V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
abczise
V2EX  ›  问与答

各位大佬服务器被攻击咋解决啊

  •  
  •   abczise · 2021-12-19 09:31:41 +08:00 · 5229 次点击
    这是一个创建于 1068 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天贪小便宜腾讯 198 买了个 3 年轻量应用服务器 拿来建了个 NPS ,今天惊喜的发现家里 NAS 被跑字典了 起初以为是家里有病毒软件什么的 但是后面登腾讯服务器发现网页打开十分卡 后面进腾讯管理界面发现带宽被跑满了 后面尝试重启也解决不了,目前只能关机了

    在线求解决之道!!!!!!!!!!!!!!!!!!!

    39 条回复    2022-01-19 23:45:57 +08:00
    512357301
        1
    512357301  
       2021-12-19 09:37:29 +08:00 via Android   ❤️ 2
    安全组或者防火墙里只开放几个端口,用不到的一律关掉
    abczise
        2
    abczise  
    OP
       2021-12-19 09:39:53 +08:00
    @512357301 没什么用,他现在是流量攻击,我服务器根本没办法正常访问。昨晚 19 点持续到刚刚,出口带宽都被拉满在
    tanranran
        3
    tanranran  
       2021-12-19 09:40:56 +08:00
    关服
    kekxv
        4
    kekxv  
       2021-12-19 09:43:42 +08:00 via iPhone
    先断网再备份数据,换端口
    A3
        5
    A3  
       2021-12-19 09:54:11 +08:00 via Android
    不是很懂,流量转发到银行之类的网站能行吗
    服务器被黑了
    abczise
        6
    abczise  
    OP
       2021-12-19 10:02:12 +08:00
    打 400 也解决不了,咋整啊 现在惊奇的发现跟服务器失联了
    cooljiang
        7
    cooljiang  
       2021-12-19 10:10:42 +08:00 via Android
    封 ip ?
    dLvsYgJ8fiP8TGYU
        8
    dLvsYgJ8fiP8TGYU  
       2021-12-19 10:20:21 +08:00
    云服务器安全组 /防火墙设置黑白名单,包括 nps 通信端口和公网访问端口。

    - nps 通信端口:白名单
    你家的宽带即使没有公网 IP ,实际出口 IP 段也不会变化太大。实际观察几周,例如 123.123.***.***,就在安全组设置仅允许 123.123.0.0/16 访问,依此类推,尽可能减少攻击面。会有人扫 nps 端口尝试穿透回你家局域网,密钥要够长且定期更换。

    - 公网访问端口:黑名单
    由于你需要在公网访问,可采取黑名单方式。如遇扫描,可查询对方 IP 的 ASN 号,必要时 block 掉这个 ASN 下面所有 IP-CIDR 。如果属于 IDC 机房,可向对应的服务商提交被攻击日志,查实后攻击者 /肉鸡会被停机(亲测有效)

    此外不建议 NAS 上使用管理员账户从外网访问敏感服务,如确有需要可为外网访问单独创建一个账户,只授权平时出门在外可能需要使用的资源。
    abczise
        9
    abczise  
    OP
       2021-12-19 10:33:00 +08:00
    查了半天,查到了被攻击的端口了 5000
    接下来咋整?换端口号????
    dLvsYgJ8fiP8TGYU
        10
    dLvsYgJ8fiP8TGYU  
       2021-12-19 10:40:42 +08:00
    @abczise 先确定只是单纯被人扫到端口,还是 SSH 被人登录了,看看 /var/log/secure 里面也没有奇怪的 IP 。确定没有其他人登录你服务器后,SSH 改高位端口、禁用密码登录、改用密钥、在安全组仅允许你常用 IP 访问 SSH 端口。

    也不建议直接 5000/5001 暴露在公网,改个高位
    patx
        11
    patx  
       2021-12-19 10:44:32 +08:00
    弄个反向代理?你被攻击的机器设置白名单,只允许反向代理访问
    xinghen57
        12
    xinghen57  
       2021-12-19 10:51:36 +08:00 via iPhone
    关注一下。请问 lz 服务器做了哪些防护?
    abczise
        13
    abczise  
    OP
       2021-12-19 10:55:13 +08:00
    @dLvsYgJ8fiP8TGYU 对应端口号的服务器上只记录了个 SSH 端口被人跑字典。因为走 NPS 的 查不到对方 IP 哎~
    目前没发现有数据丢失,不过,路由记录该服务器上行,下行分别走了一百多 GB ,然而昨晚一半多都不是我用的
    磁盘访问记录也没,难受 都不知道那些数据被拷走了

    目前 5000 端口还被攻击着,一打开带宽就 100%
    打腾讯电话,给推荐了个安防专业版最低 80 一个月,哎~~
    dLvsYgJ8fiP8TGYU
        14
    dLvsYgJ8fiP8TGYU  
       2021-12-19 11:04:10 +08:00 via iPhone
    @abczise 你是说 NAS 上的 SSH 也做了穿透,然后也被人字典了? nps 服务端可以看到对方真实 IP 的,登陆云服务器去看日志。NAS 文件访问日志应该是能看到的,除非对方成功登陆你 NAS 并删除日志。先停止穿透服务,排查受影响范围
    abczise
        15
    abczise  
    OP
       2021-12-19 11:05:48 +08:00
    @xinghen57 啥都没做。因为自用,可以说这个服务器 IP 除了腾讯,就我一个人知道。倒是有解析 2 个域名。用的是 cloudflare ,没启用 DNS 代理,两个域名也是我自己知道。
    abczise
        16
    abczise  
    OP
       2021-12-19 11:10:33 +08:00
    @dLvsYgJ8fiP8TGYU 是的。感谢 我去看看日志
    vhisky
        17
    vhisky  
       2021-12-19 11:12:59 +08:00
    限制固定 IP 访问,应该可以吧
    s609926202
        18
    s609926202  
       2021-12-19 11:14:03 +08:00
    fail2ban
    dLvsYgJ8fiP8TGYU
        19
    dLvsYgJ8fiP8TGYU  
       2021-12-19 11:20:00 +08:00 via iPhone
    知道你 IP/域名的绝不止 IDC 和你自己两个,你的 ISP 、甚至你公司的网管通过 SNI 总能知道你的域名吧?

    有很多 bot 随时都在遍历扫描全球所有 ipv4 地址,像 SSH 22 、NAS 5000/5001 这些默认端口都是重点照顾对象,暴露在公网就要做好被字典的心理准备。

    讲究一点套一层隧道协议,代价就是不能直接在任意设备用 IP/域名:端口号 来访问
    @abczise
    zwgf
        20
    zwgf  
       2021-12-19 11:41:58 +08:00
    @abczise
    腾讯没必要自己攻击自己,就为了收你 80 元 /月的安全防护费。攻击的成本都不止这个价。

    全网扫的机器人太多了,买一台服务器,初始化后啥也不动,一周后上去看日志,全是扫的。

    所以还是要做安全防护的,比如端口能封的封,默认端口能改的改。
    jackmod
        21
    jackmod  
       2021-12-19 12:05:50 +08:00 via Android
    上面装个 v2 ,只开放 443 ,其余全走 proxy
    abczise
        22
    abczise  
    OP
       2021-12-19 12:09:11 +08:00   ❤️ 1
    @zwgf 稍微有点不认可你的想法因为这样的方法我阿里之前用了 1 年了,都没出这种情况,而且当初用阿里不知道 NPS 有代理这个功能,所以给了一大堆端口,基本上内网中的所有都暴露到公网了。域名也解析了,还把域名给转发了十几个人。到腾讯我就解析了 4 个,其余都走 socks 了。这次被攻击的不是 sokcs ,而且是暴露到公网的 nas
    只查到了几个 Ip 也不知道是谁
    难受
    xiaofeifei8
        23
    xiaofeifei8  
       2021-12-19 12:25:12 +08:00
    @abczise 你有没有想过一个问题,你所用的 IP 都是被很多人用过很多次,你也不会清楚前几个用过这个 IP 地址的人用来做什么
    zwgf
        24
    zwgf  
       2021-12-19 12:38:30 +08:00
    @abczise #22
    幸存者偏差,如果你常逛 V 站,应该看到过说阿里云刚买的服务器被打到黑洞。

    从利益上来讲,如果安全防护收费一个月几千,阿里云腾讯云是可能会干出自己攻击自己来赚安全防护费的。
    但是一个月 80 元,自己攻击自己虽说成本都是最低价,他也赚不到钱,而且还败坏了名声。

    我感觉有几种情况
    1. 机器人扫,卡循环里面了一直扫你这个机器
    2. 你这个 ip 是不是之前上面部署过重要的东西被盯上了
    abczise
        25
    abczise  
    OP
       2021-12-19 12:43:17 +08:00
    @zwgf @xiaofeifei8 这个 IP 之前不是我的,我才拿到手 20 天罢了,除去今天满满的 19 天
    kerro1990
        26
    kerro1990  
       2021-12-19 12:59:38 +08:00
    开启 IP 白名单吧,或者组 VPN 内网
    ji39
        27
    ji39  
       2021-12-19 13:52:27 +08:00
    IP 白名单
    abczise
        28
    abczise  
    OP
       2021-12-19 14:19:39 +08:00
    就 3IP 在攻击,138 查询到,一德国、一墨西哥、一美国
    加入黑名单?????
    xinghen57
        29
    xinghen57  
       2021-12-19 15:29:37 +08:00 via iPhone
    80 一个月,可以先买一个月看看效果。顺便交工单,看腾讯那边反馈
    abczise
        30
    abczise  
    OP
       2021-12-19 15:43:56 +08:00
    各位大佬能搞定吗?这三 IP 是我服务器记录攻击我的
    5.249.162.167
    65.21.151.71
    193.23.161.48
    我惊喜的发现我 nas 日志里面居然从我使用腾讯的那天就开始被攻击了,因为今天放不到,所以才发现被攻击了
    m4d3bug
        31
    m4d3bug  
       2021-12-19 16:33:51 +08:00 via Android
    白名单就行了,攻击者要是跟你同一个小区就换地方住吧
    echoyangjx
        32
    echoyangjx  
       2021-12-19 18:41:10 +08:00 via Android
    1.ip 黑名单;
    2.防火墙封堵不必要的端口,策略最小化原则。
    DeleteZN
        33
    DeleteZN  
       2021-12-19 19:58:22 +08:00
    去年做毕业设计,当时用的是腾讯云的服务器,也就开放个 22 和 3306 端口。每天都被人跑密码(我密码都是设置 17 位随机值,包含大小写特殊符号)。
    六个月的时间里面有一次数据库被加密,幸好没啥数据,也有备份。有五到六次被安装了挖矿脚本,把 cpu 占满。阴谋论一点,我甚至怀疑公司可能有内鬼,偷偷安装挖坑脚本。

    但是我阿里云的服务器稳定运行了两三年了的,数据库没出过问题,也没被装过挖坑病毒。
    zpf124
        34
    zpf124  
       2021-12-19 21:53:08 +08:00
    我以为偏技术性的论坛对于服务器防护还会比较关注。

    没想到大家安全防护意识这么低的么...

    如果说向安全大佬一样,所有端口都采取白名单那确实不现实,毕竟很多时候我们访问自己服务器的出口 ip 不是固定的。
    但不开放常用端口,常用协议不使用默认端口和不使用弱口令好像真的挺常识的....
    leipengcheng
        35
    leipengcheng  
       2021-12-20 09:04:54 +08:00
    没想到攻击这么多,我得赶紧去把防火墙规则改一下了
    henices
        36
    henices  
       2021-12-20 09:32:17 +08:00
    先拔网线,处理完再插上去
    bmwlook
        37
    bmwlook  
       2021-12-20 12:02:45 +08:00
    本人路过给你一些建议哈,如果觉得安全的产品比较贵搞不起的话,还是先用他们平台给的安全组先把你知道的 IP 给过滤掉,其次入站做好控制源,拿走不谢
    serafin
        38
    serafin  
       2022-01-14 08:04:58 +08:00
    我的 NAS 设置了 48 小时内同一 ip3 次密码错误永久封 ip 。 最后封了 200+ ip 才停。

    贴出部分 log

    28/11/2020 12:15:13
    Host [209.45.91.79] was blocked via [SSH].
    28/11/2020 12:14:33
    Host [101.231.124.6] was blocked via [SSH].
    28/11/2020 12:07:59
    Host [81.68.106.155] was blocked via [SSH].
    28/11/2020 12:06:16
    Host [180.97.80.12] was blocked via [SSH].
    28/11/2020 11:56:57
    Host [122.53.98.243] was blocked via [SSH].
    28/11/2020 11:56:48
    Host [117.144.189.69] was blocked via [SSH].
    28/11/2020 11:52:51
    Host [178.128.228.239] was blocked via [SSH].
    28/11/2020 11:40:56
    Host [49.235.103.191] was blocked via [SSH].
    28/11/2020 11:36:49
    Host [109.168.109.50] was blocked via [SSH].
    28/11/2020 11:03:58
    Host [49.235.167.41] was blocked via [SSH].
    28/11/2020 10:59:22
    Host [145.131.25.239] was blocked via [SSH].
    28/11/2020 10:16:47
    Host [59.8.91.185] was blocked via [SSH].
    28/11/2020 10:05:12
    Host [122.166.216.212] was blocked via [SSH].
    28/11/2020 07:57:47
    Host [218.59.175.218] was blocked via [SSH].
    28/11/2020 07:31:37
    Host [175.125.95.160] was blocked via [SSH].
    Er1c0
        39
    Er1c0  
       2022-01-19 23:45:57 +08:00
    @serafin 什么 nas
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3282 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 11:47 · PVG 19:47 · LAX 03:47 · JFK 06:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.