V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
xiyoulzl
V2EX  ›  VPS

服务器总是被黑,有没有什么好办法

  •  
  •   xiyoulzl · 2021-10-28 22:21:41 +08:00 · 802 次点击
    这是一个创建于 882 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己在 banwagong 买了两台服务器 平时自用梯子 已经用了两年多了 今年有一台服务器频频被黑,多次因为发送垃圾邮件被暂时停机 前两三次被黑都是因为密码被破解了,但是密码都是随机的密码 16 位蛮复杂 每次被黑之后都会完全重装系统 第四次被黑我就很不能理解。 为了防止被黑第四次重新安装完系统之后,配置好自己的东西后,我直接把 ssh 服务关掉了,没办法 ssh 登陆,就这样子也就过了半个月又被黑了,说发送垃圾邮件,然后被停机。

    我服务器上的配置也就是从 ubuntu 的源上装的 nginx 、ss 什么的,没装什么未知来源的程序,并且 ssh 被我关掉了。。 想破脑袋不知道服务器怎么被黑掉的。。

    25 条回复    2022-01-19 21:03:35 +08:00
    mokeyjay
        1
    mokeyjay  
       2021-10-28 22:23:06 +08:00
    你把你从拿到机器以来所有执行过的命令贴一下啊
    是不是 DD 了某些奇怪的镜像?是不是把某个软件设置了高危的权限?
    xiyoulzl
        2
    xiyoulzl  
    OP
       2021-10-28 22:25:27 +08:00
    @mokeyjay
    系统镜像是搬瓦工提供的 ubuntu1804 镜像
    命令我要看看
    tulongtou
        3
    tulongtou  
       2021-10-28 22:27:23 +08:00
    感觉是你安装完系统,安其他工具的时候,用了奇奇怪怪的脚本,在那个时候就给你种上木马了
    xiyoulzl
        4
    xiyoulzl  
    OP
       2021-10-28 22:32:04 +08:00
    @tulongtou 没有用过哪些网上的脚本,有一些配置脚本都是自己写的,下载的也都是 github 上 shadowsocks 官方的二进制文件
    lcdtyph
        5
    lcdtyph  
       2021-10-28 22:35:36 +08:00 via iPhone
    是不是 bwg 的账号被黑了呀
    xiyoulzl
        6
    xiyoulzl  
    OP
       2021-10-28 22:36:44 +08:00
    @lcdtyph 这个我有怀疑,但是 bwg 账号的登录记录我看了一下 没有异常登陆,并且如果账号背黑了,另外的一台服务器好好的。。
    lcdtyph
        7
    lcdtyph  
       2021-10-28 22:45:22 +08:00 via iPhone
    可能是旧版 nginx 的一些提权漏洞,或者 ss 本身的提权漏洞。另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
    Osk
        8
    Osk  
       2021-10-28 22:51:51 +08:00
    先看一下防火墙开了哪些端口, 然后再重点排查监听这些端口的程序.

    另外, 建议将这些程序降权运行, 不要 root 直接开跑.
    系统也要及时更新.
    xiyoulzl
        9
    xiyoulzl  
    OP
       2021-10-28 22:52:39 +08:00
    @lcdtyph 另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
    突然觉得这个还真的有可能。。。
    nijux
        10
    nijux  
       2021-10-28 23:01:04 +08:00
    会不会是你自己本地用的 ssh 客户端有问题
    xiyoulzl
        11
    xiyoulzl  
    OP
       2021-10-28 23:04:12 +08:00
    @nijux 用的 windows 自带的 ssh 。。
    viosey
        12
    viosey  
       2021-10-28 23:05:36 +08:00 via iPhone
    试试设置密钥登陆 不要用密码
    xiyoulzl
        13
    xiyoulzl  
    OP
       2021-10-28 23:07:00 +08:00
    @viosey 我配置完机器之后,直接把 ssh 服务关了。。。
    我还查了一下机器最近的登陆记录,没有人登陆
    hs0000t
        14
    hs0000t  
       2021-10-28 23:09:35 +08:00 via Android
    改防火墙,把 25 端口禁了
    zhlxsh
        15
    zhlxsh  
       2021-10-28 23:15:12 +08:00 via iPhone
    不应该呀,有后续记得艾特我
    patx
        16
    patx  
       2021-10-28 23:20:14 +08:00
    插眼,蹲个后续大神的分析
    ZRS
        17
    ZRS  
       2021-10-28 23:35:19 +08:00
    这显然是你客户端的问题
    xiyoulzl
        18
    xiyoulzl  
    OP
       2021-10-28 23:43:40 +08:00
    @mokeyjay
    @lcdtyph
    @zhlxsh

    1. 我特意查看了一下 lastlog 、最后的登陆记录,都是我自己没有别的登陆
    2. 包括最后执行的命令 ,都是我自己执行的没发现别的可疑命令
    3. 服务器重启后我看了端口 只有 80 443 ssh 端口,再没有看到邮件端口。

    最后执行的命令(都是我自己执行的)



    root@livevideo:~# cat .bash_history
    sudo apt update
    sudo apt upgrade
    reboot
    ls
    cd /var/log/
    ls
    cat auth.log
    cd
    w
    who
    who am i
    w
    w --help
    w -o
    sskey
    cd
    ls
    cd .ssh
    ls -a
    ufw
    ufw status
    service ssh status
    service ssh stop
    ls
    service ssh status
    exit
    sudo apt upgrade
    sudo dpkg --configure -a
    ls
    mkdir ss_proxy
    cd ss_proxy/
    ls
    wget https://gist.github.com/xxx/installEnv.sh (自己写的 ss 安装脚本)
    ls
    sh installEnv.sh
    ls
    cat config.json
    vim config.json
    vi config.json
    apt install vim
    vim config.json
    ls
    cat run.sh
    ./run.sh
    su run.sh
    sudo sh run.sh
    ls
    ufw
    sudo apt install ufw
    root@livevideo:~#

    现在非常怀疑,是不是我的某个 ss 客户端中毒了。。
    xiyoulzl
        19
    xiyoulzl  
    OP
       2021-10-28 23:44:59 +08:00
    @ZRS 我现在也在怀疑。。
    la9998372
        20
    la9998372  
       2021-10-28 23:49:30 +08:00
    我觉着是你代理的问题,我之前遇到过这个情况,后来排查觉着可能是自己的代理密码太弱了,或者是客户端中毒了,直接顺着你的代理发送垃圾邮件了
    felixcode
        21
    felixcode  
       2021-10-29 00:43:01 +08:00
    会不会你本地电脑中毒了或中木马了
    KasuganoSoras
        22
    KasuganoSoras  
       2021-10-29 01:54:34 +08:00
    遇到过,大概率是你代理被别人滥用了,早年我有一台 hk 小鸡搭的 v2 也是没怎么用,就平时分享给朋友用,后来应该是有人把 v2 连接信息泄露出去了,服务器就因为 spam 被停机,恢复之后我把 v2 信息改了就没事了。
    xiyoulzl
        23
    xiyoulzl  
    OP
       2021-10-29 11:30:48 +08:00 via Android
    @KasuganoSoras 我现在也在怀疑这个😥
    datocp
        24
    datocp  
       2021-12-02 06:56:01 +08:00 via Android
    Ss 一直被人反应有烂发邮件的问题。当然 2014.1.2 不用 ss 的原因很简单,我怀疑它的手机客户端使用了它家的 dns 而不是直接使用 vps 的 dns 。自那之后和 ss 说 88 。
    既然是烂发邮件,那就找出邮件服务器端口屏蔽,当年把代理分享有说到这事就开始用 iptables ,不知道端口有没有找齐,用了 7 年搬瓦工了,没有因为烂发邮件被停机。
    -A OUTPUT -p tcp -m multiport --dports 21,22,23,993,995,1109,24554,60177,60179 -j DROP
    -A OUTPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179,61234 -j DROP
    xiyoulzl
        25
    xiyoulzl  
    OP
       2022-01-19 21:03:35 +08:00 via Android
    @datocp 谢谢哈
    我现在把服务器 对外的端口请求
    只允许 80 443 这类
    就没有这个问题了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1103 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 18:50 · PVG 02:50 · LAX 11:50 · JFK 14:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.