服务器权限的管控，开放到外部的接口，一定要做好访问权限控制，避免被有心人利用。

此内容由惯性聚合(RSS阅读器)自动聚合整理，仅供阅读参考。原文来自 — 版权归原作者所有。

推荐订阅源

博客 on 打工人日志

背景

发现

解决

总结