去年买的轻量 4c4g,上面跑 OCR 和 BT 种子自动出种。OCR 开了一个端口调用 API ,为了跑全自动出种,开了公网 FTP 并且跑了一个 QBittorrent 。
年前的时候还好好的,过年后不知道从啥时候开始服务器被挂上了挖矿程序 CPU 一直 100%占用,3 月 1 号晚上 7 点收到的短信说让我 3.4 日前清除。我当时太忙了到 3.3 号才处理的,清除后,把所有密码都改了一遍,并按要求反馈到工单系统,客服也回了个电话,说 3.4 号之后会有复查,第二次查到直接封机子。我当时也挺担心没有清除完全,所以那几天每隔段时间就 SSH 上去看一眼有没有被再拿去挖矿(主要不知道清除干净没),我可以保证的是自 3.3 号到 3.5 日绝对没有被拿去挖矿,CPU 占用基本上都没有占用(就发种的时候 CPU 占用高点可能有 30%?其他时间段 CPU 基本 0 占用)。然而在 3.5 号 5 点依然通知我服务器挖矿了,接着就把我服务器封停了。我发工单系统说是误封,反馈来的就是挖矿无法解封,我让他们出示这几天的 CPU 占用情况,客服就是一个劲的复读。误封没误封,很简单的事情,你直接后台看一眼 CPU 占用不就知道了吗?
真的有被腾讯云恶心到,老哥们也千万要小心自己生产环境的机子别被挂马,要不损失就大了,直接复读打太极拳。
刚刚看站内信的时候,又想起了 1 月份服务器还被打一次,直接给我黑洞了,一共就打了几分钟,黑洞 2 小时,停止攻击后,我去找客服解封,也是一直打太极只能硬等 2 小时,以前的自助解封也被关了。我这服务器根本连站都没建每次都是 IP 直接访问的。
1
davidshao 2022-03-07 19:35:27 +08:00 9
很简单要么出示证据让你死心,要么你就直接工信部投诉,你就这样告诉客服。
工信部是所有互联网行业的亲爹。 |
2
wjx0912 2022-03-07 19:36:30 +08:00
我也是,2c4g8m 的轻应用服务器说停就停。阿里不知道有木有类似的
|
3
1423 2022-03-07 19:40:57 +08:00
cpu 占用你自己就能看啊
|
4
thzero2020 OP @1423 CPU 我看了啊,没有占用,他们自己也能调取,为啥就不调一下看看呢?明明就是误封
|
5
chuckzhou 2022-03-07 20:01:23 +08:00 5
@thzero2020 腾讯的客服确实是我见过的最牛毕的。你耐心的跟他讲道理,但他永远都是重复同一句话回复你。
|
7
shanliang 2022-03-07 20:54:36 +08:00
"不知道从啥时候开始服务器被挂上了挖矿程序"
我信了 |
8
learningman 2022-03-07 20:54:40 +08:00
通告
那就是上级监管让腾讯云封了这个 IP ,腾讯云能做啥 |
9
thzero2020 OP @shanliang 这机子用了半年了,年前一直没有问题。年后回去有项目,基本上很少看
|
10
bookbox 2022-03-07 21:12:43 +08:00 1
这么大的云厂商误封估计不太可能,两种情况,要么主动挖矿,要么被入侵被动挖矿自己也不晓得,只能自己做好防护了,现在国家抓的太紧了,只要违规,不管主动还是被动,肯定被干,我也是深有体会,现在互联网不安全因素太多了,谨慎再谨慎吧。。。。
|
11
eason1874 2022-03-07 21:19:52 +08:00 4
“监管部门通报”
这几个大字没看到么,还要怎么解释,能给你退费就不错了,还要什么自行车。你该不会以为腾讯云会为了你的权益去质疑监管部门查错了吧 换个号注册重新买活动机型吧,安全做好点,别被挂马就好了 |
12
lovegoogle 2022-03-07 21:23:01 +08:00
看情况大概率是被挂马了,你这属于被误杀,要么找工信部,要么找 315 或者退费重来吧
|
13
yov123456 2022-03-07 21:36:58 +08:00 via iPhone
估计是被做了挖矿流量转发
|
14
jorneyr 2022-03-07 22:06:00 +08:00
话又说回来,我买了 2C 的机器,2C 跑满 100% 还不让了,是不是有点不讲道理呢?又没有给超过 2C 的算力。
|
15
geekvcn 2022-03-07 22:10:43 +08:00 via Android
发改委严打挖矿,可能你被入侵挖矿了
|
16
geekvcn 2022-03-07 22:12:17 +08:00 via Android
另外你买的不是高防服务器,黑洞不是很正常,被打带宽费你承担?
|
17
imsea1 2022-03-07 22:21:14 +08:00
兄弟,后台有一个防火墙,可以对端口进行设置。你应该把除了自己用到的端口其余全部屏蔽掉,同时修改 ssh 的端口。应该就不会有这种情况发生了。你是被黑进去装了挖矿程序
|
19
just1 2022-03-07 22:37:09 +08:00
嗯不一定是本机在挖矿,也有可能是做了挖矿流量中转,所以 cpu 高不是必要条件
|
20
skiy 2022-03-07 23:36:33 +08:00
这种情况应该是正常的吧?有企业过期的备案域名没注销备案,还被举报了呢?还有个是,那个域名被人家拿来放盗版资源,被版权方告了(虽然后来法院不支持)。
在你的地盘犯事,要负连带责任的。所以,各位要多排查服务器。该打补丁的还是得打补丁。 --- 我有个鸟云的云主机也被人家挂挖矿程序了,且是去年 11 月份挂的。不过我过年的时候才发现。主要是几个月没登录,没有发现。后台有告警( CPU 超过 90%),但我基本没登录过后台。短信也没有来通知。 后来的重装系统,啥程序都没安装了。没两天,再登录。发现还是被挂挖矿程序了。然后排查的时候,发现是 ubuntu 安装镜像多了个 root2 用户,而且启动挖矿程序的用户就是它。 |
22
icyalala 2022-03-07 23:52:01 +08:00
挖矿监测的是通信协议、流量特征,CPU 高不一定是挖矿,挖矿也不一定 CPU 高。
|
23
axisray 2022-03-07 23:58:18 +08:00 via iPhone
每隔段时间就 SSH 上去看一眼
ssh 不靠谱,之前见到过在 bash.rc 加代码的,登陆的时候会自动停止挖矿,特别鸡贼 |
24
bug123 2022-03-08 00:12:40 +08:00 3
据我多次被封禁的经验,很少有误封的😌
|
25
murmur 2022-03-08 07:49:43 +08:00
你处理的逻辑不对,linux 没有 windows 那种 360 级别的强力流氓,遇到木马除非你是高深人士,否则直接备份数据重置系统
|
27
nosmile 2022-03-08 08:27:04 +08:00
“监管部门通报”
|
28
davidstonex 2022-03-08 08:44:49 +08:00
被监管部门通报了,即使你接到通知就关机了,也一样会被封的。
|
29
ijrou 2022-03-08 09:08:18 +08:00 via Android
你要想着腾讯服务器不会无缘无故去封机子的,你要从自身找原因,被挂木马挖矿是你的问题。腾讯已经告诉你一次了,即使你清除了木马程序,但是你确定木马作者不留后门再继续进入你的后台挖矿吗?
是我遇到这种情况的话,我肯定会重装系统,更改端口,密码复杂化,调整防火墙,然后再重新部署环境 |
30
james2013 2022-03-08 09:11:08 +08:00
被监管部门通报了,这是顶风作案,机子被封很正常
|
31
okakuyang 2022-03-08 09:11:49 +08:00
最近被挖矿了,挖门罗币,好多机器都中招了
|
32
oygh 2022-03-08 09:49:08 +08:00
我也遭遇过类似的情况,虽然是我有错在先,但客服们“解决问题”的方式也着实让我大开眼界了。
https://www.ntiy.com/1124.html |
33
Kasumi20 2022-03-08 09:54:39 +08:00
我的外网机也被挂过挖矿木马,这玩意可不好清除,重装是最好的
|
34
lisongeee 2022-03-08 10:02:22 +08:00
我记得 V2EX 有腾讯云的 客服,不知道 ta 会不会在下面回复
|
35
wmwmajie 2022-03-08 10:08:49 +08:00
有没有可能是某些原因宿主机被封了,所以导致这个宿主机下面的所有虚拟机全部被干。
|
36
popok 2022-03-08 10:09:38 +08:00
人家检测机制肯定和你手动看不一样,你自己看 CPU 占用可能 0 ,但是挖矿可能还和矿池有数据交换,他们有可能通过这个数据包来判断,你看上去 cpu 不占用了,可能后门还在和矿池交换数据呢。
|
37
mywaiting 2022-03-08 10:10:43 +08:00
CPU 长期 100% 应该不会导致被封吧?我有个机器长期 80% 以上负载,快两年了,没啥事
不过话说回来,数据做好备份,啥事都不担心~ |
38
JensenQian 2022-03-08 10:16:32 +08:00
良心云( X )凉心云(√)
|
39
keepeye 2022-03-08 10:16:35 +08:00
我阿里云机器比较多,都是跑内部服务的,然后经常会有一台两台提示被攻击进入黑洞,然后没过多久阿里云销售电话就来了.. 我就很奇怪,我这些服务器又没对外开放,谁闲的没事随机攻击吗?
|
40
zxxufo008 2022-03-08 10:20:30 +08:00
op 和 tx 云的检测是否挖矿的标准都不一样,压根谈不拢。。不过我觉得客服一直在重复也能理解,因为人家觉得你的检测手段不专业,大概
|
41
nicevar 2022-03-08 10:52:33 +08:00
这种你保证没挖矿没用,很多人都保证自己的服务器没挖矿,其实就是自己发现不了,多仔细查一下,挖坑不一定 cpu 占用高。
|
42
anzu 2022-03-08 11:07:13 +08:00
可能访问了矿池域名也算入
|
43
wangyu17455 2022-03-08 12:02:01 +08:00
挖矿程序把你 ps top 之类的命令换了然后你看不到他的进程,然后这个进程一直在转发挖矿的流量,有没有这种可能呢,只作代理的话 cpu 一直是 0 是完全有可能的
|
44
Envov 2022-03-08 13:44:18 +08:00
转技术客服问问能不能提供数据呢
|
45
leavic 2022-03-08 14:37:07 +08:00
楼主你知道自己系统里到底有什么漏洞导致被挂马了吗?这个漏洞解决了吗?
|
46
opengps 2022-03-08 16:04:24 +08:00
要知道,在云主机内的安全插件,足够有能力检测出进程的特征。
即使不高负载运行 cpu ,也不代表 cpu 满载的特征不是挖矿(我见过有个客户端真的可以设置启动几个内核进行挖矿工作) 建议全盘查找可以程序后再做结论,不然这仓促的结论没法获得官方和大众的支持 |
47
seesky 2022-03-08 16:08:41 +08:00
已经告诉你了吧,监管部门通知封禁的,tx 核实也没有用,解封的权力就不在它手上。它也不可能专门花时间去和监管部门沟通普通客户的这样的事情, 因为如果再出情况它自己也麻烦。
|
48
nba2k9 2022-03-08 16:12:48 +08:00
"误封"
|
49
azhangbing 2022-03-08 16:38:18 +08:00
这封的很有道理,因为你不能证明你没有挖矿,我也被警告了,然后直接重装系统 改密码 改端口 防火墙
|
50
xctcc 2022-03-08 16:38:35 +08:00
我用腾讯轻量香港科学上网了两三年了都没事。。
|
51
itechnology 2022-03-08 16:39:08 +08:00
感觉误封的可能性不大,不过一直不回应你证据确实有点……
第一次收到警告的时候最好直接重装系统,然后改密码,因为你不知道木马作者留了什么后门 |
52
CaptainD 2022-03-08 16:44:05 +08:00
之前也买过腾讯云,用 docker 部署点小玩意儿,然后就被挖矿程序攻击了,第一次提交工单重置了机器,结果第二天又这样,直接退款了
|
53
yvescheung 2022-03-08 16:50:41 +08:00
所以我写了脚本每天备份系统到谷歌云盘避免这种情况
|
54
xitek 2022-03-08 17:28:53 +08:00
腾讯的服务器,我挂了个青龙跑京东都被警告了,也是说什么疑似挖矿,告诉我再搞就封
|
55
www5070504 2022-03-08 18:16:41 +08:00 1
这不腾讯一贯操作么 包括封游戏账号也是如此 想要证据? 不可能提供
|
56
bbmike253455 2022-03-08 18:19:59 +08:00 via Android
那是怎么入侵的 ssh 漏洞不至于吧 自己挂的服务有漏洞么 还是 ssh 密钥太简单被爆破了
|
57
romisanic 2022-03-08 18:50:59 +08:00
之前买过一个做活动的服务器,4c4g ,买了刚部署没两天,就提示被攻击。当时没太当回事,因为也没放啥东西。
后来过了几天没提示了,然后跑自己应用的时候,没几天腾讯云发消息提醒服务器有攻击其他服务器的操作,给我封停了对应端口。 想了想当时应该还是被别人得手了,主要是初期密码设置的也比较简单,端口也没改。 直接重置系统,修改密码,重新部署应用,从此消停了。 不过话说回来,活动的服务器貌似配置着实差点,同样的配置,华为云上的跑的就是比这个小鸡上的快,不过也可能跟处理器有关系 |
58
wikiwiki6 2022-03-08 19:11:55 +08:00
感觉跟流量特征有关,被 ISP 通报了(不过 4C4G 一年能挖出 100 块吗》?
|
59
guo4224 2022-03-08 19:27:46 +08:00
笑死了,使劲
|
60
thzero2020 OP 评论里有些洗的真的太恶心了,我被误封,还要我自己提供证据证明我没有挖矿?这么搞笑的吗?不是应该腾讯云提供吗?
如果挖矿了就出示我 3.3 号到 3.5 日 CPU 的资源占用情况。还有些人说 CPU 0 占用也有可能是做了矿池转发,那请腾讯云调出我 3.3 号到 3.5 号的网络请求日志。别跟我说没有记录储存这些玩意,你们做国内业务怎么可能没有?真出了大事了你们怎么查? 也请大家用腾讯云的一定要注意生产环境中安全防护,被挂马了直接永久封禁这损失可大了。 @eason1874 还有些人说什么“给你退款余额都不错了”,你也太小看腾讯云了吧?我买的特价年付机,如果退款销毁,就要按原价计算,也就是说我退款还要补交四五百块钱,当然啦我只需接受腾讯云退款 0 元,腾讯云也是很大方的免去了这些我应该补交的钱。 ![11.png]( https://s2.loli.net/2022/03/08/iuqml5twR2eHcjS.png) |
61
thzero2020 OP ![7777.png]( https://cdn.ucany.net/2022/03/08/KHctHqr3.png)
|
62
eason1874 2022-03-08 21:25:09 +08:00
@thzero2020 #60 我的意思是你服务器有持续进行的违法行为,给你走退费流程就不错了,按规则能退多少那是另一回事
当然你可以要求腾讯云和监管部门提供证据来坐实你的服务器确实违法了。我觉得没必要,因为你连挖矿木马的特征都不了解,你以为的清除干净 99.9999%只是你以为的 |
63
laozhoubuluo 2022-03-08 22:01:14 +08:00
|
64
eason1874 2022-03-08 23:12:42 +08:00
@laozhoubuluo #63 我同意如果当事人要求提供证据,相关部门就得提供
我觉得没必要去要求提供证据是因为楼主自己也确认服务器中了挖矿木马,而且他不知道这类木马除了计算还会转发流量,自带防杀,他只靠 CPU 占用率来判断已经清除完成,基本可以确定没有清除完 |
65
FrankHB 2022-03-09 02:23:28 +08:00
@eason1874 鹅说监管部门就监管部门,反正你是信了?
前些天封我 QQ ,看样子就是季度末凑指标误封(最扯的是理由“涉嫌诈骗”,它要说发涩图我还可能得自肃一下是不是一时不察忘了骑兵),一样所谓“监管通报”。直接一堆法条投诉广东省通信管理局,隔几天就有广普口音的传说中的人工客服过来联系了给解封了。问了下“监管”是什么,答曰“警方”,然后愣是不告诉你是哪里的警方,呵呵。 |
67
eason1874 2022-03-09 09:11:18 +08:00
@FrankHB #65 注意看贴,楼主自己也确认中了挖矿木马
挖矿木马有主机层和网络层两方面特征,楼主只排除了主机层就说清除了,处理方式相当不专业,这是评论区质疑没有误封的关键点 如果楼主在主机层和网络层都进行确认没有挖矿行为,或者说重装系统并修复了漏洞,这样说后面是误封才站得住脚,要那样也不会有这么多质疑的 |
68
zxxufo008 2022-03-09 09:23:39 +08:00
@thzero2020 谁主张,谁举证。自己拿不出来证据,确实是弱势的一方捏
|
69
itechnology 2022-03-09 09:49:59 +08:00
@eason1874 反正我觉得最好的处理方式就是重装系统,这样肯定没有问题,不这样做,谁知道木马作者在哪个路径下偷偷留了脚本文件
|
70
eason1874 2022-03-09 10:20:08 +08:00
@itechnology 重装然后恢复备份业务代码最好。这些人狡猾得很,我见过在网站代码里注入复活脚本的,通过网站请求触发,到了每月固定的几天才执行复活脚本,当时重装之后看着没事,过一段时间又复活了
|
71
mortal 2022-03-09 12:42:01 +08:00 via iPhone
腾讯就是这样的,我不用了。懒得和他们扯。
|
72
ellipsis 2022-03-09 16:52:26 +08:00
企业账号下面买了不少腾讯云服务,说封就封,连个理由原因都不给,是机密不方便透露
|
73
bbbb 2022-03-09 19:48:26 +08:00
我遇到过,疑似挖矿,腾讯云说是广东的管理局查到异常直接封的,机器当时无法做任何操作,工单说他们没有权限解。。。应该是需要查东西还是怎么的,过了一天我就销毁了。
|
74
FrankHB 2022-03-15 23:17:24 +08:00
@eason1874 我对 LZ 的操作没有兴趣;相反,鹅厂的某些作为已经积累了足够的前科而足够引起公众关注。
极端点说,LZ 把他所有身家都买主机挖矿,其社会危害性(姑且算有)也远不足以跟可能的误封相提并论。 另外就是上面有人提的谁主张谁举证。我没看到这里有法定的举证责任倒置的情形。 |
75
eason1874 2022-03-16 00:32:51 +08:00
@FrankHB 严格来讲,举证责任在腾讯云和监管部门。楼主不专业的操作表明了属于误封的概率极低。要是心里过不去就去工信部或者什么部门投诉吧,这事没什么好多说的了
|
76
mikejson 2022-03-25 14:40:46 +08:00
楼主,看下机器里运行了什么程序,我们好避免
|