V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Sponsored by
二向箔安全
​一对一的线上 web 安全培训服务
咨询微信:twosecurityrefer
Promoted by 二向箔安全
V2EX  ›  云计算

以安全之名,威胁锁定主机还对原因秘而不宣

  •  
  •   Lax · 9 天前 · 2147 次点击
    好吧,其实已经锁定过一次了,没说出原因。
    昨天又接到个电话播放了一段长长的录音,威胁要在 12 月 7 号锁定。

    提工单,问不出任何有用的信息。
    23 回复  |  直到 2017-12-10 21:57:27 +08:00
        1
    janxin   9 天前
    啥名字?
        2
    f2f2f   9 天前   ♥ 9
    你这个帖子发的也秘而不宣
    哪家的主机
    你主机上跑了啥
    具体咋对你说的
    这几点你不也不说清楚,那大家鬼知道你的主机怎么了
        3
    SourceMan   9 天前
    @f2f2f #2 哈哈哈哈哈
        4
    Lax   9 天前
    售后工程师 : 您好,我们根据您的问题情况检查进度如下:
    [ 问题现象 ] 主机被锁定

    [ 处理意见 ] 已经操作解锁,请立即登录主机备份数据,然后操作初始化重置系统,再次被封禁将不予解封。

    ---

    售后工程师 : 您的实例存在僵尸网络控制机行为。也就是被黑客入侵做成了肉鸡对外进行攻击。
    您首先是重置,后面需要做好系统加固,尤其是安全组防火墙的访问限制和系统补丁的安装。

    ------

    售后工程师 : 您好
    非常抱歉,后端是通过网络扫描进行判断的。
    尚无法提供详细的日志。
    安全加固分为两个方面。
    系统层面可以参考下:
    https://help.aliyun.com/knowledge_detail/49809.html

    程序层面还需要您自行判断下是否存在漏洞或补丁需要升级。
        5
    xAx   9 天前
    这锅不背!
        6
    Lax   9 天前
    按照售后工程师指示“自行判断”,依旧听电话录音。
        7
    huangunic0rn   9 天前 via Android
    资瓷
        8
    dot   9 天前 via Android
    据说这年头开个 NTP 监听都能被当成攻击源,我一般开了机器后,一个是改成密钥登录,一个是停止除了 SSH 之外的监听服务,然后慢慢搞。
        9
    atcdef   9 天前
    我就举报过一个总用 rdp 协议穷举我 win 主机密码的阿里云的 ecs。有的人买了主机后不负责任,基本的防护也不做,给别人做肉机。
        10
    CannotGetPoint   9 天前
    华为云隔段时间就发一封这样的邮件,不鸟它也没见锁机
        11
    azh7138m   9 天前
    各类 vps 基本对滥用是不容忍的,包括变肉鸡之后的滥用,不少家的 tos 是写明了可以删你机器不退款的,阿里这个只是锁定吧,你还可以抢救一下。
    另外技术支持工单不是要钱的嘛,他们不说原因就可劲夯啊:)
        12
    ragnaroks   9 天前
    千万云现在居然开始查内网攻击了?
    我用的时候被 121.4 天天扫描,给客服反映说是正常行为(可见我以前发的帖子),后面无奈只好开几十台按量计费 dd 回去了.
        13
    zeyond   9 天前
    又是肉鸡
        14
    mytsing520   9 天前
    防止被滥用是基本准则
        15
    41547Caesar   9 天前
    电话录音传上来听听
        16
    Lax   9 天前
    @41547Caesar 没有录音。翻出一个后台通知,和电话内容一样

    ------

    僵尸木马风险,请限期处理

    2017-12-06 16:14:58
    尊敬的用户您好:
    您的以下 ECS 存在中木马的情况。黑客通过木马可以控制服务器,获取业务数据,也可以对其他客户的服务器进行攻击。请您尽快隔离或删除木马文件,并排查和修复系统或应用漏洞。
    请您于北京时间 2017 年 12 月 07 日 13 点前完成修改,届时若该木马仍然存在,我们将依据网安法对于网络运营者的一般安全要求,对您的服务器进行临时性屏蔽或关停。待您修复后,可随时通过工单或拨打客服热线 95187 联系我们进行验证并开启。


    类型 详情
    ECS XXXXXXXX ( IP )
        17
    fulvaz   9 天前
    处理不就完了
        18
    zjb861107   9 天前
    之前用搬瓦工,在家里设置了 cow 作为 ps4 的代理。然后 sony 就不停的给搬瓦工发信说存在攻击行为,累积 3 次之后给我封了,还好 vps 只剩最后一个月了。
        19
    gdtv   9 天前
    这个通知是告诉你你的机器中毒了,至于具体是什么毒以及怎么清除,你可以付费开通一个什么安全服务,你就知道了。当然你也可以不付费,自己排查。
        20
    a32b88z   9 天前
    没搞明白,怎么会有病毒或被黑的可能?
        21
    mytsing520   9 天前
    @a32b88z 现在都是批量扫机器,全球所有 IP 天天批量扫,扫到好玩的立马上
        22
    Lax   6 天前
    ***@***.com : 我们操作过之后没有发现异常。
    请帮忙确认下现在的扫描结果,状态是否已经安全?
    2017-12-07 12:09:36

    售后工程师 : 后端主机检测是检测到您的主机存在对应行为后会进行禁封的操作的,是没有办法手动检测的。
    主要您先针对您的主机做好程序数据备份,做好快照,然后初始化重置您的系统环境,之后重新搭建下您的环境配置,之后再做好安全加固的工作,避免再次存在类似的行为情况。
    2017-12-07 17:00:35
        23
    Lax   6 天前
    终于等来结果啦!

    ------
    售后工程师 : 您好
    主机当前运行正常,由于,之前存在异常,当前,建议备份数据后全盘初始化避免存在隐患。
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   848 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 53ms · UTC 00:32 · PVG 08:32 · LAX 16:32 · JFK 19:32
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1