服务器被UCloud高频扫描,我们该怎么做?

发布日期:2024-07-19

这几天,我发现服务器访问日志量突然暴涨。仔细排查后,一个IP段反复出现——AS135377 UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED。这意味着,每天都有大量来自UCloud(优刻得)香港机房的扫描流量在访问我的网站,不断消耗服务器资源,也触发了安全警报。

这让我不禁思考:

  • 这些扫描究竟有什么危害?
  • 网上对UCloud的评价如何?
  • 我们作为网站管理员,又该如何应对?

AS135377到底是谁?

AS135377是UCloud在香港机房的自治系统号,归属于UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED。它拥有大量IPv4地址(合计超过40万个),IP段分布极广,例如107.150.96.0/2123.91.96.0/2436.255.220.0/24等,覆盖了香港、北美等多个节点。

但问题在于,这些IP并非只用于正常云业务。大量用户反馈,这些IP正被用来:

  • 高频端口扫描:针对常见端口如22(SSH)、443(HTTPS)、3306(MySQL)进行不间断探测;
  • 漏洞探测:寻找未修补的WordPress、宝塔面板等常见目标的漏洞;
  • 撞库攻击:尝试弱密码登录后台或数据库;
  • 数据爬取:一些IP以较高频率抓取网站页面内容。

看似"无害"的扫描,却隐藏着真正的风险

也许有人觉得,被扫几个IP而已,影响不大。事实上,持续的扫描会带来一系列隐患:

  • 服务器性能下降:日志狂刷,内存和CPU被高频请求耗尽,正常用户的访问体验直接打折扣。
  • 隐藏高危风险:扫描往往是后续攻击的前奏。一旦扫描发现漏洞,暴力破解、SQL注入、CC攻击等可能紧随其后,甚至引发数据泄露或服务器沦陷。
  • 安全隐患放大:尤其是对于配置较低的小型服务器,持续的扫描会加剧系统负载,一旦触发安全机制的阈值,可能导致服务器被云服务商自动封停。

社区的真实声音:"UCloud的IP一定要拉黑!"

我查阅了众多技术社区和论坛,发现类似的抱怨比比皆是。

"UCloud的IP一定要拉黑":在各个站长社群中,一旦提到UCloud扫描IP段,很多人的第一反应就是直接拉黑。有人直接感叹:"uc是惯犯了,建议拉黑as",因为"谁的网站没有日常被扫?都是见一个屏蔽一个"。

"看见一个拉黑一个,一生黑":有站长表示,"每天N个来自优刻云数据中心的IP来爬数据,每个IP每天访问500次左右,之前都是上千次,全被我拉黑了。现在是看见一个优刻云IP拉黑一个,一生黑"。

"海外服务断线、波动是常态":在讨论UCloud服务时,用户指出其"HK及海外就很oneman既视感了,经常有波动、断线"。还有用户反馈,"ssh动不动就连不上,要么掉线"。

这些问题叠加在一起,使得UCloud在个人站长群体中的口碑十分堪忧。

UCloud优刻得:深陷经营困局

进一步的深入了解发现,UCloud本身也有经营困境。根据财经报道,作为"科创板云计算第一股",UCloud已连续六年亏损,累计亏损超过20亿元;其市场份额已不足1%,在公有云主战场已被边缘化。

客观来说,UCloud虽然面临挑战,但其作为一家上市云厂商,在政企、AI计算、海外业务等方面仍有一些积累,并非一无是处。然而,对于追求稳定、无干扰服务的站长来说,这些负面评价已经足够让我们提高警惕。

我们该如何防范AS135377的扫描?

面对UCloud等云服务提供商的持续扫描,与其被动等待,不如主动出击。下面是最实用的拦截方法:

1. 直接屏蔽AS135377整个IP段

在服务器防火墙(如iptables、firewalld)或CDN/WAF中,手动添加以下IP段进行屏蔽:

107.150.96.0/21
23.91.96.0/24
23.91.97.0/24
23.91.98.0/24
23.91.99.0/24
23.248.162.0/24
23.248.163.0/24
36.255.220.0/24
36.255.221.0/24
36.255.222.0/24
36.255.223.0/24
# 更多屏蔽段请参考 IPinfo

2. 使用Fail2ban实现自动化封禁

安装并配置Fail2ban,让它自动分析系统日志,对短时间内多次请求的IP进行封禁。

# Ubuntu/Debian
sudo apt update && sudo apt install fail2ban -y

# CentOS/RHEL
sudo yum install fail2ban -y

3. 其他辅助措施

  • 使用WAF(Web应用防火墙):华为云、腾讯云等提供的WAF产品能有效过滤扫描、爬虫等恶意流量;
  • 及时更新和加固系统:保持软件最新、禁用不必要的端口;
  • 设置robots.txt:尽量避免公开敏感路径。

总结

UCloud的AS135377 IP段频繁扫描网站,这已经成为一个不容忽视的问题。它不仅消耗服务器资源、增加安全风险,也反映了UCloud在对名下IP滥用管控和国际化服务质量上的短板。

面对这种情况,我们不能指望扫描自动停止。主动封禁、通过Fail2ban自动化防御是最为直接有效的方案。此外,作为站长,我们也需要不断反思:我们选择的云服务商,是否真正重视安全与用户体验?在这个选择众多的时代,把自己的业务托付给一家存在安全争议且持续亏损的服务商,是否足够明智?

未来,我们期待UCloud能正视用户的投诉和建议,真正改善其IP滥用问题。在此之前,建议站长们:看见UCloud的IP,先拉黑再说!