首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

搭在搬瓦工上的 vps 被黑了,不停发邮件(╯°□°)╯︵ ┻━┻,求 iptables 配置

  •  
  •   xudshen · 2014-10-14 21:02:41 +08:00 · 13442 次点击
    这是一个创建于 1588 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现在配成这样了
    *filter

    # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
    -A INPUT -i lo -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT

    -A INPUT -d 127.0.0.0/8 -j REJECT
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # SSH, HTTP
    -A INPUT -p tcp -m multiport --dports 12345,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
    -A OUTPUT -p tcp -m multiport --dports 12345,80,443 -m state --state ESTABLISHED -j ACCEPT
    -A OUTPUT -p tcp -m multiport --sports 12345,80,443 -m state --state ESTABLISHED -j ACCEPT

    # PING(IN->OUT)
    -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
    -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

    # DNS
    -A OUTPUT -p udp --dport 53 -j ACCEPT

    # Dos
    -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

    # NO MAIL
    #-A OUTPUT -p tcp -m multiport --dports 25,26,465,109,110,995,143,218,220,993,24,50,57,158,209,587,1109 -j REJECT --reject-with tcp-reset
    #-A OUTPUT -p udp -m multiport --dports 25,26,465,109,110,995,143,218,220,993,24,50,57,158,209,587,1109 -j DROP


    # Drop all other inbound - default deny unless explicitly allowed policy
    -A INPUT -j DROP
    -A OUTPUT -j DROP
    -A FORWARD -j DROP
    # Log
    -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
    -A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

    COMMIT

    =============
    12345是ssh端口
    443是ss端口

    这样写可以嘛,,,
    第 1 条附言  ·  2014-10-31 19:43:16 +08:00
    # 修改后

    *filter

    # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
    -A INPUT -i lo -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT

    -A INPUT -d 127.0.0.0/8 -j REJECT
    # Allow input establish
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # HTTP / HTTPS
    -A INPUT -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
    -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

    # SSH
    -A INPUT -p tcp --dport 12345 -m state --state NEW,ESTABLISHED -j ACCEPT
    # SSH(this can not be state = NEW, since we only validate the source port)
    -A OUTPUT -p tcp --sport 12345 -m state --state ESTABLISHED -j ACCEPT

    # DNS(not need this rule, as we only accept the input with [ESTABLISHED,RELATED])
    #-A INPUT -p udp --dport 53 -j ACCEPT
    # DNS
    -A OUTPUT -p udp --dport 53 -j ACCEPT

    # PING(IN->OUT)
    -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
    -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

    # DDoS
    -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

    # Log
    -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
    -A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

    # Drop all other inbound - default deny unless explicitly allowed policy
    -A INPUT -j DROP
    -A OUTPUT -j DROP
    -A FORWARD -j DROP

    COMMIT
    25 回复  |  直到 2018-10-19 14:22:01 +08:00
        1
    wzxjohn   2014-10-14 21:06:28 +08:00 via iPhone
    先重装改密码然后再来谈这些。
        2
    xudshen   2014-10-14 21:14:57 +08:00
    @wzxjohn 已经改完了,,

    其实我原来就把密码登录和Root登录禁掉了,不知道为什么被黑了,心塞
        3
    zts1993   2014-10-14 21:24:36 +08:00
    原来不止我一个人
        4
    xudshen   2014-10-14 21:28:14 +08:00 via iPhone
    @zts1993 你今天也被黑了?
        5
    c   2014-10-14 21:29:13 +08:00
    @xudshen 都提供了那些服务,安装了那些程序呀?
        6
    xudshen   2014-10-14 21:30:52 +08:00 via iPhone
    @c 一个shadowsocks啊,其他木有了
        7
    hjc4869   2014-10-14 22:04:37 +08:00
    @xudshen 仔细检查shadowsocks的源码,看看是否存在注入漏洞。
        8
    seki   2014-10-14 22:17:55 +08:00
    搬瓦工随机的 ssh 端口和 root 密码,我现在自己都不知道自己的 root 密码是什么

    换用 ssh 密钥登录,然后装一个 fail2ban,把规则设置得严格一点
        9
    zts1993   2014-10-14 22:24:43 +08:00
    @xudshen 我也因为乱发邮件被停过,,我觉得是他们家自己在捣鬼。
        10
    anyfc   2014-10-14 22:44:39 +08:00
    以前也被黑过,后来改用ssh密钥登陆,禁用密码登录后就没有出过事了,目前为止
        11
    msg7086   2014-10-14 22:55:20 +08:00 via iPhone
    @xudshen 跑了哪些服务?

    另外,黑了以后重装了?
        12
    clino   2014-10-14 22:57:07 +08:00
    什么发行版? 怎么这么不安全阿...
        13
    c   2014-10-14 22:57:55 +08:00
    @xudshen 是你的shadowsocks被别人滥用了吧
        14
    xudshen   2014-10-14 23:05:17 +08:00 via iPhone
    @msg7086 一个ss,黑了之后重装了
        15
    yywudi   2014-10-14 23:08:56 +08:00
    不要用默认root密码
    任何一家VPS拿到手第一件事就是登陆上去passwd修改设置的默认密码
        16
    ooxxcc   2014-10-15 00:00:45 +08:00
    google arno-iptables-firewall
        17
    wwqgtxx   2014-10-15 00:05:20 +08:00 via Android
    ss不要以root权限运行,只用一个啥权限都没有的用户运行即可,也不要用bash运行ss,用csh/zsh之类的
    把stmp/bt端口直接封了,应该就没啥事了
    ssh没啥事都可以不开,这样总没事了吧
        18
    ilili   2014-10-15 11:00:10 +08:00 via Android
    楼主是怎么发现问题的?我在那上面两个vps,怕怕≥﹏≤
        19
    xudshen   2014-10-15 21:15:26 +08:00 via iPhone   ♥ 1
    @ilili 突然搬瓦工就不能用了啊,然后去KiviVM上就发现系统发的通知,说是滥发邮件vps被suspend掉了
        20
    npc0der   2015-01-29 09:43:52 +08:00
    我也是 好奇怪啊 之前在别家都好好的 我通过网络克隆过来的所有数据 今天也说我滥发邮件

    怎么都觉得是他们自己搞鬼。
        21
    npc0der   2015-01-29 09:47:56 +08:00
    我今天也被band 了 我觉得是他们自己搞鬼。 这个vps 系统之前在别处用的好好的 防火墙我都是开的 root 密码我也设置的复杂的

    linux 通过ssh root 密码破解被黑进去的可能性很低了吧!
        22
    npc0der   2015-01-29 09:56:23 +08:00
    额 收回前面的话 我想了下 我家里搭了一个代理 通过 这台服务器的 家里ip 绑定的是公网的 1080

    看了下 搬瓦工提供的邮件发送日志 搜索了下 家里的公网ip 找到了。 说明是别人扫到这个代理然后进行了发送。。。。误会搬瓦工了!
        23
    endoffight   2015-03-11 11:16:08 +08:00
    我以前给同事开了个ss,用的某一键安装脚本,其他软件都没有安装。

    结果去年被封了三次,和楼主一样。

    我也用过一次,结果被封一次。

    表示以后再也不会用一键安装包
        24
    w8665763   122 天前
    我的也被封了,和你的一模一样,没有任何违规的操作,也杀毒也封端口,最后还是不管用!现在被封 3 次也弃用了!!!
        25
    w8665763   122 天前
    @wwqgtxx 怎么让 ss 不以 root 权限运行
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4201 人在线   最高记录 4346   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 02:12 · PVG 10:12 · LAX 18:12 · JFK 21:12
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1