我们是一家创业公司,团队人数也就几个人,做着一款主打极限延时的游戏加速器。
出于对品质的考虑,我们选择阿里云作为我们的核心层计算和存储,其中,涉及本次事件的OSS对象存储服务,我们用作为客户端的更新使用,考虑到域名的稳定性和访问速度,我们直接选用阿里云的oss域名:https://xx-update.oss-cn-beijing.aliyuncs.com/
这是我们在阿里云的一些消费记录:
我们是每个月消费4000-6000,总消费12万的小客户,但是7月7号的一次事件,让我对阿里云彻底心寒。
起因
7月7日的晚上22.24分,正在外面团建的我突然收到一条阿里云欠费1574元的短信(是的,我也没想到阿里云可以欠这么多费用),直接导致我们的所有业务会随时终止。
想也没想,我立刻拿着手机充了5000进去,确保业务不被停止,当时我确认账户中的余额应该是大于5000以上的,有一点怀疑(后来我才知道,原来我们值班的同事收到阿里云快照停止的短信后,以为我们阿里云忘了充钱了他自己已经垫了2000进去)
由于阿里云的计费存在延时(大概1小时左右,或者更久,这个我不确定),OSS的面板查询延时更是长达24小时,扣费期间我们根本不知道发生了什么,只能不断地充钱!确保其他业务不受影响(官网,api,数据库等等等等全部都是阿里云的服务)从团建的地方马不停蹄赶到公司后,我们发现了OSS的计费异常。
立刻关停了OSS并转为内部访问(这时候已经是12点多了),但是谁访问的,访问了多少,我们根本不知道。
在OSS关闭的3个小时后,我们还是收到了那个未知数额的账单,充值,欠费,这个事情告一段落,整个OSS被刷从我们发现到第一时间关闭造成我们损失1万6千余元,刷掉将近9个T的流量 (如果我们不发现是oss问题,或者账户里有充足余额)一晚上刷掉一套房子也是轻而易举的事情,谁刷的,怎么刷的,我们至今不知道。
这个后面慢慢细说。当天晚上我们联系了工单客服。
失望,无奈,无助!结束了对话,对话选择了未解决。
工单中提到了由海外访问导致的费用,所以我这才想起来,oss的海外访问费用还是不一样的,查阅发现,OSS计费规则如下:
所以当天的恶意刷下载(攻击)不仅从流量最贵的海外发起,并且模拟了巨额的Get请求,当天的情况日志如下:
短短的几小时里,我们的OSS服务就被人以wget的方式轻轻松松刷走了阿里云将近9TB的海外流量+巨量请求费用,而平时我们这个30M的文件每天仅仅只需要20多G的流量。
由于这些数据都需要延迟24小时以上,所以我们当天,或者发生后的24小时,我们压根不知道怎么了。
小插曲
第二天我托朋友找到了阿里云的内部工作人员,想从内部发起了解一下整件事情,并针对这个事情看看有没有解决方法。但是,结果让我震惊了,我的账号被一个我压根不知道是谁的小二绑定了(张XX,销售),朋友由于绑定,无法介入,自然也无法帮我,但是这小二是谁呢?我每个月的消费,这次的消费和他有提成关系吗?呵呵,鬼知道。出于隐私,这里就不贴截图了,澄清一下,我们的账号,1没折扣,2没销售,3没人管。是,我们太小了,和阿里云这个巨人比起来,我们就是个比大学生计划大点的客户而已。
无奈的后果
由于现存的客户端仍然绑定着阿里云的OSS域名,所以如果我们不开OSS,老的客户端就无法更新,但是开启OSS的话,哪怕一个小时,也可以轻松刷掉几万块,无法知道对方IP自然也无法屏蔽(也屏蔽不了,OSS不支持一键切断海外访问之类的功能)。
但是如果不更新客户端,我们的用户就会因为客户端不稳定弃用我们。
抱着一丝丝希望,我找到了阿里云的售后工程师,希望他可以将这个域名解析到我的某个阿里云服务器,这样至少不用担心疯狂盗刷的风险,很遗憾,沟通失败,并且当我提及我的担忧,顾虑,给出的方案都是不贴合实际的。
更何况这是一个长期需要打开的窗口,我们必须要解决它,因为对我们来说,每一个用户都是那么的重要!但是如今,我们可能真的只能放弃了。
因为阿里云,我们不配。
此次的部分沟通截图如下:
最后我想说说
遇到恶意突发,就算我们用户头上,毫无办法,任意扣费,店大欺客,阿里云,你算什么?
我们是很小,近1万7千元的异常流量扣费,对于你们来说,也许是正常流量,正常计费,责任都在我们。
但是对我们来说,这是近700个用户的月付费,700个月付费对我们来说,每一个用户都是对我们的品质认可,也是对我们的信任,就如同我们信任你们一般。
阿里云,如果计费能及时一些,我们是否可以避免更多损失?
如果OSS功能再人性化一些,是否对于恶意刷取流量的行为可以得到管控?
如果售后再主动一些,是否我们迫在眉睫的更新问题可以得到更多的解决方案?
但是这一切,我都不指望了,阿里云,再见,是我们太小,是我们不配。
PS:截止到下午5点,工单中提及的升级+专员电话未联系该用户。
云头条针对该事件与阿里云取得联系,问询是否对外做说明。随后,阿里云工作人员与该用户进行了沟通。
业内人士对该事件的评论:
- 第一点:双方合作洽谈时甲方对目前架构的风险没有意识到,阿里云也没有充分了解用户的方案和需求,未能给出风险提示。所以甲方没有对阿里云提出QOS控制的需求;
- 第二点:事件发生之后,甲方提出对流量控制的需求,阿里云未积极配合处理。阿里云提供的域名是供该用户独有使用的,对这个域名做流量控制应该是可以做到的。
所以建议用户选择公有云产品,应该对其有充分的了解,尤其是资源访问权限控制方案的安全
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.