V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nmap
V2EX  ›  程序员

腾讯云竟然认为 frp 是恶意软件,这下凉了

  •  1
     
  •   nmap · 2023-05-09 10:58:46 +08:00 · 9383 次点击
    这是一个创建于 566 天前的主题,其中的信息可能已经有所发展或是发生改变。
    检测到存在待处理的恶意文件:/path/frp_0.37.1_linux_amd64/frps ,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失,请前往主机安全( https://mc.tencent.com/)查看详细信息。
    46 条回复    2023-05-10 20:08:05 +08:00
    yaott2020
        1
    yaott2020  
       2023-05-09 10:59:43 +08:00 via Android
    早就有这样的问题了,别管呗
    jtwor
        2
    jtwor  
       2023-05-09 11:00:39 +08:00
    去后台忽略就行了
    swulling
        3
    swulling  
       2023-05-09 11:00:48 +08:00 via iPhone
    用干净的 debian 或者其他 os 镜像重装系统
    cpstar
        4
    cpstar  
       2023-05-09 11:01:25 +08:00   ❤️ 5
    mv frps fxcktencent
    ChengLuffy
        5
    ChengLuffy  
       2023-05-09 11:02:59 +08:00
    把 bin 文件重命名为 web-server
    cwcc
        6
    cwcc  
       2023-05-09 11:06:25 +08:00
    frp 树大招风,恶意利用居多。https://v2ex.com/t/909154?p=1#r_12581638
    photon006
        7
    photon006  
       2023-05-09 11:07:51 +08:00
    用 docker 安装
    gshao666666
        8
    gshao666666  
       2023-05-09 11:08:35 +08:00
    @ChengLuffy 是根据文件名扫的吗
    brader
        9
    brader  
       2023-05-09 11:10:13 +08:00
    不管是阿里云还是腾讯云,我都喜欢把他们安装的云盾给卸载了,怎么你们都在用
    ChengLuffy
        10
    ChengLuffy  
       2023-05-09 11:12:41 +08:00
    @gshao666666 我之前在 aliyun 和 腾讯云 的国内服务器安装 trojan 进行内网穿透,都有这样的警报,后来把 trojan 的 bin 文件改成 web-server ,现在也在正常跑着
    proxytoworld
        11
    proxytoworld  
       2023-05-09 11:15:52 +08:00
    因为确实很多黑客再用这种东西
    andyskaura
        12
    andyskaura  
       2023-05-09 11:30:32 +08:00
    win server 上的 defender 也会报毒
    0ray
        13
    0ray  
       2023-05-09 11:38:23 +08:00
    @cpstar 老哥有性情
    Rache1
        14
    Rache1  
       2023-05-09 11:41:01 +08:00
    @cwcc 🤦‍♂️ 我就不该点进去,进去就看到个胡搅蛮缠的
    opengps
        15
    opengps  
       2023-05-09 11:53:08 +08:00
    流量被转发,本身就可能有风险,这个识别逻辑未必是说 frp 有问题,有可能是你流转的数据具备了某些特征
    jaylee4869
        16
    jaylee4869  
       2023-05-09 12:05:15 +08:00
    cloudflared 会有类似警报吗?
    cy18
        17
    cy18  
       2023-05-09 12:14:39 +08:00
    只能说 frp 确实好用,不管哪方面...

    @ChengLuffy 这...正常用户用不了,恶意利用改个名直接 Pass ?
    jifengg
        18
    jifengg  
       2023-05-09 13:19:16 +08:00   ❤️ 1
    还有默认的端口号 7000 ,也要改掉。之前有过被扫 7000 端口警告的经历
    blankmiss
        19
    blankmiss  
       2023-05-09 13:35:39 +08:00
    有很多替换选项
    kome
        20
    kome  
       2023-05-09 13:37:19 +08:00
    之前用的时候,Windows 上解压后就被 WD 干掉了,腾讯云倒是没啥反应。
    BQsummer
        21
    BQsummer  
       2023-05-09 13:41:25 +08:00
    github 上 frp 的最近几个版本的二进制文件都被 wd 和 nod32 识别为恶意软件,我记得去年那时候下载的时候没问题,现在在用 rathole
    AnselCC
        22
    AnselCC  
       2023-05-09 13:56:14 +08:00
    文件重命名
    或者自己拉源码,稍微修改一下,编译一个认不到的版本出来。
    wjx0912
        23
    wjx0912  
       2023-05-09 14:06:39 +08:00
    @BQsummer
    源码没问题,自己编译的也没问题。但是 github release 的二进制貌似都有木马,有个腾讯云就是下载二进制文件的 frp 被封了
    yestodayHadRain
        24
    yestodayHadRain  
       2023-05-09 14:10:10 +08:00 via iPhone
    把腾讯云主机安全的 agent 干掉就不会报警了
    LXGMAX
        25
    LXGMAX  
       2023-05-09 14:15:13 +08:00
    @brader 删了他们会马上打电话给你,说出问题了要登进去修复
    bookbox
        26
    bookbox  
       2023-05-09 14:17:22 +08:00
    我的文件也报毒了,在 VT 查了下,很多引擎都报毒(咨询了公司安全大佬,这个是黑客常用的隧道工具,在服务器端报毒是合理的,如部分引擎命名 hacktool )
    VT 链接: https://www.virustotal.com/gui/file/8496fdc5e13177725df587ad32541219d948267b6314865a5a54f6e23234c553
    brader
        27
    brader  
       2023-05-09 14:26:42 +08:00
    @LXGMAX #25 我开了那么多台阿里云主机,都是删了,没有的事,从来不会找我这个
    iawes
        28
    iawes  
       2023-05-09 14:56:48 +08:00
    那就用 ngrok
    proxychains
        29
    proxychains  
       2023-05-09 14:59:04 +08:00
    他为什么能扫描你的主机... 好恶心
    aahao
        30
    aahao  
       2023-05-09 15:12:01 +08:00
    头像好评,梦回明珠港
    githmb
        31
    githmb  
       2023-05-09 16:04:09 +08:00
    或许可以试试我的 remote-bind ?

    https://github.com/develon2015/remote-bind
    krixaar
        32
    krixaar  
       2023-05-09 16:38:18 +08:00
    @opengps #15 放一个 frps 在里面就会出,改个名字就行了。
    opengps
        33
    opengps  
       2023-05-09 17:12:27 +08:00
    @krixaar 我也放了,而且很久了,一直没有被提示过,从来没删除过云厂商官方的安全组件
    weilongs
        34
    weilongs  
       2023-05-09 17:29:14 +08:00
    我跑的 docker nps+frp 。
    ky1e
        35
    ky1e  
       2023-05-09 22:01:57 +08:00
    重装系统呀。。。哈哈
    patrickyoung
        36
    patrickyoung  
       2023-05-10 00:48:46 +08:00 via iPhone
    @LXGMAX #24 并不会,我的所有机器开机第一件事就是干点这几个东西,快六七年了,啥事没有
    patrickyoung
        37
    patrickyoung  
       2023-05-10 00:49:26 +08:00 via iPhone
    @patrickyoung #35 干点->干掉
    awinds
        38
    awinds  
       2023-05-10 09:02:58 +08:00
    公网需求申请公网 ip 嘛
    LXGMAX
        39
    LXGMAX  
       2023-05-10 09:11:50 +08:00
    @brader
    @patrickyoung 不太懂,我 17 年刚买腾讯云那会发现了 YunJing 这个进程,然后删掉对应文件了,接着一通电话打过来说监控数据有问题,让我开工单并附上账户登入方式给他进去操作,后来让他操作完我直接重装系统了
    brader
        40
    brader  
       2023-05-10 10:02:15 +08:00
    @LXGMAX #39 就算打电话来,可以选择不鸟他
    fqzz
        41
    fqzz  
       2023-05-10 10:25:58 +08:00
    从哪下载的?有些可能是被投毒的版本。
    baobao1270
        42
    baobao1270  
       2023-05-10 10:36:34 +08:00
    1. 用 netboot.xyz 重装系统
    2. 开启根分区 LUKS 加密
    3. 卸载 cloud-init

    这样就没法扫你文件了
    扫文件大概率是上面的要求,国内的大厂的云服务都会扫
    unlsycn
        43
    unlsycn  
       2023-05-10 10:46:35 +08:00 via Android
    因为这玩意原理上确实比较敏感..WD 也报毒来着
    atpking
        44
    atpking  
       2023-05-10 10:54:47 +08:00
    老哥你要是只是临时用的话, 可以试试我做的 www.1apm.com 只依赖 ssh
    dkmilan
        45
    dkmilan  
       2023-05-10 14:46:16 +08:00
    正常情况下,你买 IaaS 服务的服务器,比如 EC2 之类的,操作系统层面的东西本来就是厂商负责的,也包括系统安全

    给虚拟机实例重装系统并不是什么正常操作。。
    Zy143L
        46
    Zy143L  
       2023-05-10 20:08:05 +08:00
    你们用国产云服务器居然不 dd 一下系统么..
    再不济开服务器的时候关掉云防护云安全就行了
    自己服务器自己管
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3857 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 10:33 · PVG 18:33 · LAX 02:33 · JFK 05:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.