各位大佬服务器被攻击咋解决啊

2021-12-19 09:31:41 +08:00
 abczise

前两天贪小便宜腾讯 198 买了个 3 年轻量应用服务器 拿来建了个 NPS ,今天惊喜的发现家里 NAS 被跑字典了 起初以为是家里有病毒软件什么的 但是后面登腾讯服务器发现网页打开十分卡 后面进腾讯管理界面发现带宽被跑满了 后面尝试重启也解决不了,目前只能关机了

在线求解决之道!!!!!!!!!!!!!!!!!!!

5227 次点击
所在节点    问与答
39 条回复
512357301
2021-12-19 09:37:29 +08:00
安全组或者防火墙里只开放几个端口,用不到的一律关掉
abczise
2021-12-19 09:39:53 +08:00
@512357301 没什么用,他现在是流量攻击,我服务器根本没办法正常访问。昨晚 19 点持续到刚刚,出口带宽都被拉满在
tanranran
2021-12-19 09:40:56 +08:00
关服
kekxv
2021-12-19 09:43:42 +08:00
先断网再备份数据,换端口
A3
2021-12-19 09:54:11 +08:00
不是很懂,流量转发到银行之类的网站能行吗
服务器被黑了
abczise
2021-12-19 10:02:12 +08:00
打 400 也解决不了,咋整啊 现在惊奇的发现跟服务器失联了
cooljiang
2021-12-19 10:10:42 +08:00
封 ip ?
dLvsYgJ8fiP8TGYU
2021-12-19 10:20:21 +08:00
云服务器安全组 /防火墙设置黑白名单,包括 nps 通信端口和公网访问端口。

- nps 通信端口:白名单
你家的宽带即使没有公网 IP ,实际出口 IP 段也不会变化太大。实际观察几周,例如 123.123.***.***,就在安全组设置仅允许 123.123.0.0/16 访问,依此类推,尽可能减少攻击面。会有人扫 nps 端口尝试穿透回你家局域网,密钥要够长且定期更换。

- 公网访问端口:黑名单
由于你需要在公网访问,可采取黑名单方式。如遇扫描,可查询对方 IP 的 ASN 号,必要时 block 掉这个 ASN 下面所有 IP-CIDR 。如果属于 IDC 机房,可向对应的服务商提交被攻击日志,查实后攻击者 /肉鸡会被停机(亲测有效)

此外不建议 NAS 上使用管理员账户从外网访问敏感服务,如确有需要可为外网访问单独创建一个账户,只授权平时出门在外可能需要使用的资源。
abczise
2021-12-19 10:33:00 +08:00
查了半天,查到了被攻击的端口了 5000
接下来咋整?换端口号????
dLvsYgJ8fiP8TGYU
2021-12-19 10:40:42 +08:00
@abczise 先确定只是单纯被人扫到端口,还是 SSH 被人登录了,看看 /var/log/secure 里面也没有奇怪的 IP 。确定没有其他人登录你服务器后,SSH 改高位端口、禁用密码登录、改用密钥、在安全组仅允许你常用 IP 访问 SSH 端口。

也不建议直接 5000/5001 暴露在公网,改个高位
patx
2021-12-19 10:44:32 +08:00
弄个反向代理?你被攻击的机器设置白名单,只允许反向代理访问
xinghen57
2021-12-19 10:51:36 +08:00
关注一下。请问 lz 服务器做了哪些防护?
abczise
2021-12-19 10:55:13 +08:00
@dLvsYgJ8fiP8TGYU 对应端口号的服务器上只记录了个 SSH 端口被人跑字典。因为走 NPS 的 查不到对方 IP 哎~
目前没发现有数据丢失,不过,路由记录该服务器上行,下行分别走了一百多 GB ,然而昨晚一半多都不是我用的
磁盘访问记录也没,难受 都不知道那些数据被拷走了

目前 5000 端口还被攻击着,一打开带宽就 100%
打腾讯电话,给推荐了个安防专业版最低 80 一个月,哎~~
dLvsYgJ8fiP8TGYU
2021-12-19 11:04:10 +08:00
@abczise 你是说 NAS 上的 SSH 也做了穿透,然后也被人字典了? nps 服务端可以看到对方真实 IP 的,登陆云服务器去看日志。NAS 文件访问日志应该是能看到的,除非对方成功登陆你 NAS 并删除日志。先停止穿透服务,排查受影响范围
abczise
2021-12-19 11:05:48 +08:00
@xinghen57 啥都没做。因为自用,可以说这个服务器 IP 除了腾讯,就我一个人知道。倒是有解析 2 个域名。用的是 cloudflare ,没启用 DNS 代理,两个域名也是我自己知道。
abczise
2021-12-19 11:10:33 +08:00
@dLvsYgJ8fiP8TGYU 是的。感谢 我去看看日志
vhisky
2021-12-19 11:12:59 +08:00
限制固定 IP 访问,应该可以吧
s609926202
2021-12-19 11:14:03 +08:00
fail2ban
dLvsYgJ8fiP8TGYU
2021-12-19 11:20:00 +08:00
知道你 IP/域名的绝不止 IDC 和你自己两个,你的 ISP 、甚至你公司的网管通过 SNI 总能知道你的域名吧?

有很多 bot 随时都在遍历扫描全球所有 ipv4 地址,像 SSH 22 、NAS 5000/5001 这些默认端口都是重点照顾对象,暴露在公网就要做好被字典的心理准备。

讲究一点套一层隧道协议,代价就是不能直接在任意设备用 IP/域名:端口号 来访问
@abczise
zwgf
2021-12-19 11:41:58 +08:00
@abczise
腾讯没必要自己攻击自己,就为了收你 80 元 /月的安全防护费。攻击的成本都不止这个价。

全网扫的机器人太多了,买一台服务器,初始化后啥也不动,一周后上去看日志,全是扫的。

所以还是要做安全防护的,比如端口能封的封,默认端口能改的改。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/823080

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX