从 Bandwagon 上装的新系统为何会秒被 hack/root?

2016-08-26 22:56:50 +08:00
 a342191555

今天下午收到邮件说我的服务被 suspend 了,去后台看了一下,提示: We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam. 因为上面没有挂什么重要的东西,我就把机器 stop 了,然后重新装了一个 Ubuntu 16.04 x86_64 。

但是这次装完并配置好了以后,只过了几分钟,再次被 suspend ,同样提示… 求教为何会这样? 附我装完新系统后做过的修改: 0 、( Bandwagon 的 KiwiVM 会自动使用高 SSH 端口+随机密码,未修改) 1 、把我 Mac 的 pub id 添加到 authorized_keys 中 2 、安装和配置影什么梭的服务端 3 、配置了一个小的 nginx 服务器,只有一个 301 跳转功能

找不到是哪一步出了问题…好怪…

4766 次点击
所在节点    问与答
11 条回复
shierji
2016-08-26 23:05:56 +08:00
私钥泄露了?
prondtoo
2016-08-26 23:12:36 +08:00
什么梭的脚本和安装 nginx 的脚本贴出来。
a342191555
2016-08-26 23:18:30 +08:00
@shierji 应该不是,私钥只在自己 mac 里存储的,连我自己都没看过私钥内容。
看了下影什么梭的 log ,发现有几个到 25 端口的连接,源 IP 好像是我自己的电脑。
不说了……杀毒去了😂
a342191555
2016-08-26 23:19:25 +08:00
@prondtoo
apt install nginx python-pip & pip install yingsuo 😂
xuan880
2016-08-27 00:10:06 +08:00
你这个不对吧, ss 用 PHP 安装我记得包名不是这个呀,这个影梭有问题吧,最后说一句 ubuntu16.04 的 snap 中就有 ss 的包。
mrjoel
2016-08-27 00:11:59 +08:00
我的也是,我换了机房都没用,被 suspend 了三次,等明年解封了。
Remember
2016-08-27 00:31:57 +08:00
iptables -A OUTPUT -p tcp --match multiport --dports 25,109,110,143,465,993,995 -m state --state NEW,ESTABLISHED -j REJECT
prondtoo
2016-08-27 01:04:02 +08:00
我被搞过两次了,也是不明原因,吓得我装好系统后第一件事就是把防火墙开了
a342191555
2016-08-27 01:44:38 +08:00
@xuan880 名字是敏感词,不想打… apt 的那个是 c 版本的。相比之下,我更喜欢 python 版的,所以一直是用的 pip 安装。

@mrjoel 检查一下开的服务的 log ,我的是本地电脑通过 s 梭的代理端口往外滥发的邮件…不是影子有 log 文件真不知道哪的问题

@Remember 谢谢~我目前暂时只屏蔽了 25

@prondtoo 开防火墙是个好习惯。。。
mmmyc
2016-08-27 04:34:19 +08:00
我记得我刚装 Ubuntu 时它警告我超用 CPU 还是什么的,把我的停了一小时。后来 Google 发现是 Ubuntu 的问题,改某设置后好了。
miao
2016-08-27 09:04:18 +08:00
楼主应该装不同的系统试一试, centos 6

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302044

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX