自己在 banwagong 买了两台服务器 平时自用梯子 已经用了两年多了 今年有一台服务器频频被黑,多次因为发送垃圾邮件被暂时停机 前两三次被黑都是因为密码被破解了,但是密码都是随机的密码 16 位蛮复杂 每次被黑之后都会完全重装系统 第四次被黑我就很不能理解。 为了防止被黑第四次重新安装完系统之后,配置好自己的东西后,我直接把 ssh 服务关掉了,没办法 ssh 登陆,就这样子也就过了半个月又被黑了,说发送垃圾邮件,然后被停机。
我服务器上的配置也就是从 ubuntu 的源上装的 nginx 、ss 什么的,没装什么未知来源的程序,并且 ssh 被我关掉了。。 想破脑袋不知道服务器怎么被黑掉的。。
1
mokeyjay 2021-10-28 22:23:06 +08:00
你把你从拿到机器以来所有执行过的命令贴一下啊
是不是 DD 了某些奇怪的镜像?是不是把某个软件设置了高危的权限? |
3
tulongtou 2021-10-28 22:27:23 +08:00
感觉是你安装完系统,安其他工具的时候,用了奇奇怪怪的脚本,在那个时候就给你种上木马了
|
4
xiyoulzl OP @tulongtou 没有用过哪些网上的脚本,有一些配置脚本都是自己写的,下载的也都是 github 上 shadowsocks 官方的二进制文件
|
5
lcdtyph 2021-10-28 22:35:36 +08:00 via iPhone
是不是 bwg 的账号被黑了呀
|
6
xiyoulzl OP @lcdtyph 这个我有怀疑,但是 bwg 账号的登录记录我看了一下 没有异常登陆,并且如果账号背黑了,另外的一台服务器好好的。。
|
7
lcdtyph 2021-10-28 22:45:22 +08:00 via iPhone
可能是旧版 nginx 的一些提权漏洞,或者 ss 本身的提权漏洞。另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
|
8
Osk 2021-10-28 22:51:51 +08:00
先看一下防火墙开了哪些端口, 然后再重点排查监听这些端口的程序.
另外, 建议将这些程序降权运行, 不要 root 直接开跑. 系统也要及时更新. |
9
xiyoulzl OP @lcdtyph 另外还有可能是你的某个客户端中毒了,在不断通过 ss 代理发送垃圾邮件导致被封
突然觉得这个还真的有可能。。。 |
10
nijux 2021-10-28 23:01:04 +08:00
会不会是你自己本地用的 ssh 客户端有问题
|
12
viosey 2021-10-28 23:05:36 +08:00 via iPhone
试试设置密钥登陆 不要用密码
|
14
hs0000t 2021-10-28 23:09:35 +08:00 via Android
改防火墙,把 25 端口禁了
|
15
zhlxsh 2021-10-28 23:15:12 +08:00 via iPhone
不应该呀,有后续记得艾特我
|
16
patx 2021-10-28 23:20:14 +08:00
插眼,蹲个后续大神的分析
|
17
ZRS 2021-10-28 23:35:19 +08:00
这显然是你客户端的问题
|
18
xiyoulzl OP @mokeyjay
@lcdtyph @zhlxsh 1. 我特意查看了一下 lastlog 、最后的登陆记录,都是我自己没有别的登陆 2. 包括最后执行的命令 ,都是我自己执行的没发现别的可疑命令 3. 服务器重启后我看了端口 只有 80 443 ssh 端口,再没有看到邮件端口。 最后执行的命令(都是我自己执行的) root@livevideo:~# cat .bash_history sudo apt update sudo apt upgrade reboot ls cd /var/log/ ls cat auth.log cd w who who am i w w --help w -o sskey cd ls cd .ssh ls -a ufw ufw status service ssh status service ssh stop ls service ssh status exit sudo apt upgrade sudo dpkg --configure -a ls mkdir ss_proxy cd ss_proxy/ ls wget https://gist.github.com/xxx/installEnv.sh (自己写的 ss 安装脚本) ls sh installEnv.sh ls cat config.json vim config.json vi config.json apt install vim vim config.json ls cat run.sh ./run.sh su run.sh sudo sh run.sh ls ufw sudo apt install ufw root@livevideo:~# 现在非常怀疑,是不是我的某个 ss 客户端中毒了。。 |
20
la9998372 2021-10-28 23:49:30 +08:00
我觉着是你代理的问题,我之前遇到过这个情况,后来排查觉着可能是自己的代理密码太弱了,或者是客户端中毒了,直接顺着你的代理发送垃圾邮件了
|
21
felixcode 2021-10-29 00:43:01 +08:00
会不会你本地电脑中毒了或中木马了
|
22
KasuganoSoras 2021-10-29 01:54:34 +08:00
遇到过,大概率是你代理被别人滥用了,早年我有一台 hk 小鸡搭的 v2 也是没怎么用,就平时分享给朋友用,后来应该是有人把 v2 连接信息泄露出去了,服务器就因为 spam 被停机,恢复之后我把 v2 信息改了就没事了。
|
23
xiyoulzl OP @KasuganoSoras 我现在也在怀疑这个😥
|
24
datocp 2021-12-02 06:56:01 +08:00 via Android
Ss 一直被人反应有烂发邮件的问题。当然 2014.1.2 不用 ss 的原因很简单,我怀疑它的手机客户端使用了它家的 dns 而不是直接使用 vps 的 dns 。自那之后和 ss 说 88 。
既然是烂发邮件,那就找出邮件服务器端口屏蔽,当年把代理分享有说到这事就开始用 iptables ,不知道端口有没有找齐,用了 7 年搬瓦工了,没有因为烂发邮件被停机。 -A OUTPUT -p tcp -m multiport --dports 21,22,23,993,995,1109,24554,60177,60179 -j DROP -A OUTPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179,61234 -j DROP |