起因:云机器的 ipv6 分配了但不通,尝试了重做系统,就联系客服处理,对方要求 root 密码或者给予临时权限。于是我就把密码改成相对简单的密码。没过多久流量就耗尽了。大概半个小时 300 多 G 流量吧。
经过:再次联系客服,反馈情况,我以为是系统 bug 。客服反馈流量耗尽,付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑,密码不能太简单。
结果与思考:付费增加 100G 流量,等待系统重置。
留下两个疑问:
1.公网设备 root 密码这么容易爆破么?
2.增加流量的同时必须重置系统的原因是什么?
经过:再次联系客服,反馈情况,我以为是系统 bug 。客服反馈流量耗尽,付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑,密码不能太简单。
结果与思考:付费增加 100G 流量,等待系统重置。
留下两个疑问:
1.公网设备 root 密码这么容易爆破么?
2.增加流量的同时必须重置系统的原因是什么?
 |
1
aru 8 天前  1
1. 是的。开在公网可访问的 ssh 服务器每天基本都会接受几万次或更多的简单密码登录尝试
2. 机器被入侵同时会安装各种隐藏的木马,很难清理干净。重置系统的要求合理 |
 |
2
aladd 8 天前
真好,甚至你都没怀疑过是对面的问题,一直在自查。
大小 VPS 也买过不少,闻所未闻。 半小时 300G~嗯!呵呵~ 3.能退款换一家吗? |
 |
3
iseki 8 天前 via Android
空载半小时 300G ,很离谱。
|
|
4
aladd 8 天前
忽然想到了在 MJJ 论坛看到的,你是不是买了一些野鸡商家,或者有点知名度的 oneman 商家,然后它家恰好此时正在被 D 啊?
因为我以前有注意到那个论坛里有很多人发帖,买的 VPS 开机后什么也没敢,一段时间后就提示流量没有了。 楼里的回复均是:无解,关机保平安。 |
 |
8
MossFox 8 天前
看样子还没意识到重点,
这里需要总结到的不是流量耗得快慢, 是你的机器已经被扫公网的恶意程序不知道植入多少东西了。这种时候别说重置这台设备,假如有内网互联的其他弱密码机器或者服务,这种时候都要检查一遍。 常用密码都是弱密码的话,公网机器建议关掉密码登录后换成密钥登录。 |
 |
9
dream0689 OP @iseki 解决问题的回复没等到,却看到流量耗尽,机器停服了,一开始就以为是对方故障或者系统 bug 。对方没有正面回答我的质疑。我也不纠结,就想着先看加流量能不能恢复服务,后续还有问题就停用这家了。停服后,就启用备用线路了。
|
 |
11
Ggmusic 8 天前 via iPhone
不要回答,不要回答,不要回答。🈲️ping ,关闭所有端口,ssh 不要用 22 或者 xx22 ,关闭 ipv4
的 80 ,443 ,只用 ipv6 。 启用 knock 端口,比如先连 12012 端口,再连 11021 端口之后,才放通这个客户端对 ssh 端口的访问权限,这种机制 nftables 原生就支持。否则只能关机保平安。 |
 |
12
kk2syc 8 天前 1
直接 ip 白名单,除了 cloudflare 之外的全部抛弃,vps 都有 vnc ,想 ssh 的时候 vnc 上去给自己的 ip 临时加白
|
 |
13
flynaj 8 天前 via Android
网络爆破后全带宽对外 ddos 才能用这么多
|
 |
14
BadReese 7 天前
有可能是连接 mysql 填的公网地址
|
 |
15
beyondstars 7 天前
感觉不是很正规,可能是 oneman ,重做系统跟 root 密码或特权账户有何关系…… 我理解应该只是把操作系统镜像刷入到虚拟机的磁盘。
另外平台方面要对你的运行中的实例进行操作,一般不是通过官方的 agent 之类的方式吗(就是那种官方的在你的实例上运行的特权守护进程)。 |
|
16
dream0689 OP @beyondstars 反馈过来是密码太简单被爆破入侵了,跑了一些东西在里边。要 root 密码是处理分配的 ipv6 地址不能使用的问题。
|
 |
17
nzbstn 7 天前
@Ggmusic #11 我有个问题: 关闭 v4 仅使用 v6 的情况下, 一般是不会产生额外的流量, 是因为 v6 地址太多 or 足够复杂, 一般扫描类无法命中目标吗
如果使用 knock 的话, 比如我部署一个 server, 客户端和服务端需要心跳保持通讯, 这种情况是不能使用 knock, 优先使用 v6+端口呗 |
|
18
dream0689 OP |
|
19
dream0689 OP |
|
20
Ggmusic 7 天前 via iPhone
@nzbstn knocking 的参考 https://home.regit.org/2017/07/nftables-port-knocking/。如果客户端是固定的,也不需要敲门了,直接白名单。 例子中 Client_SSH_IPv4 里是没配 timeout 值的,这就意味着如果你敲门一次成功,IP 就永久加入 set 里,只有手工重置 nftables 的规则,或者重启机器才会被清空,对心跳无影响。IPv6 的地址只要你不主动暴露,应该不会扫到端口,扫到一个机器的代价比 v4 高多了。knocking 或者 v6 可以比较有效抵御被 D ,尤其是一些流量双向计费的机器,只要你端口开着,持续不断刷,总能耗光你的流量。op 这种已经沦为肉鸡的那是极端的场景了。
|
 |
22
jousca 6 天前
主要是 SSH 必须强口令,建议使用 SSH KEY 方式。或者拿到机器第一时间就把 SSH 端口修改掉。原来的 22 不能用。不然每天能看到上万次的破解。
|
Select Language