通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
› DigitalOcean - SSD Cloud Servers
这是一个创建于 1121 天前的主题,其中的信息可能已经有所发展或是发生改变。
自己在 banwagong 买了两台服务器 平时自用梯子 已经用了两年多了 今年有一台服务器频频被黑,多次因为发送垃圾邮件被暂时停机 前两三次被黑都是因为密码被破解了,但是密码都是随机的密码 16 位蛮复杂 每次被黑之后都会完全重装系统 第四次被黑我就很不能理解。 为了防止被黑第四次重新安装完系统之后,配置好自己的东西后,我直接把 ssh 服务关掉了,没办法 ssh 登陆,就这样子也就过了半个月又被黑了,说发送垃圾邮件,然后被停机。
我服务器上的配置也就是从 ubuntu 的源上装的 nginx 、ss 什么的,没装什么未知来源的程序,并且 ssh 被我关掉了。。 想破脑袋不知道服务器怎么被黑掉的。。
 |
1
mokeyjay 2021-10-28 22:23:06 +08:00
你把你从拿到机器以来所有执行过的命令贴一下啊
是不是 DD 了某些奇怪的镜像?是不是把某个软件设置了高危的权限? |
 |
3
tulongtou 2021-10-28 22:27:23 +08:00
感觉是你安装完系统,安其他工具的时候,用了奇奇怪怪的脚本,在那个时候就给你种上木马了
|
 |
4
xiyoulzl OP @tulongtou 没有用过哪些网上的脚本,有一些配置脚本都是自己写的,下载的也都是 github 上 shadowsocks 官方的二进制文件
|
 |
5
lcdtyph 2021-10-28 22:35:36 +08:00 via iPhone
是不是 bwg 的账号被黑了呀
|
|
6
xiyoulzl OP @lcdtyph 这个我有怀疑,但是 bwg 账号的登录记录我看了一下 没有异常登陆,并且如果账号背黑了,另外的一台服务器好好的。。
|
|
7
lcdtyph 2021-10-28 22:45:22 +08:00 via iPhone
可能是旧版 nginx 的一些提权漏洞,或者 ss 本身的提权漏洞。另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
|
 |
8
Osk 2021-10-28 22:51:51 +08:00
先看一下防火墙开了哪些端口, 然后再重点排查监听这些端口的程序.
另外, 建议将这些程序降权运行, 不要 root 直接开跑. 系统也要及时更新. |
|
9
xiyoulzl OP @lcdtyph 另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
突然觉得这个还真的有可能。。。 |
 |
10
nijux 2021-10-28 23:01:04 +08:00
会不会是你自己本地用的 ssh 客户端有问题
|
 |
12
viosey 2021-10-28 23:05:36 +08:00 via iPhone
试试设置密钥登陆 不要用密码
|
 |
14
hs0000t 2021-10-28 23:09:35 +08:00 via Android
改防火墙,把 25 端口禁了
|
 |
15
zhlxsh 2021-10-28 23:15:12 +08:00 via iPhone
不应该呀,有后续记得艾特我
|
 |
16
patx 2021-10-28 23:20:14 +08:00
插眼,蹲个后续大神的分析
|
 |
17
ZRS 2021-10-28 23:35:19 +08:00
这显然是你客户端的问题
|
|
18
xiyoulzl OP @mokeyjay
@lcdtyph @zhlxsh 1. 我特意查看了一下 lastlog 、最后的登陆记录,都是我自己没有别的登陆 2. 包括最后执行的命令 ,都是我自己执行的没发现别的可疑命令 3. 服务器重启后我看了端口 只有 80 443 ssh 端口,再没有看到邮件端口。 最后执行的命令(都是我自己执行的) root@livevideo:~# cat .bash_history sudo apt update sudo apt upgrade reboot ls cd /var/log/ ls cat auth.log cd w who who am i w w --help w -o sskey cd ls cd .ssh ls -a ufw ufw status service ssh status service ssh stop ls service ssh status exit sudo apt upgrade sudo dpkg --configure -a ls mkdir ss_proxy cd ss_proxy/ ls wget https://gist.github.com/xxx/installEnv.sh (自己写的 ss 安装脚本) ls sh installEnv.sh ls cat config.json vim config.json vi config.json apt install vim vim config.json ls cat run.sh ./run.sh su run.sh sudo sh run.sh ls ufw sudo apt install ufw root@livevideo:~# 现在非常怀疑,是不是我的某个 ss 客户端中毒了。。 |
 |
20
la9998372 2021-10-28 23:49:30 +08:00
我觉着是你代理的问题,我之前遇到过这个情况,后来排查觉着可能是自己的代理密码太弱了,或者是客户端中毒了,直接顺着你的代理发送垃圾邮件了
|
 |
21
felixcode 2021-10-29 00:43:01 +08:00
会不会你本地电脑中毒了或中木马了
|
 |
22
KasuganoSoras 2021-10-29 01:54:34 +08:00
遇到过,大概率是你代理被别人滥用了,早年我有一台 hk 小鸡搭的 v2 也是没怎么用,就平时分享给朋友用,后来应该是有人把 v2 连接信息泄露出去了,服务器就因为 spam 被停机,恢复之后我把 v2 信息改了就没事了。
|
|
23
xiyoulzl OP @KasuganoSoras 我现在也在怀疑这个😥
|
 |
24
datocp 2021-12-02 06:56:01 +08:00 via Android
Ss 一直被人反应有烂发邮件的问题。当然 2014.1.2 不用 ss 的原因很简单,我怀疑它的手机客户端使用了它家的 dns 而不是直接使用 vps 的 dns 。自那之后和 ss 说 88 。
既然是烂发邮件,那就找出邮件服务器端口屏蔽,当年把代理分享有说到这事就开始用 iptables ,不知道端口有没有找齐,用了 7 年搬瓦工了,没有因为烂发邮件被停机。 -A OUTPUT -p tcp -m multiport --dports 21,22,23,993,995,1109,24554,60177,60179 -j DROP -A OUTPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179,61234 -j DROP |
Select Language