去年十二月网站遭到了攻击,网站储存在腾讯云COS里的静态资源流量被刷爆了,24小时里被刷了46T流量,直接导致账户欠费了2万多,平时我的博客一年的流量可能就50G不到。
当时手机接到欠费通知短信还有些难以置信2333,然后登陆后台看了下数据直接蚌埠住了🤣。
接着联系了腾讯云工程师拉了个日志清单,其中单个ip反复下载我桶里的一张gif就刷走了20T流量,我感觉攻击者要是再狠点一天刷个上百T也问题不大。
个人觉得腾讯云这个欠费还能持续扣款的机制太坑了,账户欠费后不会立即停止服务,而是会延迟24小时才停止,就算账户欠费了都还可以继续把余额扣成负数,而且还会持续24小时才结束。我觉得应该是要给客户一个自定义延迟时间的选项的,或者给一个欠费后立马停止服务的选项,要不然24小时的延迟也足以造成很大的损失了。这边和产品经理几天的沟通下来也是给我免除了被攻击而产生的费用。
经过此次事件后网站暂时关停了几个月,个人觉得储存桶的风险还是有些大了,后面决定还是把静态资源放在github上,这几天把腾讯云里的域名转移到了namecheap里,然后今天把静态资源全部传到了github上,再给网站里的外链重新修改了一遍,真的要累死。
现在国内ip访问我的网站应该会很慢,图片估计得刷新蛮久才能打开,没办法谁让jsDelivr无了呢😑,不过挂上梯子还是很丝滑的,也不用备案了,以后有时间再想想怎么给国内环境加速下资源加载吧,现在就先这样了。