云机器流量这么容易被耗尽嘛？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

起因：云机器的 ipv6 分配了但不通，尝试了重做系统，就联系客服处理，对方要求 root 密码或者给予临时权限。于是我就把密码改成相对简单的密码。没过多久流量就耗尽了。大概半个小时 300 多 G 流量吧。
经过：再次联系客服，反馈情况，我以为是系统 bug 。客服反馈流量耗尽，付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑，密码不能太简单。
结果与思考：付费增加 100G 流量，等待系统重置。
留下两个疑问：
1.公网设备 root 密码这么容易爆破么？
2.增加流量的同时必须重置系统的原因是什么？

流量

密码

重置

25 条回复 • 2025-02-01 02:08:57 +08:00

aru

15 天前

1. 是的。开在公网可访问的 ssh 服务器每天基本都会接受几万次或更多的简单密码登录尝试
2. 机器被入侵同时会安装各种隐藏的木马，很难清理干净。重置系统的要求合理

aladd

15 天前

真好，甚至你都没怀疑过是对面的问题，一直在自查。
大小 VPS 也买过不少，闻所未闻。
半小时 300G~嗯！呵呵~

3.能退款换一家吗？

iseki

15 天前 via Android

空载半小时 300G ，很离谱。

aladd

15 天前

忽然想到了在 MJJ 论坛看到的，你是不是买了一些野鸡商家，或者有点知名度的 oneman 商家，然后它家恰好此时正在被 D 啊？
因为我以前有注意到那个论坛里有很多人发帖，买的 VPS 开机后什么也没敢，一段时间后就提示流量没有了。
楼里的回复均是：无解，关机保平安。

dream0689

15 天前 via iPhone

@aladd 我有怀疑，可难在我没法举证。

dream0689

15 天前 via iPhone

@aladd 应该不是被 D 了，cdn 在机器前边做了防护，cdn 流量没有异常。

dream0689

15 天前 via iPhone

@aru 感谢，只是当时没想到临时密码也可以设置复杂点，反正对方也就是 ctrl+c/v 。往后要吸取教训了。

MossFox

15 天前

看样子还没意识到重点，

这里需要总结到的不是流量耗得快慢，
是你的机器已经被扫公网的恶意程序不知道植入多少东西了。这种时候别说重置这台设备，假如有内网互联的其他弱密码机器或者服务，这种时候都要检查一遍。

常用密码都是弱密码的话，公网机器建议关掉密码登录后换成密钥登录。

dream0689

15 天前 via iPhone

@iseki 解决问题的回复没等到，却看到流量耗尽，机器停服了，一开始就以为是对方故障或者系统 bug 。对方没有正面回答我的质疑。我也不纠结，就想着先看加流量能不能恢复服务，后续还有问题就停用这家了。停服后，就启用备用线路了。

dream0689

15 天前 via iPhone

@MossFox 感谢提醒，这次还好是停服，没有产生巨额账单。

Ggmusic

14 天前 via iPhone

不要回答，不要回答，不要回答。🈲️ping ，关闭所有端口，ssh 不要用 22 或者 xx22 ，关闭 ipv4
的 80 ，443 ，只用 ipv6 。启用 knock 端口，比如先连 12012 端口，再连 11021 端口之后，才放通这个客户端对 ssh 端口的访问权限，这种机制 nftables 原生就支持。否则只能关机保平安。

kk2syc

14 天前

直接 ip 白名单，除了 cloudflare 之外的全部抛弃，vps 都有 vnc ，想 ssh 的时候 vnc 上去给自己的 ip 临时加白

flynaj

14 天前 via Android

网络爆破后全带宽对外 ddos 才能用这么多

BadReese

14 天前

有可能是连接 mysql 填的公网地址

beyondstars

14 天前

感觉不是很正规，可能是 oneman ，重做系统跟 root 密码或特权账户有何关系…… 我理解应该只是把操作系统镜像刷入到虚拟机的磁盘。
另外平台方面要对你的运行中的实例进行操作，一般不是通过官方的 agent 之类的方式吗（就是那种官方的在你的实例上运行的特权守护进程）。

dream0689

14 天前 via iPhone

@beyondstars 反馈过来是密码太简单被爆破入侵了，跑了一些东西在里边。要 root 密码是处理分配的 ipv6 地址不能使用的问题。

nzbstn

14 天前

@Ggmusic #11 我有个问题: 关闭 v4 仅使用 v6 的情况下, 一般是不会产生额外的流量, 是因为 v6 地址太多 or 足够复杂, 一般扫描类无法命中目标吗
如果使用 knock 的话, 比如我部署一个 server, 客户端和服务端需要心跳保持通讯, 这种情况是不能使用 knock, 优先使用 v6+端口呗

dream0689

14 天前 via iPhone

@flynaj 查实了不，到三个小时上传了 236G ，峰值 CPU 占用 100%和上传 30MB/s 。这是对外发起了 ddos 吧。
https://imgur.com/a/n04cy5s

dream0689

14 天前 via iPhone

@flynaj 查实了，不到三个小时上传了 236G ，峰值 CPU 占用 100%和上传 30MB/s 。这是对外发起了 ddos 吧。
https://imgur.com/a/n04cy5s

Ggmusic

14 天前 via iPhone

@nzbstn knocking 的参考 https://home.regit.org/2017/07/nftables-port-knocking/。如果客户端是固定的，也不需要敲门了，直接白名单。例子中 Client_SSH_IPv4 里是没配 timeout 值的，这就意味着如果你敲门一次成功，IP 就永久加入 set 里，只有手工重置 nftables 的规则，或者重启机器才会被清空，对心跳无影响。IPv6 的地址只要你不主动暴露，应该不会扫到端口，扫到一个机器的代价比 v4 高多了。knocking 或者 v6 可以比较有效抵御被 D ，尤其是一些流量双向计费的机器，只要你端口开着，持续不断刷，总能耗光你的流量。op 这种已经沦为肉鸡的那是极端的场景了。

jousca

13 天前

@dream0689 系统不正常。不干净。或者你在机器上错误的配置了端口转发。

jousca

13 天前

主要是 SSH 必须强口令，建议使用 SSH KEY 方式。或者拿到机器第一时间就把 SSH 端口修改掉。原来的 22 不能用。不然每天能看到上万次的破解。

dream0689

11 天前 via iPhone

@jousca 系统本身没问题，有没有错配端口转发就没法追踪了。

dream0689

11 天前 via iPhone

@jousca 本来是强口令，因为技术支持需要改了简单的，没想到被爆破了。状态显示技术应该只是使用了 vnc 操作命令。

zxbiao

5 天前

fail2ban 你值得拥有