搬瓦工服务器是被黑了么?登录 kiwivm,提示: A DoS attack was performed from this server。

2023-10-30 11:19:25 +08:00
 slowhand

搬瓦工服务器,之前一直是挂梯子和博客使用。 登录 kiwivm ,提示:A DoS attack was performed from this server ,这是被黑了么? 点了按钮之后,除了在 kiwivm 可以看到服务器状态外,其他方式都连不上,包括 SSH 。 只能重装了么? 现在这个状态有办法备份一下上面的文件么?

https://i.imgur.com/XbVZaY1.png

截图内容差不多这样: Reason: Network abuse: Outbound DoS attack More details: A DoS attack was performed from this server, which is against our Terms of Service. Additional information:

1698488044.267900 CtIkEr4KsEE0oDXPD3 IP 57289 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) 1698488044.267931 C8YcYL2pgftFf2MZXl IP 10987 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) 1698488044.268064 COz3VU3H34hlyDkp62 IP 55381 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) ……

This usualy happens when your servr is rooted/hacked. Make sure you install a clean 0S immediately after resuming service, otherwise the isue wll likely repeat You can unsuspend service as long as Total abuse points accumulated within one calendar year is less than Max abuse points alowed by your plan.

By clicking the button above you agree to take all measures to prevent future TOS violations. You also acknowledge that if/when Total abuse points exceeds Maximum abuse points within this calendar year, then service wll be disabled untl January 1, 2024

2417 次点击
所在节点    信息安全
14 条回复
RoccoShi
2023-10-30 11:22:15 +08:00
试试 vnc, 不行就工单要数据, 然后重装
relsoul
2023-10-30 11:22:35 +08:00
标题即答案,赶紧备份+还原系统吧。
sumarker
2023-10-30 12:40:39 +08:00
博客的话建议套一层 cf ,避免直接访问域名拿到 ip
lysS
2023-10-30 13:46:51 +08:00
@sumarker #3 套了 cf ,是不是国内访问不友好
sumarker
2023-10-30 13:48:56 +08:00
@lysS #4 一般来说是不会的,除非你的机器是国内的...
relsoul
2023-10-30 15:01:37 +08:00
@lysS cf business 用户 告诉你 会,针对国内访问不要套 cf 。不过 cf 的 waf 很屌,所以看你怎么取舍了。
relsoul
2023-10-30 15:05:57 +08:00
启动后如何避免再次出现攻击行为?停止哪些服务?或者防火墙只允许 ssh 端口(以前一直是 ftp 方式连 ssh 端口传文件)?
有什么排查的思路?(能不重装当然最好)
---
之前一台 digitalocean 主机被 hack 的人告诉你
1. mongodb ,redis ,mysql 当时部署在主机上,估计是对外网访问 并且是弱口令 从这层入侵的
2. gogs,某些 php 代码 等 web 服务等 0day 导致的,这个得你自己排查
3. 套 cf 可以解决一部分问题,但不完全
4. 建议上 docker 部署 隔离
5. 随机生成密码,不要自己想密码
HangoX
2023-10-30 15:38:41 +08:00
可以接入 zerotier 网络,或者使用 tailscale 组建虚拟网络,然后只允许虚拟网络通过 ssh 登录服务器
不过我之前都是直接改端口,不允许密码登录,基本没啥问题

使用 docker 部署的时候不要暴露端口到公网上,很多软件有漏洞,如果自己需要远程访问,暴露咋 zerotier 或者 tailscale 上,比如 zerotier 上 ip 为 10.11.12.4 ,docker 上这样写 10.11.12.4:8080:8080 这样通过 10.11.12.4 能 直接访问,但是直接访问你公网的 ip 地址是不能访问,保证了本地连接服务的便携性,也杜绝了对外暴露端口。

tailscale 会更简单,加入后能直接选择访问本地服务
nxuu
2023-10-30 19:57:37 +08:00
如果是建站的话 用 frp 把服务器放本地是不是好处理一点。如果是 vpn 就当我没说。
anUglyDog
2023-10-30 21:33:01 +08:00
同一台机器,为啥 web 站连不上了,但是 vpn 还是正常的。。
slowhand
2023-10-30 21:36:02 +08:00
感谢大家的回复!
我现在理解的是,我的服务器中了病毒后,对别人进行了攻击,然后被服务商停了。
现在服务器里面还是原来的系统,但是现在是停止状态,我无法备份文件。
短时间尝试运行了一下,确认可以用。但是害怕病毒再自动发起攻击,在被服务商停掉,就立即停止了。
我的想法是,原系统运行后,先屏蔽除了 ssh 之外的端口,避免再因为病毒行为被服务商停掉,然后备份部分文件到本地,然后重装。
是不是通过 iptable 之类的哪些设置,可以让病毒的攻击发不出去?仅保留 ssh 端口权限,以便备份文件?
keegan
2023-10-30 21:39:28 +08:00
A DoS attack was performed from this server 这么几个大字写着呢,评论区这么多人怎么还以为服务器是被 D 了?
szdosar
2023-10-31 10:13:28 +08:00
hy2 ,不要把带宽放得太嗨,100 兆上下行就可够用了,否认容易被服务商误判为对别人发动攻击而被停机或限行。
slowhand
2023-10-31 11:03:50 +08:00
看了 kiwivm 里面的日志和统计。貌似当时的流量也不多,出问题之前连续好几天的 cpu 使用倒是比平常多。
日志里时间点,更登录时间与统计时间差了 15 小时( la 机房时差?)
https://imgur.com/Ffld8Xt.png
https://imgur.com/wG2xTzY.png
如果是可能误判的话,决定抱着侥幸心理,继续跑起来原系统试试了。至少到年底前,还有 9 次被停机会。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/986635

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX