近日，用户在使用Alist挂载视频时遭遇流量异常，阿里云盘流量包被快速耗尽。经排查，发现有未经授权的IP地址持续访问Alist，绕过鉴权机制，直接访问文件。文章分析了安全漏洞产生的原因，包括未启用签名导致的文件路径可直接访问。作者通过启用签名、屏蔽恶意IP等方式进行应对。同时，文章也提出了对恶意访问动机的疑问，以及对域名泄露途径的猜测，引人深思Alist的安全防护问题。

🔑 问题的核心在于Alist配置的安全漏洞。作者最初的配置允许未经授权的访问，导致恶意IP可以绕过鉴权直接访问文件，消耗大量流量。

🛡️ 解决方案是启用Alist的签名功能。启用签名后，未经授权的访问将被拒绝，有效阻止了恶意IP的直接访问。

🤔 恶意访问的动机尚不明确。作者观察到恶意IP访问特定文件，并非用于转发。这引发了对恶意访问目的的疑问，例如是否是为了刷下载量。

❓ 作者对域名泄露途径提出疑问。由于域名仅供个人使用，恶意IP如何获取域名成为一个谜团。文章推测可能与近期发生的Alist事件有关。

今天突然用 infuse 看 alist 挂载的视频巨卡，看了眼自己阿里云盘的三方权益流量包，发现 1T 的流量被用完了，而我自己绝不可能用到这么多流量，再看了眼 alist 的访问记录，发现有几个 ip 一直在访问我的 alist

仔细观察这几个 ip 访问的路径，都是 /d/xxx 这样的格式，xxx 是文件路径，我自己访问发现这个路径无需鉴权，路径文件存在就可以直接访问。解决方案是设置里启用签名，启动之后再访问就会返回 403 ，这点算我的设置失误，没想到关闭了 guest 访问，还有这种方法可以免鉴权访问

但是这样设置之后，这几个 ip 依旧在高频率访问我的服务器，无奈只能先屏蔽 ip 消停一会儿，但过段时间又有别的 ip 继续来

我不理解这两个问题：

我用的是域名，不可能是 ip 搜索找到的，而且这个域名只有我自己用，这些恶意请求是怎么找到我的域名的？多个 ip 可能还不止一个人知道？结合近期 alist 事件，会是这个导致的域名泄漏吗？刷我的流量有什么用？我观察看每个 ip 基本就访问固定几个文件，不像是转发提供给其他人用的，那反复下载是为了什么，PT 上传太多想刷下载？