这是一个创建于 1052 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天贪小便宜腾讯 198 买了个 3 年轻量应用服务器 拿来建了个 NPS ,今天惊喜的发现家里 NAS 被跑字典了 起初以为是家里有病毒软件什么的 但是后面登腾讯服务器发现网页打开十分卡 后面进腾讯管理界面发现带宽被跑满了 后面尝试重启也解决不了,目前只能关机了
在线求解决之道!!!!!!!!!!!!!!!!!!!
 |
1
512357301 2021-12-19 09:37:29 +08:00 via Android  2
安全组或者防火墙里只开放几个端口,用不到的一律关掉
|
 |
2
abczise OP @512357301 没什么用,他现在是流量攻击,我服务器根本没办法正常访问。昨晚 19 点持续到刚刚,出口带宽都被拉满在
|
 |
3
tanranran 2021-12-19 09:40:56 +08:00
关服
|
 |
4
kekxv 2021-12-19 09:43:42 +08:00 via iPhone
先断网再备份数据,换端口
|
 |
5
A3 2021-12-19 09:54:11 +08:00 via Android
不是很懂,流量转发到银行之类的网站能行吗
服务器被黑了 |
|
6
abczise OP 打 400 也解决不了,咋整啊 现在惊奇的发现跟服务器失联了
|
 |
7
cooljiang 2021-12-19 10:10:42 +08:00 via Android
封 ip ?
|
 |
8
dLvsYgJ8fiP8TGYU 2021-12-19 10:20:21 +08:00
云服务器安全组 /防火墙设置黑白名单,包括 nps 通信端口和公网访问端口。
- nps 通信端口:白名单 你家的宽带即使没有公网 IP ,实际出口 IP 段也不会变化太大。实际观察几周,例如 123.123.***.***,就在安全组设置仅允许 123.123.0.0/16 访问,依此类推,尽可能减少攻击面。会有人扫 nps 端口尝试穿透回你家局域网,密钥要够长且定期更换。 - 公网访问端口:黑名单 由于你需要在公网访问,可采取黑名单方式。如遇扫描,可查询对方 IP 的 ASN 号,必要时 block 掉这个 ASN 下面所有 IP-CIDR 。如果属于 IDC 机房,可向对应的服务商提交被攻击日志,查实后攻击者 /肉鸡会被停机(亲测有效) 此外不建议 NAS 上使用管理员账户从外网访问敏感服务,如确有需要可为外网访问单独创建一个账户,只授权平时出门在外可能需要使用的资源。 |
|
9
abczise OP 查了半天,查到了被攻击的端口了 5000
接下来咋整?换端口号???? |
|
10
dLvsYgJ8fiP8TGYU 2021-12-19 10:40:42 +08:00
@abczise 先确定只是单纯被人扫到端口,还是 SSH 被人登录了,看看 /var/log/secure 里面也没有奇怪的 IP 。确定没有其他人登录你服务器后,SSH 改高位端口、禁用密码登录、改用密钥、在安全组仅允许你常用 IP 访问 SSH 端口。
也不建议直接 5000/5001 暴露在公网,改个高位 |
 |
11
patx 2021-12-19 10:44:32 +08:00
弄个反向代理?你被攻击的机器设置白名单,只允许反向代理访问
|
 |
12
xinghen57 2021-12-19 10:51:36 +08:00 via iPhone
关注一下。请问 lz 服务器做了哪些防护?
|
|
13
abczise OP @dLvsYgJ8fiP8TGYU 对应端口号的服务器上只记录了个 SSH 端口被人跑字典。因为走 NPS 的 查不到对方 IP 哎~
目前没发现有数据丢失,不过,路由记录该服务器上行,下行分别走了一百多 GB ,然而昨晚一半多都不是我用的 磁盘访问记录也没,难受 都不知道那些数据被拷走了 目前 5000 端口还被攻击着,一打开带宽就 100% 打腾讯电话,给推荐了个安防专业版最低 80 一个月,哎~~ |
|
14
dLvsYgJ8fiP8TGYU 2021-12-19 11:04:10 +08:00 via iPhone
@abczise 你是说 NAS 上的 SSH 也做了穿透,然后也被人字典了? nps 服务端可以看到对方真实 IP 的,登陆云服务器去看日志。NAS 文件访问日志应该是能看到的,除非对方成功登陆你 NAS 并删除日志。先停止穿透服务,排查受影响范围
|
|
15
abczise OP @xinghen57 啥都没做。因为自用,可以说这个服务器 IP 除了腾讯,就我一个人知道。倒是有解析 2 个域名。用的是 cloudflare ,没启用 DNS 代理,两个域名也是我自己知道。
|
|
16
abczise OP @dLvsYgJ8fiP8TGYU 是的。感谢 我去看看日志
|
 |
17
vhisky 2021-12-19 11:12:59 +08:00
限制固定 IP 访问,应该可以吧
|
 |
18
s609926202 2021-12-19 11:14:03 +08:00
fail2ban
|
|
19
dLvsYgJ8fiP8TGYU 2021-12-19 11:20:00 +08:00 via iPhone
知道你 IP/域名的绝不止 IDC 和你自己两个,你的 ISP 、甚至你公司的网管通过 SNI 总能知道你的域名吧?
有很多 bot 随时都在遍历扫描全球所有 ipv4 地址,像 SSH 22 、NAS 5000/5001 这些默认端口都是重点照顾对象,暴露在公网就要做好被字典的心理准备。 讲究一点套一层隧道协议,代价就是不能直接在任意设备用 IP/域名:端口号 来访问 @abczise |
 |
20
zwgf 2021-12-19 11:41:58 +08:00
@abczise
腾讯没必要自己攻击自己,就为了收你 80 元 /月的安全防护费。攻击的成本都不止这个价。 全网扫的机器人太多了,买一台服务器,初始化后啥也不动,一周后上去看日志,全是扫的。 所以还是要做安全防护的,比如端口能封的封,默认端口能改的改。 |
 |
21
jackmod 2021-12-19 12:05:50 +08:00 via Android
上面装个 v2 ,只开放 443 ,其余全走 proxy
|
|
22
abczise OP 1
@zwgf 稍微有点不认可你的想法因为这样的方法我阿里之前用了 1 年了,都没出这种情况,而且当初用阿里不知道 NPS 有代理这个功能,所以给了一大堆端口,基本上内网中的所有都暴露到公网了。域名也解析了,还把域名给转发了十几个人。到腾讯我就解析了 4 个,其余都走 socks 了。这次被攻击的不是 sokcs ,而且是暴露到公网的 nas
只查到了几个 Ip 也不知道是谁 难受 |
 |
23
xiaofeifei8 2021-12-19 12:25:12 +08:00
@abczise 你有没有想过一个问题,你所用的 IP 都是被很多人用过很多次,你也不会清楚前几个用过这个 IP 地址的人用来做什么
|
|
24
zwgf 2021-12-19 12:38:30 +08:00
@abczise #22
幸存者偏差,如果你常逛 V 站,应该看到过说阿里云刚买的服务器被打到黑洞。 从利益上来讲,如果安全防护收费一个月几千,阿里云腾讯云是可能会干出自己攻击自己来赚安全防护费的。 但是一个月 80 元,自己攻击自己虽说成本都是最低价,他也赚不到钱,而且还败坏了名声。 我感觉有几种情况 1. 机器人扫,卡循环里面了一直扫你这个机器 2. 你这个 ip 是不是之前上面部署过重要的东西被盯上了 |
|
25
abczise OP @zwgf @xiaofeifei8 这个 IP 之前不是我的,我才拿到手 20 天罢了,除去今天满满的 19 天
|
 |
26
kerro1990 2021-12-19 12:59:38 +08:00
开启 IP 白名单吧,或者组 VPN 内网
|
 |
27
ji39 2021-12-19 13:52:27 +08:00
IP 白名单
|
|
28
abczise OP 就 3IP 在攻击,138 查询到,一德国、一墨西哥、一美国
加入黑名单????? |
|
29
xinghen57 2021-12-19 15:29:37 +08:00 via iPhone
80 一个月,可以先买一个月看看效果。顺便交工单,看腾讯那边反馈
|
|
30
abczise OP 各位大佬能搞定吗?这三 IP 是我服务器记录攻击我的
5.249.162.167 65.21.151.71 193.23.161.48 我惊喜的发现我 nas 日志里面居然从我使用腾讯的那天就开始被攻击了,因为今天放不到,所以才发现被攻击了 |
 |
31
m4d3bug 2021-12-19 16:33:51 +08:00 via Android
白名单就行了,攻击者要是跟你同一个小区就换地方住吧
|
 |
32
echoyangjx 2021-12-19 18:41:10 +08:00 via Android
1.ip 黑名单;
2.防火墙封堵不必要的端口,策略最小化原则。 |
 |
33
DeleteZN 2021-12-19 19:58:22 +08:00
去年做毕业设计,当时用的是腾讯云的服务器,也就开放个 22 和 3306 端口。每天都被人跑密码(我密码都是设置 17 位随机值,包含大小写特殊符号)。
六个月的时间里面有一次数据库被加密,幸好没啥数据,也有备份。有五到六次被安装了挖矿脚本,把 cpu 占满。阴谋论一点,我甚至怀疑公司可能有内鬼,偷偷安装挖坑脚本。 但是我阿里云的服务器稳定运行了两三年了的,数据库没出过问题,也没被装过挖坑病毒。 |
 |
34
zpf124 2021-12-19 21:53:08 +08:00
我以为偏技术性的论坛对于服务器防护还会比较关注。
没想到大家安全防护意识这么低的么... 如果说向安全大佬一样,所有端口都采取白名单那确实不现实,毕竟很多时候我们访问自己服务器的出口 ip 不是固定的。 但不开放常用端口,常用协议不使用默认端口和不使用弱口令好像真的挺常识的.... |
 |
35
leipengcheng 2021-12-20 09:04:54 +08:00
没想到攻击这么多,我得赶紧去把防火墙规则改一下了
|
 |
36
henices 2021-12-20 09:32:17 +08:00
先拔网线,处理完再插上去
|
 |
37
bmwlook 2021-12-20 12:02:45 +08:00
本人路过给你一些建议哈,如果觉得安全的产品比较贵搞不起的话,还是先用他们平台给的安全组先把你知道的 IP 给过滤掉,其次入站做好控制源,拿走不谢
|
 |
38
serafin 2022-01-14 08:04:58 +08:00
我的 NAS 设置了 48 小时内同一 ip3 次密码错误永久封 ip 。 最后封了 200+ ip 才停。
贴出部分 log 28/11/2020 12:15:13 Host [209.45.91.79] was blocked via [SSH]. 28/11/2020 12:14:33 Host [101.231.124.6] was blocked via [SSH]. 28/11/2020 12:07:59 Host [81.68.106.155] was blocked via [SSH]. 28/11/2020 12:06:16 Host [180.97.80.12] was blocked via [SSH]. 28/11/2020 11:56:57 Host [122.53.98.243] was blocked via [SSH]. 28/11/2020 11:56:48 Host [117.144.189.69] was blocked via [SSH]. 28/11/2020 11:52:51 Host [178.128.228.239] was blocked via [SSH]. 28/11/2020 11:40:56 Host [49.235.103.191] was blocked via [SSH]. 28/11/2020 11:36:49 Host [109.168.109.50] was blocked via [SSH]. 28/11/2020 11:03:58 Host [49.235.167.41] was blocked via [SSH]. 28/11/2020 10:59:22 Host [145.131.25.239] was blocked via [SSH]. 28/11/2020 10:16:47 Host [59.8.91.185] was blocked via [SSH]. 28/11/2020 10:05:12 Host [122.166.216.212] was blocked via [SSH]. 28/11/2020 07:57:47 Host [218.59.175.218] was blocked via [SSH]. 28/11/2020 07:31:37 Host [175.125.95.160] was blocked via [SSH]. |
Select Language