搬瓦工服务器是被黑了么？登录 kiwivm，提示： A DoS attack was performed from this server。

搬瓦工服务器，之前一直是挂梯子和博客使用。登录 kiwivm ，提示：A DoS attack was performed from this server ，这是被黑了么？点了按钮之后，除了在 kiwivm 可以看到服务器状态外，其他方式都连不上，包括 SSH 。只能重装了么？现在这个状态有办法备份一下上面的文件么？

https://i.imgur.com/XbVZaY1.png

截图内容差不多这样： Reason: Network abuse: Outbound DoS attack More details: A DoS attack was performed from this server, which is against our Terms of Service. Additional information:


1698488044.267900	CtIkEr4KsEE0oDXPD3	IP	57289	43.139.2.181	11100	tcp	-	-	-	-	S0	F	F	0	S	1	92	0	0	(empty)
1698488044.267931	C8YcYL2pgftFf2MZXl	IP	10987	43.139.2.181	11100	tcp	-	-	-	-	S0	F	F	0	S	1	92	0	0	(empty)
1698488044.268064	COz3VU3H34hlyDkp62	IP	55381	43.139.2.181	11100	tcp	-	-	-	-	S0	F	F	0	S	1	92	0	0	(empty)
……
This usualy happens when your servr is rooted/hacked. Make sure you install a clean 0S immediately after resuming service, otherwise the isue wll likely repeat
You can unsuspend service as long as Total abuse points accumulated within one calendar year is less than Max abuse points alowed by your plan.

By clicking the button above you agree to take all measures to prevent future TOS violations. You also acknowledge that if/when Total abuse points exceeds Maximum abuse points within this calendar year, then service wll be disabled untl January 1, 2024

relsoul

2023-10-30 15:05:57 +08:00

启动后如何避免再次出现攻击行为？停止哪些服务？或者防火墙只允许 ssh 端口（以前一直是 ftp 方式连 ssh 端口传文件）？
有什么排查的思路？（能不重装当然最好）
---
之前一台 digitalocean 主机被 hack 的人告诉你
1. mongodb ，redis ，mysql 当时部署在主机上，估计是对外网访问并且是弱口令从这层入侵的
2. gogs,某些 php 代码等 web 服务等 0day 导致的，这个得你自己排查
3. 套 cf 可以解决一部分问题，但不完全
4. 建议上 docker 部署隔离
5. 随机生成密码，不要自己想密码

HangoX

2023-10-30 15:38:41 +08:00

可以接入 zerotier 网络，或者使用 tailscale 组建虚拟网络，然后只允许虚拟网络通过 ssh 登录服务器
不过我之前都是直接改端口，不允许密码登录，基本没啥问题

使用 docker 部署的时候不要暴露端口到公网上，很多软件有漏洞，如果自己需要远程访问，暴露咋 zerotier 或者 tailscale 上，比如 zerotier 上 ip 为 10.11.12.4 ，docker 上这样写 10.11.12.4:8080:8080 这样通过 10.11.12.4 能直接访问，但是直接访问你公网的 ip 地址是不能访问，保证了本地连接服务的便携性，也杜绝了对外暴露端口。

tailscale 会更简单，加入后能直接选择访问本地服务

slowhand

2023-10-30 21:36:02 +08:00

感谢大家的回复！
我现在理解的是，我的服务器中了病毒后，对别人进行了攻击，然后被服务商停了。
现在服务器里面还是原来的系统，但是现在是停止状态，我无法备份文件。
短时间尝试运行了一下，确认可以用。但是害怕病毒再自动发起攻击，在被服务商停掉，就立即停止了。
我的想法是，原系统运行后，先屏蔽除了 ssh 之外的端口，避免再因为病毒行为被服务商停掉，然后备份部分文件到本地，然后重装。
是不是通过 iptable 之类的哪些设置，可以让病毒的攻击发不出去？仅保留 ssh 端口权限，以便备份文件？

slowhand

2023-10-31 11:03:50 +08:00

看了 kiwivm 里面的日志和统计。貌似当时的流量也不多，出问题之前连续好几天的 cpu 使用倒是比平常多。
日志里时间点，更登录时间与统计时间差了 15 小时（ la 机房时差？）
https://imgur.com/Ffld8Xt.png
https://imgur.com/wG2xTzY.png
如果是可能误判的话，决定抱着侥幸心理，继续跑起来原系统试试了。至少到年底前，还有 9 次被停机会。