V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
a342191555
V2EX  ›  问与答

从 Bandwagon 上装的新系统为何会秒被 hack/root?

  •  
  •   a342191555 · 2016-08-26 22:56:50 +08:00 · 4798 次点击
    这是一个创建于 3045 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天下午收到邮件说我的服务被 suspend 了,去后台看了一下,提示: We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam. 因为上面没有挂什么重要的东西,我就把机器 stop 了,然后重新装了一个 Ubuntu 16.04 x86_64 。

    但是这次装完并配置好了以后,只过了几分钟,再次被 suspend ,同样提示… 求教为何会这样? 附我装完新系统后做过的修改: 0 、( Bandwagon 的 KiwiVM 会自动使用高 SSH 端口+随机密码,未修改) 1 、把我 Mac 的 pub id 添加到 authorized_keys 中 2 、安装和配置影什么梭的服务端 3 、配置了一个小的 nginx 服务器,只有一个 301 跳转功能

    找不到是哪一步出了问题…好怪…

    第 1 条附言  ·  2016-08-26 23:36:36 +08:00
    借另外一个服务器的 log 抓到凶手了,是自己用的一个台式机,会自动寻找代理端口并通过端口往外发邮件…
    病毒还在寻找中…
    11 条回复    2016-08-27 09:04:18 +08:00
    shierji
        1
    shierji  
       2016-08-26 23:05:56 +08:00 via Android   ❤️ 1
    私钥泄露了?
    prondtoo
        2
    prondtoo  
       2016-08-26 23:12:36 +08:00   ❤️ 1
    什么梭的脚本和安装 nginx 的脚本贴出来。
    a342191555
        3
    a342191555  
    OP
       2016-08-26 23:18:30 +08:00
    @shierji 应该不是,私钥只在自己 mac 里存储的,连我自己都没看过私钥内容。
    看了下影什么梭的 log ,发现有几个到 25 端口的连接,源 IP 好像是我自己的电脑。
    不说了……杀毒去了😂
    a342191555
        4
    a342191555  
    OP
       2016-08-26 23:19:25 +08:00
    @prondtoo
    apt install nginx python-pip & pip install yingsuo 😂
    xuan880
        5
    xuan880  
       2016-08-27 00:10:06 +08:00 via Android   ❤️ 1
    你这个不对吧, ss 用 PHP 安装我记得包名不是这个呀,这个影梭有问题吧,最后说一句 ubuntu16.04 的 snap 中就有 ss 的包。
    mrjoel
        6
    mrjoel  
       2016-08-27 00:11:59 +08:00   ❤️ 1
    我的也是,我换了机房都没用,被 suspend 了三次,等明年解封了。
    Remember
        7
    Remember  
       2016-08-27 00:31:57 +08:00   ❤️ 1
    iptables -A OUTPUT -p tcp --match multiport --dports 25,109,110,143,465,993,995 -m state --state NEW,ESTABLISHED -j REJECT
    prondtoo
        8
    prondtoo  
       2016-08-27 01:04:02 +08:00   ❤️ 1
    我被搞过两次了,也是不明原因,吓得我装好系统后第一件事就是把防火墙开了
    a342191555
        9
    a342191555  
    OP
       2016-08-27 01:44:38 +08:00
    @xuan880 名字是敏感词,不想打… apt 的那个是 c 版本的。相比之下,我更喜欢 python 版的,所以一直是用的 pip 安装。

    @mrjoel 检查一下开的服务的 log ,我的是本地电脑通过 s 梭的代理端口往外滥发的邮件…不是影子有 log 文件真不知道哪的问题

    @Remember 谢谢~我目前暂时只屏蔽了 25

    @prondtoo 开防火墙是个好习惯。。。
    mmmyc
        10
    mmmyc  
       2016-08-27 04:34:19 +08:00 via Android
    我记得我刚装 Ubuntu 时它警告我超用 CPU 还是什么的,把我的停了一小时。后来 Google 发现是 Ubuntu 的问题,改某设置后好了。
    miao
        11
    miao  
       2016-08-27 09:04:18 +08:00
    楼主应该装不同的系统试一试, centos 6
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2043 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:43 · PVG 08:43 · LAX 16:43 · JFK 19:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.