服务突然不能用了,以为是应用服务挂了,登上服务器提供商发现服务器被黑了,报告说是被用来滥发大量垃圾邮件。。。被自动暂停运行了。。。
被黑的服务器情况:
我就装了一个服务,是 Github 那种开源的一键脚本,有两三千的 star 那种。具体哪个就不说了,因为我也没有审查过脚本。不能下确切的结论。
被黑的系统是 Debian 10,安装后没有配置任何防火墙,网络设置。
出现这个问题要么就是真的被黑了,要么就是我装的那个 Github 上的脚本有后门或漏洞。。。
没办法,按照提示重装系统,禁用密码登陆,使用密钥登陆看看。
自己写服务脚本是不可能的,换个更高 star 的一键脚本试试。。
后面如果再次被黑的话再来更新。。。
CTMD,重装了 CentOS 7 ,关闭密码登陆,几十分钟后再次被黑了,🤬,还是被用来发送垃圾邮件。。。
再次重载系统,这次用了 Debian 9。
搜了一下,有人和我一样,被黑用来发邮件。
有人评论说把邮件 SMTP 默认端口关了。
关键是我用的是密钥登陆,黑客怎么登陆的?还是说这个系统只要安装就会默认存在这个直接可以利用的邮件发送漏洞?
算了,不管漏洞怎么来的,干脆直接把端口禁掉,再禁用密码登陆,于是装了一个用起来比较简单的防火墙管理端口。
UFW 防火墙的基本使用。
UFW 防火墙的增删改查:
- 增加规则:
- 允许规则
ufw allow 8822/tcp - 不在允许之列的都是被禁止的.
- 可以明确禁止邮件的 25 端口!
ufw deny 25/tcp ufw deny 25/udp
- 查看规则:
ufw status numbered - 删除规则:
数字就是查看规则的返回的数据的前面的标号ufw delete 3别把自己拦在外面
添加规则首先就要把你的 SSH 端口加上!!!启用 UFW
返回状态是ufw enableactive就是激活了~
希望黑客大佬放过我的小主机吧😒
再搞几次的话服务器就被永久封了。。。
wdnmd,端口都禁了还能被黑?算了,就一直暂停算了。我是无能为力了。
找到问题所在了
首先,在笔记本上用没问题,一晚上也没有再次出现滥发邮件情况,无法复现。
在台式机上,软件的信息栏里,明显有大量的 smtp 转发流量,并且大部分来自远程 tcp:89.38.99.134 的转发,想了一下,再结合昨天有人提到,可能时本地软件遭到入侵,而且平时都是本地 tcp:127.0.0.1 的转发。
所以,问题来自一系列的巧合:我开启了软件的 “允许来自局域网的连接”,并且前几天正巧处于某个需要,台式机连接的路由器开了 端口转发与 UPDP,而且软件监听使用的是默认端口 1080,这一切导致被黑客扫到的概率增加,我还一度以为本地台式机器被黑了,还下载了卡巴斯基。。。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论。