V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
anjouslava
V2EX  ›  VPS

扫别人 VPS 当肉鸡发垃圾邮件的是有多无聊

  •  
  •   anjouslava · 2015-10-04 19:20:41 +08:00 · 1444 次点击
    这是一个创建于 3328 天前的主题,其中的信息可能已经有所发展或是发生改变。

    搬瓦工的 vps ,只用来搭 SS 也就没花时间做防护了,结果被国内某人扫到了用来发 SPAM 邮件,立刻就被 VPS 服务商终止服务了,垃圾邮件也没发出几条,所以实际意义就是为了害人被停止服务然后花时间做防护?

    第 1 条附言  ·  2015-10-04 21:50:57 +08:00
    vps 应该没被攻破,看来是被人通过 ss 来发垃圾邮件了,
    确实是从我笔记本的 IP 地址发送的邮件,也就是说有人走了我笔记本的 ss 客户端来发送垃圾邮件,刚重装了 vps 的系统,并设置了仅用 key 登录, root 密码, SSH 端口都改了,一切正常,直到我安装 ss 并用笔记本连上 ss 后几分钟,再次被人发了大量垃圾邮件。
    第 2 条附言  ·  2015-10-04 22:04:58 +08:00
    估计就是像 @xierch 所言, 笔记本内软件有 bug, 给外网提供了一个不用认证的代理(笔记本连的教育网,固定 IP, ss 用了一个月了)?然后被扫出来了?这该怎么解决呢?今年只剩最后一次解封机会了
    25 条回复    2015-10-05 09:35:17 +08:00
    caixiexin
        1
    caixiexin  
       2015-10-04 19:24:16 +08:00
    去年买搬瓦工没两天就这样了,看来果然不是个例啊。
    raincious
        2
    raincious  
       2015-10-04 19:29:41 +08:00
    其实……就算上个防火墙安装个 fail2ban 也不用画多少时间的吧?我两台搬瓦工一直工作的很好,也没被黑。
    raincious
        3
    raincious  
       2015-10-04 19:30:08 +08:00
    - 用画多
    + 用花多
    rainy3636
        4
    rainy3636  
       2015-10-04 19:30:17 +08:00
    ssh 密码被破了?
    aapu
        5
    aapu  
       2015-10-04 19:45:41 +08:00
    最基础的安全防护还是要做的嘛,建议参考这篇 http://ttt.tt/104/
    vB4h3r2AS7wOYkY0
        6
    vB4h3r2AS7wOYkY0  
       2015-10-04 19:49:11 +08:00
    Bandwagon 我是这样弄的, 先 ssh 上去一切配置好, 然后直接 disable 掉 sshd...

    以后有问题直接去 Kiwivm 后台走 HTML5 的终端...
    wkdhf233
        7
    wkdhf233  
       2015-10-04 19:53:38 +08:00
    人家是批量扫描然后爆破密码、自动发送全自动化完成,不管你这儿发没发出去多少,反正你是成为了他所有攻陷 VPS 带来的收益的一部分的

    这种扫描到处都是,要怪还是怪你自己没把防护做好
    oott123
        8
    oott123  
       2015-10-04 19:53:39 +08:00 via Android
    其实他们一点都不无聊…
    也许你的机器已经没有利用价值了,所以最后干脆沦为发 spam 的那一类了…
    SourceMan
        9
    SourceMan  
       2015-10-04 19:53:55 +08:00 via Android
    只能说那些人基本的安全措施没做好
    Daddy
        10
    Daddy  
       2015-10-04 20:00:55 +08:00
    只想说,你密码有多简单了? 123456789 ?
    chairuosen
        11
    chairuosen  
       2015-10-04 20:02:40 +08:00
    还有人在用密码登 ssh ?
    hiroya
        12
    hiroya  
       2015-10-04 20:05:46 +08:00 via iPad
    要么防火墙没弄好,要么 ssh 被爆开了,我的都是输错 5 次,直接拉黑……我的曾经也被爆开过,当时只是被挂了些黑链而已
    liuzuo
        13
    liuzuo  
       2015-10-04 20:06:04 +08:00 via Android
    当年的 linode 开了 http1.0 代理忘记关了,然后也被发了垃圾邮件。
    gamexg
        14
    gamexg  
       2015-10-04 20:06:37 +08:00 via Android
    爆的 ssh 密码?
    前几天收到监控宝的通知, vps 负载高,进去一看被人利用 wp 当跳板攻击其他网站了,封 ip 完事。
    xierch
        15
    xierch  
       2015-10-04 20:30:07 +08:00
    和搬瓦工没啥关系
    曾经遇到过一个带 bug 的软件:会对外网开放一个不带认证的 SOCKS 代理
    那台机子只是开着这软件,接着普通的家用宽带,
    结果分分钟就被扫到,各种 spam 了
    GNiux
        16
    GNiux  
       2015-10-04 20:45:50 +08:00 via iPhone
    没防护肯定不行。折腾折腾 iptables, ssh 配置,必须的。
    111111111111
        17
    111111111111  
       2015-10-04 20:46:44 +08:00
    人家也是用 vps 扫,部署完就再也不看了,怎么会无聊
    lane3000
        18
    lane3000  
       2015-10-04 20:50:58 +08:00
    用了大半年都搬瓦工,暂时还没遇到这种问题。。
    pmpio
        19
    pmpio  
       2015-10-04 20:51:08 +08:00
    发垃圾邮件不一定非得 ssh 登录进去吧?很多 linux 发行版都默认启动 sendmail 或 postfix 。。。。。
    d7101120120
        20
    d7101120120  
       2015-10-04 20:53:34 +08:00
    我发现我还没中招过,我的密码也不算复杂才 9 位啊,可能跟我心情不好的时候爱换密码有关吧
    anjouslava
        21
    anjouslava  
    OP
       2015-10-04 20:57:41 +08:00
    @xierch 怎么检测是什么软件造成的啊,刚把 vps 重装了 centos6 , SSH 设置了仅限密钥登录, CSF,fail2ban 都装了,防火墙设置 25 端口都禁用了,但是用了搬瓦工面板自带的 ss 安装之后,本机一连 ss,几分钟后就又被封了,估计真是给外网开放不带认证的 SOCKS 代理了
    anjouslava
        22
    anjouslava  
    OP
       2015-10-04 21:02:39 +08:00
    @pmpio 不是 SSH 登录,我刚重装了系统设置了不允许 SSH 密码登录,而且禁用了 SMTP 的 25 端口,但是安装 ss 并连上几分钟后又被发垃圾邮件封了
    datocp
        23
    datocp  
       2015-10-04 21:51:57 +08:00 via Android
    以前在搬瓦工遇到像是 dns 请求的问题,设置防火墙没用,更换 ip 解决,可能是前面的用户把那 ip 用烂了有很多外部发来的请求,防火墙明明 drop 了还是老收到邮件警告,换 ip 。
    xierch
        24
    xierch  
       2015-10-04 22:54:30 +08:00
    @anjouslava 哦你是在用 SS 啊,我说的那个软件其实就是 SS 的客户端, node-webkit 版的其中几个版本有此 bug 。
    WhiteLament
        25
    WhiteLament  
       2015-10-05 09:35:17 +08:00
    我在板瓦工没遇到,其他 vps 遇到了
    Ubuntu 默认安装了 postfix ,看日志是用的这个在发邮件,删掉后好了
    apt-get remove postfix
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5854 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 02:56 · PVG 10:56 · LAX 18:56 · JFK 21:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.