通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
› DigitalOcean - SSD Cloud Servers
这是一个创建于 3316 天前的主题,其中的信息可能已经有所发展或是发生改变。
搬瓦工的 vps ,只用来搭 SS 也就没花时间做防护了,结果被国内某人扫到了用来发 SPAM 邮件,立刻就被 VPS 服务商终止服务了,垃圾邮件也没发出几条,所以实际意义就是为了害人被停止服务然后花时间做防护?
第 1 条附言 · 2015-10-04 21:50:57 +08:00
vps 应该没被攻破,看来是被人通过 ss 来发垃圾邮件了, 
确实是从我笔记本的 IP 地址发送的邮件,也就是说有人走了我笔记本的 ss 客户端来发送垃圾邮件,刚重装了 vps 的系统,并设置了仅用 key 登录, root 密码, SSH 端口都改了,一切正常,直到我安装 ss 并用笔记本连上 ss 后几分钟,再次被人发了大量垃圾邮件。
确实是从我笔记本的 IP 地址发送的邮件,也就是说有人走了我笔记本的 ss 客户端来发送垃圾邮件,刚重装了 vps 的系统,并设置了仅用 key 登录, root 密码, SSH 端口都改了,一切正常,直到我安装 ss 并用笔记本连上 ss 后几分钟,再次被人发了大量垃圾邮件。
第 2 条附言 · 2015-10-04 22:04:58 +08:00
估计就是像 @xierch 所言, 笔记本内软件有 bug, 给外网提供了一个不用认证的代理(笔记本连的教育网,固定 IP, ss 用了一个月了)?然后被扫出来了?这该怎么解决呢?今年只剩最后一次解封机会了
 |
1
caixiexin 2015-10-04 19:24:16 +08:00
去年买搬瓦工没两天就这样了,看来果然不是个例啊。
|
 |
2
raincious 2015-10-04 19:29:41 +08:00
其实……就算上个防火墙安装个 fail2ban 也不用画多少时间的吧?我两台搬瓦工一直工作的很好,也没被黑。
|
|
3
raincious 2015-10-04 19:30:08 +08:00
- 用画多
+ 用花多 |
 |
4
rainy3636 2015-10-04 19:30:17 +08:00
ssh 密码被破了?
|
 |
5
aapu 2015-10-04 19:45:41 +08:00
最基础的安全防护还是要做的嘛,建议参考这篇 http://ttt.tt/104/
|
 |
6
vB4h3r2AS7wOYkY0 2015-10-04 19:49:11 +08:00
Bandwagon 我是这样弄的, 先 ssh 上去一切配置好, 然后直接 disable 掉 sshd...
以后有问题直接去 Kiwivm 后台走 HTML5 的终端... |
 |
7
wkdhf233 2015-10-04 19:53:38 +08:00
人家是批量扫描然后爆破密码、自动发送全自动化完成,不管你这儿发没发出去多少,反正你是成为了他所有攻陷 VPS 带来的收益的一部分的
这种扫描到处都是,要怪还是怪你自己没把防护做好 |
 |
8
oott123 2015-10-04 19:53:39 +08:00 via Android
其实他们一点都不无聊…
也许你的机器已经没有利用价值了,所以最后干脆沦为发 spam 的那一类了… |
 |
9
SourceMan 2015-10-04 19:53:55 +08:00 via Android
只能说那些人基本的安全措施没做好
|
 |
10
Daddy 2015-10-04 20:00:55 +08:00
只想说,你密码有多简单了? 123456789 ?
|
 |
11
chairuosen 2015-10-04 20:02:40 +08:00
还有人在用密码登 ssh ?
|
 |
12
hiroya 2015-10-04 20:05:46 +08:00 via iPad
要么防火墙没弄好,要么 ssh 被爆开了,我的都是输错 5 次,直接拉黑……我的曾经也被爆开过,当时只是被挂了些黑链而已
|
 |
13
liuzuo 2015-10-04 20:06:04 +08:00 via Android
当年的 linode 开了 http1.0 代理忘记关了,然后也被发了垃圾邮件。
|
 |
14
gamexg 2015-10-04 20:06:37 +08:00 via Android
爆的 ssh 密码?
前几天收到监控宝的通知, vps 负载高,进去一看被人利用 wp 当跳板攻击其他网站了,封 ip 完事。 |
 |
15
xierch 2015-10-04 20:30:07 +08:00
和搬瓦工没啥关系
曾经遇到过一个带 bug 的软件:会对外网开放一个不带认证的 SOCKS 代理 那台机子只是开着这软件,接着普通的家用宽带, 结果分分钟就被扫到,各种 spam 了 |
 |
16
GNiux 2015-10-04 20:45:50 +08:00 via iPhone
没防护肯定不行。折腾折腾 iptables, ssh 配置,必须的。
|
 |
17
111111111111 2015-10-04 20:46:44 +08:00
人家也是用 vps 扫,部署完就再也不看了,怎么会无聊
|
 |
18
lane3000 2015-10-04 20:50:58 +08:00
用了大半年都搬瓦工,暂时还没遇到这种问题。。
|
 |
19
pmpio 2015-10-04 20:51:08 +08:00
发垃圾邮件不一定非得 ssh 登录进去吧?很多 linux 发行版都默认启动 sendmail 或 postfix 。。。。。
|
 |
20
d7101120120 2015-10-04 20:53:34 +08:00
我发现我还没中招过,我的密码也不算复杂才 9 位啊,可能跟我心情不好的时候爱换密码有关吧
|
 |
21
anjouslava OP @xierch 怎么检测是什么软件造成的啊,刚把 vps 重装了 centos6 , SSH 设置了仅限密钥登录, CSF,fail2ban 都装了,防火墙设置 25 端口都禁用了,但是用了搬瓦工面板自带的 ss 安装之后,本机一连 ss,几分钟后就又被封了,估计真是给外网开放不带认证的 SOCKS 代理了
|
|
22
anjouslava OP @pmpio 不是 SSH 登录,我刚重装了系统设置了不允许 SSH 密码登录,而且禁用了 SMTP 的 25 端口,但是安装 ss 并连上几分钟后又被发垃圾邮件封了
|
 |
23
datocp 2015-10-04 21:51:57 +08:00 via Android
以前在搬瓦工遇到像是 dns 请求的问题,设置防火墙没用,更换 ip 解决,可能是前面的用户把那 ip 用烂了有很多外部发来的请求,防火墙明明 drop 了还是老收到邮件警告,换 ip 。
|
|
24
xierch 2015-10-04 22:54:30 +08:00
@anjouslava 哦你是在用 SS 啊,我说的那个软件其实就是 SS 的客户端, node-webkit 版的其中几个版本有此 bug 。
|
 |
25
WhiteLament 2015-10-05 09:35:17 +08:00
我在板瓦工没遇到,其他 vps 遇到了
Ubuntu 默认安装了 postfix ,看日志是用的这个在发邮件,删掉后好了 apt-get remove postfix |
Select Language