这是一个创建于 292 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因:云机器的 ipv6 分配了但不通,尝试了重做系统,就联系客服处理,对方要求 root 密码或者给予临时权限。于是我就把密码改成相对简单的密码。没过多久流量就耗尽了。大概半个小时 300 多 G 流量吧。
经过:再次联系客服,反馈情况,我以为是系统 bug 。客服反馈流量耗尽,付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑,密码不能太简单。
结果与思考:付费增加 100G 流量,等待系统重置。
留下两个疑问:
1.公网设备 root 密码这么容易爆破么?
2.增加流量的同时必须重置系统的原因是什么?
经过:再次联系客服,反馈情况,我以为是系统 bug 。客服反馈流量耗尽,付费增加流量后必须重置系统。同时提醒我网络不是家里的电脑,密码不能太简单。
结果与思考:付费增加 100G 流量,等待系统重置。
留下两个疑问:
1.公网设备 root 密码这么容易爆破么?
2.增加流量的同时必须重置系统的原因是什么?
 | 1 aru 292 天前  1 1. 是的。开在公网可访问的 ssh 服务器每天基本都会接受几万次或更多的简单密码登录尝试 2. 机器被入侵同时会安装各种隐藏的木马,很难清理干净。重置系统的要求合理 |
 | 2 aladd 292 天前 真好,甚至你都没怀疑过是对面的问题,一直在自查。 大小 VPS 也买过不少,闻所未闻。 半小时 300G~嗯!呵呵~ 3.能退款换一家吗? |
 | 3 iseki 292 天前 via Android 空载半小时 300G ,很离谱。 |
| 4 aladd 292 天前 忽然想到了在 MJJ 论坛看到的,你是不是买了一些野鸡商家,或者有点知名度的 oneman 商家,然后它家恰好此时正在被 D 啊? 因为我以前有注意到那个论坛里有很多人发帖,买的 VPS 开机后什么也没敢,一段时间后就提示流量没有了。 楼里的回复均是:无解,关机保平安。 |
 | 7 dream0689 OP @aru 感谢,只是当时没想到临时密码也可以设置复杂点,反正对方也就是 ctrl+c/v 。往后要吸取教训了。 |
 | 8 MossFox 292 天前 看样子还没意识到重点, 这里需要总结到的不是流量耗得快慢, 是你的机器已经被扫公网的恶意程序不知道植入多少东西了。这种时候别说重置这台设备,假如有内网互联的其他弱密码机器或者服务,这种时候都要检查一遍。 常用密码都是弱密码的话,公网机器建议关掉密码登录后换成密钥登录。 |
| 9 dream0689 OP @iseki 解决问题的回复没等到,却看到流量耗尽,机器停服了,一开始就以为是对方故障或者系统 bug 。对方没有正面回答我的质疑。我也不纠结,就想着先看加流量能不能恢复服务,后续还有问题就停用这家了。停服后,就启用备用线路了。 |
 | 11 Ggmusic 292 天前 via iPhone 不要回答,不要回答,不要回答。ping ,关闭所有端口,ssh 不要用 22 或者 xx22 ,关闭 ipv4 的 80 ,443 ,只用 ipv6 。 启用 knock 端口,比如先连 12012 端口,再连 11021 端口之后,才放通这个客户端对 ssh 端口的访问权限,这种机制 nftables 原生就支持。否则只能关机保平安。 |
 | 12 v1 292 天前 1 直接 ip 白名单,除了 cloudflare 之外的全部抛弃,vps 都有 vnc ,想 ssh 的时候 vnc 上去给自己的 ip 临时加白 |
 | 13 flynaj 292 天前 via Android 网络爆破后全带宽对外 ddos 才能用这么多 |
 | 14 BadReese 292 天前 有可能是连接 mysql 填的公网地址 |
 | 15 beyondstars 292 天前 感觉不是很正规,可能是 oneman ,重做系统跟 root 密码或特权账户有何关系…… 我理解应该只是把操作系统镜像刷入到虚拟机的磁盘。 另外平台方面要对你的运行中的实例进行操作,一般不是通过官方的 agent 之类的方式吗(就是那种官方的在你的实例上运行的特权守护进程)。 |
| 16 dream0689 OP @beyondstars 反馈过来是密码太简单被爆破入侵了,跑了一些东西在里边。要 root 密码是处理分配的 ipv6 地址不能使用的问题。 |
 | 17 nzbstn 291 天前 @Ggmusic #11 我有个问题: 关闭 v4 仅使用 v6 的情况下, 一般是不会产生额外的流量, 是因为 v6 地址太多 or 足够复杂, 一般扫描类无法命中目标吗 如果使用 knock 的话, 比如我部署一个 server, 客户端和服务端需要心跳保持通讯, 这种情况是不能使用 knock, 优先使用 v6+端口呗 |
| 18 dream0689 OP |
| 19 dream0689 OP |
| 20 Ggmusic 291 天前 via iPhone @nzbstn knocking 的参考 https://home.regit.org/2017/07/nftables-port-knocking/。如果客户端是固定的,也不需要敲门了,直接白名单。 例子中 Client_SSH_IPv4 里是没配 timeout 值的,这就意味着如果你敲门一次成功,IP 就永久加入 set 里,只有手工重置 nftables 的规则,或者重启机器才会被清空,对心跳无影响。IPv6 的地址只要你不主动暴露,应该不会扫到端口,扫到一个机器的代价比 v4 高多了。knocking 或者 v6 可以比较有效抵御被 D ,尤其是一些流量双向计费的机器,只要你端口开着,持续不断刷,总能耗光你的流量。op 这种已经沦为肉鸡的那是极端的场景了。 |
 | 22 jousca 290 天前 主要是 SSH 必须强口令,建议使用 SSH KEY 方式。或者拿到机器第一时间就把 SSH 端口修改掉。原来的 22 不能用。不然每天能看到上万次的破解。 |
 | 25 zxbiao 283 天前 fail2ban 你值得拥有 |
Select Language