各位大佬服务器被攻击咋解决啊

安全组或者防火墙里只开放几个端口，用不到的一律关掉

@512357301 没什么用，他现在是流量攻击，我服务器根本没办法正常访问。昨晚 19 点持续到刚刚，出口带宽都被拉满在

关服

先断网再备份数据，换端口

不是很懂，流量转发到银行之类的网站能行吗
服务器被黑了

打 400 也解决不了，咋整啊 现在惊奇的发现跟服务器失联了

封 ip ？

云服务器安全组 /防火墙设置黑白名单，包括 nps 通信端口和公网访问端口。

- nps 通信端口：白名单
你家的宽带即使没有公网 IP ，实际出口 IP 段也不会变化太大。实际观察几周，例如 123.123.***.***，就在安全组设置仅允许 123.123.0.0/16 访问，依此类推，尽可能减少攻击面。会有人扫 nps 端口尝试穿透回你家局域网，密钥要够长且定期更换。

- 公网访问端口：黑名单
由于你需要在公网访问，可采取黑名单方式。如遇扫描，可查询对方 IP 的 ASN 号，必要时 block 掉这个 ASN 下面所有 IP-CIDR 。如果属于 IDC 机房，可向对应的服务商提交被攻击日志，查实后攻击者 /肉鸡会被停机（亲测有效）

此外不建议 NAS 上使用管理员账户从外网访问敏感服务，如确有需要可为外网访问单独创建一个账户，只授权平时出门在外可能需要使用的资源。

查了半天，查到了被攻击的端口了 5000
接下来咋整？换端口号？？？？

@abczise 先确定只是单纯被人扫到端口，还是 SSH 被人登录了，看看 /var/log/secure 里面也没有奇怪的 IP 。确定没有其他人登录你服务器后，SSH 改高位端口、禁用密码登录、改用密钥、在安全组仅允许你常用 IP 访问 SSH 端口。

也不建议直接 5000/5001 暴露在公网，改个高位

弄个反向代理？你被攻击的机器设置白名单，只允许反向代理访问

关注一下。请问 lz 服务器做了哪些防护？

@dLvsYgJ8fiP8TGYU 对应端口号的服务器上只记录了个 SSH 端口被人跑字典。因为走 NPS 的 查不到对方 IP 哎~
目前没发现有数据丢失，不过，路由记录该服务器上行，下行分别走了一百多 GB ，然而昨晚一半多都不是我用的
磁盘访问记录也没，难受 都不知道那些数据被拷走了

目前 5000 端口还被攻击着，一打开带宽就 100%
打腾讯电话，给推荐了个安防专业版最低 80 一个月，哎~~

@abczise 你是说 NAS 上的 SSH 也做了穿透，然后也被人字典了？ nps 服务端可以看到对方真实 IP 的，登陆云服务器去看日志。NAS 文件访问日志应该是能看到的，除非对方成功登陆你 NAS 并删除日志。先停止穿透服务，排查受影响范围

@xinghen57 啥都没做。因为自用，可以说这个服务器 IP 除了腾讯，就我一个人知道。倒是有解析 2 个域名。用的是 cloudflare ，没启用 DNS 代理，两个域名也是我自己知道。

@dLvsYgJ8fiP8TGYU 是的。感谢 我去看看日志

限制固定 IP 访问，应该可以吧

fail2ban

知道你 IP/域名的绝不止 IDC 和你自己两个，你的 ISP 、甚至你公司的网管通过 SNI 总能知道你的域名吧？

有很多 bot 随时都在遍历扫描全球所有 ipv4 地址，像 SSH 22 、NAS 5000/5001 这些默认端口都是重点照顾对象，暴露在公网就要做好被字典的心理准备。

讲究一点套一层隧道协议，代价就是不能直接在任意设备用 IP/域名:端口号 来访问
@abczise

@abczise
腾讯没必要自己攻击自己，就为了收你 80 元 /月的安全防护费。攻击的成本都不止这个价。

全网扫的机器人太多了，买一台服务器，初始化后啥也不动，一周后上去看日志，全是扫的。

所以还是要做安全防护的，比如端口能封的封，默认端口能改的改。