V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
slowhand
V2EX  ›  信息安全

搬瓦工服务器是被黑了么?登录 kiwivm,提示: A DoS attack was performed from this server。

  •  
  •   slowhand · 2023-10-30 11:19:25 +08:00 · 2366 次点击
    这是一个创建于 395 天前的主题,其中的信息可能已经有所发展或是发生改变。

    搬瓦工服务器,之前一直是挂梯子和博客使用。 登录 kiwivm ,提示:A DoS attack was performed from this server ,这是被黑了么? 点了按钮之后,除了在 kiwivm 可以看到服务器状态外,其他方式都连不上,包括 SSH 。 只能重装了么? 现在这个状态有办法备份一下上面的文件么?

    https://i.imgur.com/XbVZaY1.png

    截图内容差不多这样: Reason: Network abuse: Outbound DoS attack More details: A DoS attack was performed from this server, which is against our Terms of Service. Additional information:

    1698488044.267900 CtIkEr4KsEE0oDXPD3 IP 57289 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) 1698488044.267931 C8YcYL2pgftFf2MZXl IP 10987 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) 1698488044.268064 COz3VU3H34hlyDkp62 IP 55381 43.139.2.181 11100 tcp - - - - S0 F F 0 S 1 92 0 0 (empty) ……

    This usualy happens when your servr is rooted/hacked. Make sure you install a clean 0S immediately after resuming service, otherwise the isue wll likely repeat You can unsuspend service as long as Total abuse points accumulated within one calendar year is less than Max abuse points alowed by your plan.

    By clicking the button above you agree to take all measures to prevent future TOS violations. You also acknowledge that if/when Total abuse points exceeds Maximum abuse points within this calendar year, then service wll be disabled untl January 1, 2024

    第 1 条附言  ·  2023-10-30 12:36:13 +08:00
    之前没仔细看,服务器状态是停止的,也可能重装之前不允许启动。
    现在没敢点开始,等准备好了再试试。
    追问一下,
    启动后如何避免再次出现攻击行为?停止哪些服务?或者防火墙只允许 ssh 端口(以前一直是 ftp 方式连 ssh 端口传文件)?
    有什么排查的思路?(能不重装当然最好)
    14 条回复    2023-10-31 11:03:50 +08:00
    RoccoShi
        1
    RoccoShi  
       2023-10-30 11:22:15 +08:00   ❤️ 1
    试试 vnc, 不行就工单要数据, 然后重装
    relsoul
        2
    relsoul  
       2023-10-30 11:22:35 +08:00   ❤️ 1
    标题即答案,赶紧备份+还原系统吧。
    sumarker
        3
    sumarker  
       2023-10-30 12:40:39 +08:00   ❤️ 1
    博客的话建议套一层 cf ,避免直接访问域名拿到 ip
    lysS
        4
    lysS  
       2023-10-30 13:46:51 +08:00   ❤️ 1
    @sumarker #3 套了 cf ,是不是国内访问不友好
    sumarker
        5
    sumarker  
       2023-10-30 13:48:56 +08:00   ❤️ 1
    @lysS #4 一般来说是不会的,除非你的机器是国内的...
    relsoul
        6
    relsoul  
       2023-10-30 15:01:37 +08:00   ❤️ 1
    @lysS cf business 用户 告诉你 会,针对国内访问不要套 cf 。不过 cf 的 waf 很屌,所以看你怎么取舍了。
    relsoul
        7
    relsoul  
       2023-10-30 15:05:57 +08:00   ❤️ 1
    启动后如何避免再次出现攻击行为?停止哪些服务?或者防火墙只允许 ssh 端口(以前一直是 ftp 方式连 ssh 端口传文件)?
    有什么排查的思路?(能不重装当然最好)
    ---
    之前一台 digitalocean 主机被 hack 的人告诉你
    1. mongodb ,redis ,mysql 当时部署在主机上,估计是对外网访问 并且是弱口令 从这层入侵的
    2. gogs,某些 php 代码 等 web 服务等 0day 导致的,这个得你自己排查
    3. 套 cf 可以解决一部分问题,但不完全
    4. 建议上 docker 部署 隔离
    5. 随机生成密码,不要自己想密码
    HangoX
        8
    HangoX  
       2023-10-30 15:38:41 +08:00   ❤️ 1
    可以接入 zerotier 网络,或者使用 tailscale 组建虚拟网络,然后只允许虚拟网络通过 ssh 登录服务器
    不过我之前都是直接改端口,不允许密码登录,基本没啥问题

    使用 docker 部署的时候不要暴露端口到公网上,很多软件有漏洞,如果自己需要远程访问,暴露咋 zerotier 或者 tailscale 上,比如 zerotier 上 ip 为 10.11.12.4 ,docker 上这样写 10.11.12.4:8080:8080 这样通过 10.11.12.4 能 直接访问,但是直接访问你公网的 ip 地址是不能访问,保证了本地连接服务的便携性,也杜绝了对外暴露端口。

    tailscale 会更简单,加入后能直接选择访问本地服务
    nxuu
        9
    nxuu  
       2023-10-30 19:57:37 +08:00   ❤️ 1
    如果是建站的话 用 frp 把服务器放本地是不是好处理一点。如果是 vpn 就当我没说。
    anUglyDog
        10
    anUglyDog  
       2023-10-30 21:33:01 +08:00   ❤️ 1
    同一台机器,为啥 web 站连不上了,但是 vpn 还是正常的。。
    slowhand
        11
    slowhand  
    OP
       2023-10-30 21:36:02 +08:00
    感谢大家的回复!
    我现在理解的是,我的服务器中了病毒后,对别人进行了攻击,然后被服务商停了。
    现在服务器里面还是原来的系统,但是现在是停止状态,我无法备份文件。
    短时间尝试运行了一下,确认可以用。但是害怕病毒再自动发起攻击,在被服务商停掉,就立即停止了。
    我的想法是,原系统运行后,先屏蔽除了 ssh 之外的端口,避免再因为病毒行为被服务商停掉,然后备份部分文件到本地,然后重装。
    是不是通过 iptable 之类的哪些设置,可以让病毒的攻击发不出去?仅保留 ssh 端口权限,以便备份文件?
    keegan
        12
    keegan  
       2023-10-30 21:39:28 +08:00   ❤️ 1
    A DoS attack was performed from this server 这么几个大字写着呢,评论区这么多人怎么还以为服务器是被 D 了?
    szdosar
        13
    szdosar  
       2023-10-31 10:13:28 +08:00   ❤️ 1
    hy2 ,不要把带宽放得太嗨,100 兆上下行就可够用了,否认容易被服务商误判为对别人发动攻击而被停机或限行。
    slowhand
        14
    slowhand  
    OP
       2023-10-31 11:03:50 +08:00
    看了 kiwivm 里面的日志和统计。貌似当时的流量也不多,出问题之前连续好几天的 cpu 使用倒是比平常多。
    日志里时间点,更登录时间与统计时间差了 15 小时( la 机房时差?)
    https://imgur.com/Ffld8Xt.png
    https://imgur.com/wG2xTzY.png
    如果是可能误判的话,决定抱着侥幸心理,继续跑起来原系统试试了。至少到年底前,还有 9 次被停机会。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5071 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:45 · PVG 17:45 · LAX 01:45 · JFK 04:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.