显示更新内容

差点忘了,被打爆也要祝虵生日快乐 :wb_d_bingbujiandan:

大家虵诞快乐

这几天电脑前坐太久了,颈椎很不对劲....
有没有懂的救一下,我替我的脖子谢谢你(

今晚或者凌晨我可能会出一篇报告,稍微讲一下这次攻击的细节。。

我超 能不能放过我们。。。CC这种暴力攻击真的难顶啊

得到了腾讯云的答复,Mastodon上传对象时设置的public-read权限优先级是最高的,不受桶整体权限影响。
简而言之就是损失自负。
欠费的钱目前我付了一半,剩下一半付不起借了 @JieE 的,余额已经变成正数了。
下午会填补漏洞然后把服务上线。
剩下一半的钱我也尽快还上....

@broad
Mastodon的S3 ACL默认是public-read,
有些对象存储服务,对象上传时指定的ACL是最高的,不受桶ACL影响。
如有需要,Mastodon环境变量加上一行"S3_PERMISSION=private"。
文档没写,是个非常大的坑。

显示全部对话

不关是我站损失一千六流量费,
@holgerhuo 的存储桶同样被刷了1.59TB的流量,损失惨重...
我们现在关联了工单,一起争取减小损失...
攻击者冲着我们的钱包来有什么好处吗?
@broad

显示全部对话

在Monado主站遭到攻击的同时,存储桶也遭遇了(疑似同一位攻击者)的恶意刷流量。
产生了1.9TB的流量,损失了人民币1650元左右的流量费用。
目前欠费1225元,还有一部分未结算。
正在走工单争取减小损失。
如果失败,这笔款项我将自己承担(不动用Monado捐助收入)。

本站的主服务器继续遭到攻击,这次的对象是Misskey分站Monyado(mi.monado.ren)

@board
为抵御攻击,Monado的媒体服务暂时下线。
我的相关经验不足,不太懂该如何防护...
我凌晨再来复盘&学习解决方案。
给嗼站用户带来的不免敬请谅解 :o_sadcat:

显示全部对话

@board
对方开始打存储桶了,对我的钱包发起了痛击。

显示全部对话

有一台AWS EC2 eu-west的机器
今天中午开始疯狂wget嗼站Monado Direct的视频。。 :panda_naotou:
把带宽跑满了,怪不得今天这么慢 :icon_dr_kawaben:
我先把这台机器给deny掉了 :o_chashou:

特地选择大文件来疯狂wget,这明显是一场蓄意攻击事件...
要不是套了nginx我的钱包就炸了 :o_orz_cry:

TL上的各位站长如果想要预防可以私信我要这台机器的ip。
@board

还是不该把nginx缓存放在/tmp里......
一重启 媒体反代缓存全没了
全都要重新拉取了 :panda_fong:

Monado(monado.ren)已与Monyado(mi.monado.ren)建立Pub-Relay中继 :xb_nia:

显示更早内容
Monado

Monado 是一个以任天堂为主、面向全平台游戏的、非营利性的中文向社区。在这里,你可以畅所欲言一切和游戏有关的东西,包括但不限于游戏日常、心得、感想、同人等;当然,吐槽自己的生活也完全没有问题。请在遵守所在国家或者地区法律法规的前提下自由的使用。