云机器流量这么容易被耗尽嘛?

30 天前
dream0689  dream0689
起因:云机器的 ipv6 分配了但不通,尝试了重做系统,就联系客服处理,对方要求 root 密码或者给予临时权限。于是我就把密码改成相对简单的密码。没过多久流量就耗尽了。大概半个小时 300 多 G 流量吧。
经过:再次联系客服,反馈情况,我以为是系统 bug 。客服反馈流量耗尽,付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑,密码不能太简单。
结果与思考:付费增加 100G 流量,等待系统重置。
留下两个疑问:
1.公网设备 root 密码这么容易爆破么?
2.增加流量的同时必须重置系统的原因是什么?
2431 次点击
所在节点   宽带症候群  宽带症候群
25 条回复
aru
aru
30 天前
1. 是的。开在公网可访问的 ssh 服务器每天基本都会接受几万次或更多的简单密码登录尝试
2. 机器被入侵同时会安装各种隐藏的木马,很难清理干净。重置系统的要求合理
aladd
aladd
30 天前
真好,甚至你都没怀疑过是对面的问题,一直在自查。
大小 VPS 也买过不少,闻所未闻。
半小时 300G~嗯!呵呵~

3.能退款换一家吗?
iseki
iseki
30 天前
空载半小时 300G ,很离谱。
aladd
aladd
30 天前
忽然想到了在 MJJ 论坛看到的,你是不是买了一些野鸡商家,或者有点知名度的 oneman 商家,然后它家恰好此时正在被 D 啊?
因为我以前有注意到那个论坛里有很多人发帖,买的 VPS 开机后什么也没敢,一段时间后就提示流量没有了。
楼里的回复均是:无解,关机保平安。
dream0689
dream0689
30 天前
@aladd 我有怀疑,可难在我没法举证。
dream0689
dream0689
30 天前
@aladd 应该不是被 D 了,cdn 在机器前边做了防护,cdn 流量没有异常。
dream0689
dream0689
30 天前
@aru 感谢,只是当时没想到临时密码也可以设置复杂点,反正对方也就是 ctrl+c/v 。往后要吸取教训了。
MossFox
MossFox
30 天前
看样子还没意识到重点,

这里需要总结到的不是流量耗得快慢,
是你的机器已经被扫公网的恶意程序不知道植入多少东西了。这种时候别说重置这台设备,假如有内网互联的其他弱密码机器或者服务,这种时候都要检查一遍。

常用密码都是弱密码的话,公网机器建议关掉密码登录后换成密钥登录。
dream0689
dream0689
30 天前
@iseki 解决问题的回复没等到,却看到流量耗尽,机器停服了,一开始就以为是对方故障或者系统 bug 。对方没有正面回答我的质疑。我也不纠结,就想着先看加流量能不能恢复服务,后续还有问题就停用这家了。停服后,就启用备用线路了。
dream0689
dream0689
30 天前
@MossFox 感谢提醒,这次还好是停服,没有产生巨额账单。
Ggmusic
Ggmusic
30 天前
不要回答,不要回答,不要回答。🈲️ping ,关闭所有端口,ssh 不要用 22 或者 xx22 ,关闭 ipv4
的 80 ,443 ,只用 ipv6 。 启用 knock 端口,比如先连 12012 端口,再连 11021 端口之后,才放通这个客户端对 ssh 端口的访问权限,这种机制 nftables 原生就支持。否则只能关机保平安。
kk2syc
kk2syc
30 天前
直接 ip 白名单,除了 cloudflare 之外的全部抛弃,vps 都有 vnc ,想 ssh 的时候 vnc 上去给自己的 ip 临时加白
flynaj
flynaj
30 天前
网络爆破后全带宽对外 ddos 才能用这么多
BadReese
BadReese
30 天前
有可能是连接 mysql 填的公网地址
beyondstars
beyondstars
30 天前
感觉不是很正规,可能是 oneman ,重做系统跟 root 密码或特权账户有何关系…… 我理解应该只是把操作系统镜像刷入到虚拟机的磁盘。
另外平台方面要对你的运行中的实例进行操作,一般不是通过官方的 agent 之类的方式吗(就是那种官方的在你的实例上运行的特权守护进程)。
dream0689
dream0689
29 天前
@beyondstars 反馈过来是密码太简单被爆破入侵了,跑了一些东西在里边。要 root 密码是处理分配的 ipv6 地址不能使用的问题。
nzbstn
nzbstn
29 天前
@Ggmusic #11 我有个问题: 关闭 v4 仅使用 v6 的情况下, 一般是不会产生额外的流量, 是因为 v6 地址太多 or 足够复杂, 一般扫描类无法命中目标吗
如果使用 knock 的话, 比如我部署一个 server, 客户端和服务端需要心跳保持通讯, 这种情况是不能使用 knock, 优先使用 v6+端口呗
dream0689
29 天前
@flynaj 查实了不,到三个小时上传了 236G ,峰值 CPU 占用 100%和上传 30MB/s 。这是对外发起了 ddos 吧。
https://imgur.com/a/n04cy5s
dream0689
29 天前
@flynaj 查实了,不到三个小时上传了 236G ,峰值 CPU 占用 100%和上传 30MB/s 。这是对外发起了 ddos 吧。
https://imgur.com/a/n04cy5s
Ggmusic
29 天前
@nzbstn knocking 的参考 https://home.regit.org/2017/07/nftables-port-knocking/。如果客户端是固定的,也不需要敲门了,直接白名单。 例子中 Client_SSH_IPv4 里是没配 timeout 值的,这就意味着如果你敲门一次成功,IP 就永久加入 set 里,只有手工重置 nftables 的规则,或者重启机器才会被清空,对心跳无影响。IPv6 的地址只要你不主动暴露,应该不会扫到端口,扫到一个机器的代价比 v4 高多了。knocking 或者 v6 可以比较有效抵御被 D ,尤其是一些流量双向计费的机器,只要你端口开着,持续不断刷,总能耗光你的流量。op 这种已经沦为肉鸡的那是极端的场景了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1107174

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX