V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiangtianxiao
V2EX  ›  问与答

为什么我的 vps 会被人用来发垃圾邮件?

  •  
  •   xiangtianxiao · 2015-11-26 14:41:20 +08:00 · 8700 次点击
    这是一个创建于 3274 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前买的搬瓦工 micro64 ,今天突然不能用了,登录到控制面板发现如下内容


    Network abuse: Mass Mailing

    We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam.

    Additional information:
    这里是很多奇怪的 log ,有大量的邮箱,基本都是 163 的,还有 thundermail 之类的信息


    我这个 vps 只安装了那个服务,还是控制面板里自带的,系统镜像也是官方的, root 密码是自动生成的,之前登录用的 putty 也是从官网上下载的。请问究竟是哪里出了问题呢,为什么成了肉机...

    对了,最近我的 ipv6 地址无法连接,发了个 ticket 也没有解决,跟这件事情有关系吗?

    12 条回复    2015-11-26 20:50:13 +08:00
    Showfom
        1
    Showfom  
       2015-11-26 15:46:54 +08:00 via iPhone
    你电脑中毒
    xiangtianxiao
        2
    xiangtianxiao  
    OP
       2015-11-26 16:46:17 +08:00
    @Showfom 意思是 pc 中毒然后走代理导致的吗?
    datocp
        3
    datocp  
       2015-11-26 16:56:36 +08:00
    正常正常,你得想想有没有公布出去过。有时候本来觉得手头资源太多想共享一下,但是坏人还是太多了,哈。。。

    网上找得隐蔽邮件端口,另外搬瓦工发现 debian   full 版本还是蛮好的,系统服务非常干净,而那 centos 7 如果站点有 wordpress 也会有邮件发送提示。
    -A OUTPUT -p tcp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -j DROP
    -A OUTPUT -p udp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -j DROP
    -A OUTPUT -p tcp -m multiport --dports 21,22,23,993,995,1109,24554,60177,60179 -j DROP
    -A OUTPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179,61234 -j DROP
    -A OUTPUT -m state --state INVALID -j DROP

    这篇文档提供了用 iptables 根据 uid 限定访问端口的操作。
    shadowsocks 的优化和安全设置总结
    https://blog.liantian.me/2015/01/27/shadowsocks%E7%9A%84%E4%BC%98%E5%8C%96%E5%92%8C%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E6%80%BB%E7%BB%93/
    Daddy
        4
    Daddy  
       2015-11-26 17:02:08 +08:00
    改成密钥登陆吧
    cheng12308
        5
    cheng12308  
       2015-11-26 17:11:59 +08:00 via iPhone
    我想买帮瓦工,谁有优惠码!
    datocp
        6
    datocp  
       2015-11-26 17:17:14 +08:00
    网站首页,好像是任意页面,右击查看源码,最开始部分就有。幅度不定。
    <!-- Try this promo code: IAMSMART5EM2BR -->
    yylzcom
        7
    yylzcom  
       2015-11-26 17:17:58 +08:00   ❤️ 1
    @cheng12308 查看首页源码就有
    这个是 5%的优惠码 IAMSMART5GRNII

    不介意的话用我的推介链接吧: https://bandwagonhost.com/aff.php?aff=2545
    xiangtianxiao
        8
    xiangtianxiao  
    OP
       2015-11-26 17:36:13 +08:00 via Android
    @datocp 谢谢!这个 vps 的 shadowsocks 确实给朋友共享过。待我看看那篇文章,之前确实没有注意过这方面的安全问题
    freeman
        9
    freeman  
       2015-11-26 18:22:47 +08:00
    这种情况我也碰到过,我的是 VPS 下的某个站有漏洞。。
    xmoiduts
        10
    xmoiduts  
       2015-11-26 18:28:39 +08:00 via Android
    我的服务器也发现了这种乱发连接的情况,建议重点关注 pc 电脑端的 priv0xy 这个程序,

    不懂网络,调用 windows 自带的 xxx ,禁掉了他的联网权限,就好了。不知道是 priv0xy 被夹了私货,还是病毒调用 privoxy 。
    Showfom
        11
    Showfom  
       2015-11-26 19:25:35 +08:00
    @xiangtianxiao 是的,很多客户遇到过,你共享给你朋友用么可能你朋友电脑中木马了。
    caixiexin
        12
    caixiexin  
       2015-11-26 20:50:13 +08:00 via Android
    我去年买搬瓦工的时候也这样,估计不是个例。禁用掉相关端口吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4549 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 01:04 · PVG 09:04 · LAX 17:04 · JFK 20:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.