V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
abczise
V2EX  ›  问与答

各位大佬服务器被攻击咋解决啊

  •  
  •   abczise · 187 天前 · 4006 次点击
    这是一个创建于 187 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天贪小便宜腾讯 198 买了个 3 年轻量应用服务器 拿来建了个 NPS ,今天惊喜的发现家里 NAS 被跑字典了 起初以为是家里有病毒软件什么的 但是后面登腾讯服务器发现网页打开十分卡 后面进腾讯管理界面发现带宽被跑满了 后面尝试重启也解决不了,目前只能关机了

    在线求解决之道!!!!!!!!!!!!!!!!!!!

    39 条回复    2022-01-19 23:45:57 +08:00
    512357301
        1
    512357301  
       187 天前 via Android   ❤️ 2
    安全组或者防火墙里只开放几个端口,用不到的一律关掉
    abczise
        2
    abczise  
    OP
       187 天前
    @512357301 没什么用,他现在是流量攻击,我服务器根本没办法正常访问。昨晚 19 点持续到刚刚,出口带宽都被拉满在
    tanranran
        3
    tanranran  
       187 天前
    关服
    kekxv
        4
    kekxv  
       187 天前 via iPhone
    先断网再备份数据,换端口
    A3
        5
    A3  
       187 天前 via Android
    不是很懂,流量转发到银行之类的网站能行吗
    服务器被黑了
    abczise
        6
    abczise  
    OP
       187 天前
    打 400 也解决不了,咋整啊 现在惊奇的发现跟服务器失联了
    cooljiang
        7
    cooljiang  
       187 天前 via Android
    封 ip ?
    dLvsYgJ8fiP8TGYU
        8
    dLvsYgJ8fiP8TGYU  
       187 天前
    云服务器安全组 /防火墙设置黑白名单,包括 nps 通信端口和公网访问端口。

    - nps 通信端口:白名单
    你家的宽带即使没有公网 IP ,实际出口 IP 段也不会变化太大。实际观察几周,例如 123.123.***.***,就在安全组设置仅允许 123.123.0.0/16 访问,依此类推,尽可能减少攻击面。会有人扫 nps 端口尝试穿透回你家局域网,密钥要够长且定期更换。

    - 公网访问端口:黑名单
    由于你需要在公网访问,可采取黑名单方式。如遇扫描,可查询对方 IP 的 ASN 号,必要时 block 掉这个 ASN 下面所有 IP-CIDR 。如果属于 IDC 机房,可向对应的服务商提交被攻击日志,查实后攻击者 /肉鸡会被停机(亲测有效)

    此外不建议 NAS 上使用管理员账户从外网访问敏感服务,如确有需要可为外网访问单独创建一个账户,只授权平时出门在外可能需要使用的资源。
    abczise
        9
    abczise  
    OP
       187 天前
    查了半天,查到了被攻击的端口了 5000
    接下来咋整?换端口号????
    dLvsYgJ8fiP8TGYU
        10
    dLvsYgJ8fiP8TGYU  
       187 天前
    @abczise 先确定只是单纯被人扫到端口,还是 SSH 被人登录了,看看 /var/log/secure 里面也没有奇怪的 IP 。确定没有其他人登录你服务器后,SSH 改高位端口、禁用密码登录、改用密钥、在安全组仅允许你常用 IP 访问 SSH 端口。

    也不建议直接 5000/5001 暴露在公网,改个高位
    patx
        11
    patx  
       187 天前
    弄个反向代理?你被攻击的机器设置白名单,只允许反向代理访问
    xinghen57
        12
    xinghen57  
       187 天前 via iPhone
    关注一下。请问 lz 服务器做了哪些防护?
    abczise
        13
    abczise  
    OP
       187 天前
    @dLvsYgJ8fiP8TGYU 对应端口号的服务器上只记录了个 SSH 端口被人跑字典。因为走 NPS 的 查不到对方 IP 哎~
    目前没发现有数据丢失,不过,路由记录该服务器上行,下行分别走了一百多 GB ,然而昨晚一半多都不是我用的
    磁盘访问记录也没,难受 都不知道那些数据被拷走了

    目前 5000 端口还被攻击着,一打开带宽就 100%
    打腾讯电话,给推荐了个安防专业版最低 80 一个月,哎~~
    dLvsYgJ8fiP8TGYU
        14
    dLvsYgJ8fiP8TGYU  
       187 天前 via iPhone
    @abczise 你是说 NAS 上的 SSH 也做了穿透,然后也被人字典了? nps 服务端可以看到对方真实 IP 的,登陆云服务器去看日志。NAS 文件访问日志应该是能看到的,除非对方成功登陆你 NAS 并删除日志。先停止穿透服务,排查受影响范围
    abczise
        15
    abczise  
    OP
       187 天前
    @xinghen57 啥都没做。因为自用,可以说这个服务器 IP 除了腾讯,就我一个人知道。倒是有解析 2 个域名。用的是 cloudflare ,没启用 DNS 代理,两个域名也是我自己知道。
    abczise
        16
    abczise  
    OP
       187 天前
    @dLvsYgJ8fiP8TGYU 是的。感谢 我去看看日志
    vhisky
        17
    vhisky  
       187 天前
    限制固定 IP 访问,应该可以吧
    s609926202
        18
    s609926202  
       187 天前
    fail2ban
    dLvsYgJ8fiP8TGYU
        19
    dLvsYgJ8fiP8TGYU  
       187 天前 via iPhone
    知道你 IP/域名的绝不止 IDC 和你自己两个,你的 ISP 、甚至你公司的网管通过 SNI 总能知道你的域名吧?

    有很多 bot 随时都在遍历扫描全球所有 ipv4 地址,像 SSH 22 、NAS 5000/5001 这些默认端口都是重点照顾对象,暴露在公网就要做好被字典的心理准备。

    讲究一点套一层隧道协议,代价就是不能直接在任意设备用 IP/域名:端口号 来访问
    @abczise
    zwgf
        20
    zwgf  
       187 天前
    @abczise
    腾讯没必要自己攻击自己,就为了收你 80 元 /月的安全防护费。攻击的成本都不止这个价。

    全网扫的机器人太多了,买一台服务器,初始化后啥也不动,一周后上去看日志,全是扫的。

    所以还是要做安全防护的,比如端口能封的封,默认端口能改的改。
    jackmod
        21
    jackmod  
       187 天前 via Android
    上面装个 v2 ,只开放 443 ,其余全走 proxy
    abczise
        22
    abczise  
    OP
       187 天前   ❤️ 1
    @zwgf 稍微有点不认可你的想法因为这样的方法我阿里之前用了 1 年了,都没出这种情况,而且当初用阿里不知道 NPS 有代理这个功能,所以给了一大堆端口,基本上内网中的所有都暴露到公网了。域名也解析了,还把域名给转发了十几个人。到腾讯我就解析了 4 个,其余都走 socks 了。这次被攻击的不是 sokcs ,而且是暴露到公网的 nas
    只查到了几个 Ip 也不知道是谁
    难受
    xiaofeifei8
        23
    xiaofeifei8  
       187 天前
    @abczise 你有没有想过一个问题,你所用的 IP 都是被很多人用过很多次,你也不会清楚前几个用过这个 IP 地址的人用来做什么
    zwgf
        24
    zwgf  
       187 天前
    @abczise #22
    幸存者偏差,如果你常逛 V 站,应该看到过说阿里云刚买的服务器被打到黑洞。

    从利益上来讲,如果安全防护收费一个月几千,阿里云腾讯云是可能会干出自己攻击自己来赚安全防护费的。
    但是一个月 80 元,自己攻击自己虽说成本都是最低价,他也赚不到钱,而且还败坏了名声。

    我感觉有几种情况
    1. 机器人扫,卡循环里面了一直扫你这个机器
    2. 你这个 ip 是不是之前上面部署过重要的东西被盯上了
    abczise
        25
    abczise  
    OP
       187 天前
    @zwgf @xiaofeifei8 这个 IP 之前不是我的,我才拿到手 20 天罢了,除去今天满满的 19 天
    kerro1990
        26
    kerro1990  
       187 天前
    开启 IP 白名单吧,或者组 VPN 内网
    ji39
        27
    ji39  
       187 天前
    IP 白名单
    abczise
        28
    abczise  
    OP
       187 天前
    就 3IP 在攻击,138 查询到,一德国、一墨西哥、一美国
    加入黑名单?????
    xinghen57
        29
    xinghen57  
       187 天前 via iPhone
    80 一个月,可以先买一个月看看效果。顺便交工单,看腾讯那边反馈
    abczise
        30
    abczise  
    OP
       187 天前
    各位大佬能搞定吗?这三 IP 是我服务器记录攻击我的
    5.249.162.167
    65.21.151.71
    193.23.161.48
    我惊喜的发现我 nas 日志里面居然从我使用腾讯的那天就开始被攻击了,因为今天放不到,所以才发现被攻击了
    m4d3bug
        31
    m4d3bug  
       187 天前 via Android
    白名单就行了,攻击者要是跟你同一个小区就换地方住吧
    echoyangjx
        32
    echoyangjx  
       187 天前 via Android
    1.ip 黑名单;
    2.防火墙封堵不必要的端口,策略最小化原则。
    DeleteZN
        33
    DeleteZN  
       187 天前
    去年做毕业设计,当时用的是腾讯云的服务器,也就开放个 22 和 3306 端口。每天都被人跑密码(我密码都是设置 17 位随机值,包含大小写特殊符号)。
    六个月的时间里面有一次数据库被加密,幸好没啥数据,也有备份。有五到六次被安装了挖矿脚本,把 cpu 占满。阴谋论一点,我甚至怀疑公司可能有内鬼,偷偷安装挖坑脚本。

    但是我阿里云的服务器稳定运行了两三年了的,数据库没出过问题,也没被装过挖坑病毒。
    zpf124
        34
    zpf124  
       187 天前
    我以为偏技术性的论坛对于服务器防护还会比较关注。

    没想到大家安全防护意识这么低的么...

    如果说向安全大佬一样,所有端口都采取白名单那确实不现实,毕竟很多时候我们访问自己服务器的出口 ip 不是固定的。
    但不开放常用端口,常用协议不使用默认端口和不使用弱口令好像真的挺常识的....
    leipengcheng
        35
    leipengcheng  
       186 天前
    没想到攻击这么多,我得赶紧去把防火墙规则改一下了
    henices
        36
    henices  
       186 天前
    先拔网线,处理完再插上去
    bmwlook
        37
    bmwlook  
       186 天前
    本人路过给你一些建议哈,如果觉得安全的产品比较贵搞不起的话,还是先用他们平台给的安全组先把你知道的 IP 给过滤掉,其次入站做好控制源,拿走不谢
    serafin
        38
    serafin  
       161 天前
    我的 NAS 设置了 48 小时内同一 ip3 次密码错误永久封 ip 。 最后封了 200+ ip 才停。

    贴出部分 log

    28/11/2020 12:15:13
    Host [209.45.91.79] was blocked via [SSH].
    28/11/2020 12:14:33
    Host [101.231.124.6] was blocked via [SSH].
    28/11/2020 12:07:59
    Host [81.68.106.155] was blocked via [SSH].
    28/11/2020 12:06:16
    Host [180.97.80.12] was blocked via [SSH].
    28/11/2020 11:56:57
    Host [122.53.98.243] was blocked via [SSH].
    28/11/2020 11:56:48
    Host [117.144.189.69] was blocked via [SSH].
    28/11/2020 11:52:51
    Host [178.128.228.239] was blocked via [SSH].
    28/11/2020 11:40:56
    Host [49.235.103.191] was blocked via [SSH].
    28/11/2020 11:36:49
    Host [109.168.109.50] was blocked via [SSH].
    28/11/2020 11:03:58
    Host [49.235.167.41] was blocked via [SSH].
    28/11/2020 10:59:22
    Host [145.131.25.239] was blocked via [SSH].
    28/11/2020 10:16:47
    Host [59.8.91.185] was blocked via [SSH].
    28/11/2020 10:05:12
    Host [122.166.216.212] was blocked via [SSH].
    28/11/2020 07:57:47
    Host [218.59.175.218] was blocked via [SSH].
    28/11/2020 07:31:37
    Host [175.125.95.160] was blocked via [SSH].
    Er1c0
        39
    Er1c0  
       156 天前
    @serafin 什么 nas
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1134 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:43 · PVG 06:43 · LAX 15:43 · JFK 18:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.