腾讯云太恶心了，非常不安全

2023-01-15 23:31:16 +08:00

dizzylight

买了一个腾讯 ec2 服务器部署了 frp 作为中转间接可以外网访问家庭主机的一些服务。接到腾讯短信提醒：

腾讯云] 尊敬的腾讯云用户，您好！您的腾讯云账号（账号 ID：100001xxxxxx ，昵称：100001xxxxxx ）下的服务器：10.0.x.x [Ubuntu-DqgQ]，实例 ID：lhins-krgdgxxx ，地域：华东地区 (上海)，时间：2023-01-14 13:03:25(GMT+8:00)，检测到存在待处理的恶意文件：/home/ubuntu/.local/FRP/frp_0.44.0_linux_amd64/frps ，威胁等级：严重，您的服务器疑似被黑客入侵，建议您及时确认，避免造成严重损失，请前往主机安全（ https://mc.tencent.com/xxxxx ）查看详细信息。

打着安全名义在不经过客户同意下随意扫描文件，不知道是否只是腾讯云这么干，估计阿里华为更差（亚马逊就没有这些破事儿），基本上裸奔了没有任何隐私性，建议大家千万不要把重要敏感的东西放到云上。

18275 次点击

所在节点

信息安全

126 条回复

ZoeeoZ

2023-01-16 09:20:19 +08:00

@hello2090 你真搞笑,你的什么信息在服务器看不到?

DosLee

2023-01-16 09:20:32 +08:00

我前几天上传了一个 demo 到腾讯云上，昨天收到短信说您的服务器有一个 log4j 漏洞，当时我就觉得难道不定时全盘扫描文件了？！

hello2090

2023-01-16 09:23:18 +08:00

@ZoeeoZ 那公有云这个概念里的公有就是你的文件云厂商可以随便看的意思吗？

Seanfuck

2023-01-16 09:24:12 +08:00

我也是腾讯云轻量，装了 frps 没问题，是可能有挂马版本的 frp

kissice

2023-01-16 09:32:21 +08:00

自己重装个纯净系统基本上就没这事了，疼讯自带系统有监控进程的很正常

maggch97

2023-01-16 09:36:19 +08:00

@h0099 你搞笑吗？理论上世界上所有密码都能破解，胡搅蛮缠真有意思

h0099

2023-01-16 09:41:25 +08:00

#43 @hello2090 别来回复制粘贴通过反问反讽了，我已经说了如果您的数据在服务商那里只读或只写，那您完全可以给他公钥 /他给您私钥来保证安全性，但现实中很少有这种场景
所以才会有各种把厂商的技术栈放在自己机房里自部署的政企私有云，严格限制部署区域和用户量 aws/azure govcloud ，以及保密行业连自部署厂商现成的技术栈都不敢用

dfkjgklfdjg

2023-01-16 09:42:09 +08:00

和家长心态有关系，因为可能会有问题会给你造成损失，所以给你默认安装了一些“安全软件”，其实都不用管用户爱怎么完就怎么玩，造成了损失就是用户自己的事情。
但是因为这个家长心态的缘故，不管是厂商还是用户，都会觉得服务商应该提供对应的“保护”。或者会要求厂商提供赔偿因为我在你家买了服务，但是被攻击或者其他情况造成了我的损失，你们作为服务商应该负责。

所以在其实应该上来就 DD 完了自己配置好服务和端口。

-----
另外说“是不是可以随便看的”，你安装一个 XX 杀软之后下载的小黄油被杀软直接杀掉了，也可以说 XX 公司随便看你的系统和文件了。只能说被害妄想症有点严重，你的文件和其他人的文件没什么区别。不想被“扫”就把相关的服务卸载掉就行了。

stoneabc

2023-01-16 09:44:59 +08:00

@hello2090 你把默认的主机安全之类的服务关了，就不能随便看了。

h0099

2023-01-16 09:49:40 +08:00

#46 @maggch97 但阁下需要超过宇宙已经存在的寿命（ 137 亿年）的时间才能积累出足够的算力以破解目前常用的对称加密之 4096 位的 AES-256
而密码学家们对于量子计算机带来的幻影威胁早已提出了一系列冠以后量子密码的更先进的算法，但事实是目前的量子位数量还没有发展到能够在可接受的时间内（哪怕跑几十年）直接解密目前常用的算法加密结构
而如果阁下通过传统计算方式就能实现解密任何加密算法，那您可能需要先证明`P=NP`

而我也可以可以假定阁下可能连何谓可计算性问题和 NP hard/complete 等词汇都不知道

建议先复习理论知识
https://en.wikipedia.org/wiki/P_versus_NP_problem
https://en.wikipedia.org/wiki/NP-hardness
https://en.wikipedia.org/wiki/Computational_complexity_theory

neilxu

2023-01-16 09:49:50 +08:00

我三年的阿里云刚到期，frp 没啥问题

qbuer

2023-01-16 09:53:54 +08:00

我是用 openvpn3 来做内网访问的，腾讯轻量云，用了大半年了

hello2090

2023-01-16 09:54:41 +08:00

@h0099 我这算反问？我的问题是公有云里的公有是否意味着云厂商可以合法合理的查看你的所有文件啊。这算啥反问？

hello2090

2023-01-16 09:56:38 +08:00

@maggch97 我哪里提到密码破解了？

mysalt

2023-01-16 10:01:37 +08:00

我之前用腾讯轻量云的 frps 倒是没问题，不过我是把它当作一个正常的 systemd 服务来跑的。后来它续费太贵了，就转用阿里云了。

janus77

2023-01-16 10:02:55 +08:00

是这样的，虽然我也觉得很恶心，但是你回头去翻翻注册的用户协议，说不定他还真写了“我可以随便扫你的文件”，而你正好点了同意。所以你最多也只能从道德层面谴责一下，剩下的除了换服务商没有任何办法。

h0099

2023-01-16 10:05:10 +08:00

#53 @hello2090 我说了这么多但阁下在#32 里只想得到二极管的回答，实际上您想都不用想也能自己得出`是`的结果，那阁下不就是为了反讽而一直追问？
我的评价是：没必要在这种地方试图叫醒装睡的人，真睡着了的人是不会听您的跑去学习背景知识而是只做复读二极管的
#53 他应该是在回我#37 对您的回复

h0099

2023-01-16 10:05:28 +08:00

typo：第二个#53 换成#54

allence

2023-01-16 10:05:37 +08:00

因域名不是国内运营商注册，给我的备案取消了，备案半个月，注销 20 秒

crazyMan233

2023-01-16 10:07:04 +08:00

为什么这么信任亚马逊？也许它也干过只是不告诉你?

第 3 页／共 7 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/909154

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.