在腾讯云上开了轻量云服务器,用的他们提供的 docker 镜像,安装了一个 nginx,结果第二天 Lighthouse 用户被异地登录。
bbbb · 2021-07-13 09:22:05 +08:00 via iPhone · 5272 次点击这是一个创建于 1214 天前的主题,其中的信息可能已经有所发展或是发生改变。
Lighthouse 这个用户,我甚至都不知道他的存在,给腾讯云提交工单,工作人员说,不是他们的问题,说互联网就是如此,每天都会有攻击。 有点怀疑是他们镜像有啥漏洞,而他的意思是,我们服务器没有任何问题,放心使用。放心啥啊,都被入侵了……
折腾不起,想想算了吧,还是换个系统吧……
27 条回复 • 2021-07-13 16:49:55 +08:00
 |
1
olaloong 2021-07-13 09:28:35 +08:00
lighthouse 不是绑定密钥的么,这也能被入侵?你没用过控制台的一键登录和执行命令么,这两个功能使用 lighthouse 用户操作的
|
 |
2
xieshaohu 2021-07-13 09:30:59 +08:00
是不是 nginx 的漏洞,同开 lighthouse,纯系统,自己安装的服务,稳定跑了半年了。
|
 |
3
hyper2k 2021-07-13 09:57:10 +08:00
我在云上开服务器入站 22 端口策略只对我自己的 ip 开放
|
 |
4
ZenFX 2021-07-13 09:58:39 +08:00
轻量云控制台的一些功能就是调用 lighthouse 用户执行,比如一键登录什么的。
腾讯云用 lighthouse 用户远程登录的时候用的是公网 IP,你用一键登录登上去 w 看下就明白了。 而且轻量云默认是禁用密码登录的,只能密钥登录,lighthouse 用户被入侵的可能性很低。 |
 |
5
liuxu 2021-07-13 10:13:05 +08:00  1
强制秘钥登录被入侵的几率基本为 0,毕竟是互联网服务器管理的基石,开了密码登录还是 22 端口,那客服说的没毛病,你开机基本就有人扫你密码了,所有服务器都会被扫
|
 |
6
cslive 2021-07-13 10:29:11 +08:00
开密码登录了吧,我腾讯云的机器天天被扫描,我开了密钥登录无所谓,官方也不作为,之前阿里云的机器都是没被扫描过
|
 |
7
gesse 2021-07-13 10:32:49 +08:00
从你描述问题的情况来看, 你是一个不严谨的人。
|
 |
8
IvanLi127 2021-07-13 10:36:57 +08:00
不知道为啥,总感觉国内云服务就是容易被攻击。。。
|
 |
9
PabloZhong 2021-07-13 10:54:08 +08:00 1
您好,我是腾讯云轻量应用服务器产品经理,轻量默认现在开启了 Webshell 工具一键登录功能,方便用户使用浏览器页面直接 ssh 登录,这个后台使用的是 lighthouse 用户。请问您这边看到的“Lighthouse 用户被异地登录”,是什么工具检测到并告警的呢?
|
 |
10
des 2021-07-13 11:23:02 +08:00 via iPhone
说起 lighthouse 就来气,昨天 ssh 登陆不了,还以为被入侵了。
然后上去研究了发现 /root 目录权限变成 1001 了 |
 |
12
0bit 2021-07-13 11:44:22 +08:00
@liuxu 只能说通过 ssh 被入侵的概率低很多,但是防不住别的问题。我几年前因为 Redis 端口暴露,就很轻易的被拿到 root,然后被挖门罗币。
|
 |
13
docx 2021-07-13 11:44:54 +08:00
异地登录具体差异是啥?
我自己的网络重新拨号也会被识别成异地。运营商给的 IP 是同一个 B 段,但是不同 C 段可能被腾讯云的 IP 库识别成邻近的不同城市,然后给我发异地提示。 还有一种可能是你切换过代理,从直连改成代理,或者代理改回直连,都有可能触发异地提示。 鉴于最近沸沸扬扬的 ToDesk 事件,建议还是相关日志啥的都研究一下,避免出现乌龙误会。 |
 |
14
Telegram 2021-07-13 15:11:30 +08:00
ToDesk 事件??什么鬼?
|
 |
15
bbbb OP |
|
16
bbbb OP @hyper2k #3 我第一次用轻量云,之前的服务器也一直开了 22 端口,没有用密码登陆,同时开了 fail2ban,只是没想到这么快就提示异地登陆,还没来得及搞这些。
|
|
17
bbbb OP @ZenFX #4 我也觉得奇怪,我是绑定密钥登陆的,我也不知道密码是啥,然后就提示 lighthouse 用户异地登陆了,我还以为是腾讯云的啥,提工单才知道不是。
|
|
18
bbbb OP @liuxu #5 主要是我 root 用户没事,而 lighthouse 出问题了,而 lighthouse 这个应该是腾讯云镜像的用户,我影响中都没使用过,也不知道如何使用,如果 root 用户被入侵,那可能是我的事,但一个镜像本身就带的用户,被入侵了,所以就比较好奇了。是不是镜像有啥漏洞之类的。
|
|
19
bbbb OP @cslive #6 没有直接开密码登陆,不知道 docker 镜像能不能密码登陆,我是 root 用户绑定的 key,一直都用的 key 登陆。
|
|
22
bbbb OP @PabloZhong #9 腾讯云自己的嘞,地址: https://console.cloud.tencent.com/cwp/manage/loginLog
|
|
24
bbbb OP @dzyou2007 #13 是腾讯云的主机安全,异常登陆提示的异地登陆,登陆的 IP 为 111.230.154.177 ,我也没有用这个 IP,我也不知道有 lighthouse 这个用户的存在嘞。
|
|
26
Telegram 2021-07-13 16:36:07 +08:00
@bbbb #25 我去看了下帖子,这 TM 也叫事件?
真的是谣言一张嘴,辟谣跑断腿。 标题上来就是一句存在安全漏洞,最后发现根本是乌龙,最后扯个小瑕疵给自己下台。 作为 todesk 厂商是真的可怜,回复后台登录日志也被骂,这他妈厂商连你登录日志都不能看?又不是看你系统敏感信息了。 站长也是搞笑,就这么一个不存在的漏洞给人家厂商造成多大影响。被各种平台转发,小厂商可能要直接嗝屁了。是怎么说的出口:“软件如果产生了不符合用户预期的行为,用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。 但是你们不去解决软件的不符合预期的行为,而是这样来对我持续施压,我对你们公司也觉得非常失望。” 要是我就直接发律师函了,诽谤 |
 |
27
GoRoad 2021-07-13 16:49:55 +08:00
我现在的华为云服务器天天被扫 每天 5-100+个 ip 攻击 这些 ip 的服务商基本都是来自华为云(太多了看不过来,已知看到的都是来自于华为云)
|
Select Language