V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
sayid
V2EX  ›  Linux

树莓派有一个网络连接一直到 read.qidian.com

  •  
  •   sayid · 2018-08-19 09:43:22 +08:00 · 6256 次点击
    这是一个创建于 2048 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情是这样的:

    我用树莓派装了 SS 用来当作家里的 vpn 路由器,然后在远端服务器开启了记录功能,来记录通过 SS 与该服务器的所有连接。并且用端口转发开启了家里的 22 端口用来 ssh 远程连接。

    于是我去查服务器的网络连接情况,便出现了一直有 read.qidian.com:443 的连接,但是家中没有没有人会用这个网站,另外一个是 yunqi.qq.com 也是和起点是一家的一个阅读网站。同样也是没有人在用。网络连接的请求差不多是 30s 一次。我关掉树莓派的时候,该连接就停止。

    树莓派我装了一个 linux 系统。查了树莓派的进程情况,似乎一切正常。想知道这个连接请求,可能是发生在哪一处。

    下面是截图,我把自己的 ip 地址马赛克了。

    netconnect

    第 1 条附言  ·  2018-08-19 11:02:41 +08:00
    还有一个地址是 druid.if.qidian.com:80

    浏览器打开是这样

    ![if qidian]( https://i.loli.net/2018/08/19/5b78dcdbba658.png)
    第 2 条附言  ·  2018-08-19 11:55:42 +08:00
    第 3 条附言  ·  2018-08-19 12:16:08 +08:00
    接下来,将禁用路由器的端口转发功能,来进行测试看看,是否还有可疑的连接请求。
    第 4 条附言  ·  2018-08-19 12:25:20 +08:00
    关闭路由器上的 DMZ 主机 和 虚拟端口转发 之后,再进行测试,并无出现可疑连接。

    所以接下来的问题是:

    - 可疑是在哪一步产生的?
    - 如何防止别人这样的操作?
    第 5 条附言  ·  2018-08-20 09:33:07 +08:00
    更新一下今天一些新的请求:

    - 有百度
    - 还有一些政府网站

    具体如下:

    ![0820]( https://i.loli.net/2018/08/20/5b7a1a00e3ab2.png)
    第 6 条附言  ·  2018-08-21 08:17:58 +08:00
    今天继续观察了一下,连接的请求发起的顺序。

    主要是一个 俄罗斯 的 ip 开始持续的访问了之后

    5.188.210.12

    然后

    pingjs.qq.com:80

    接着便开始出现各种其他的连接请求了

    截图在这儿

    https://i.loli.net/2018/08/21/5b7b59bb5584d.png
    第 7 条附言  ·  2018-08-21 08:35:54 +08:00

    查了一下这个 ip 地址的信息,在 https://blackhat.directory 里面被报道了许多次。

    https://blackhat.directory/ip/5.188.210.12/2#comments

    主要的报道有

    Port scan detected by psad: src: 5.188.210.12 signature match: "BACKDOOR DoomJuice file upload attempt" (sid: 2375) tcp port: 3128
    
    Port scan detected by psad: src: 5.188.210.12 signature match: "POLICY HP JetDirect LCD communication attempt" (sid: 510) tcp port: 9000
    
    Port scan detected by psad: Nmap (Nmap -sT or -sS scan):
    
    第 8 条附言  ·  2018-08-21 08:56:02 +08:00
    另外一个连接是

    http://47.100.16.104http://47.100.16.104:16650/

    来自上海市 阿里云

    http://druid.if.qidian.com
    http://druid.if.qidian.com/Atom.axd/Api/User/LoginValidate

    然后这两个
    第 9 条附言  ·  2018-08-21 09:11:13 +08:00

    另外抓到的连接是

    http://captcha.qq.comhttp://captcha.qq.com/cap_union_prehandle?aid=1600000770&captype=7&protocol=https&clientype=1&disturblevel=1&apptype=1&noheader=1&color=3399FD&showtype=popup&fb=1&theme=&lang=2052&ua=TW96aWxsYS81LjAgKGlQYWQ7IENQVSBPUyA4XzFfMiBsaWtlIE1hYyBPUyBYKSBBcHBsZVdlYktpdC82MDAuMS40IChLSFRNTCwgbGlrZSBHZWNrbykgTW9iaWxlLzEyQjQ0MA%3D%3D&cap_cd=&uid=&callback=_aq_14604&sess=
    <--08-21 01:06:42-->  http://captcha.qq.comhttp://captcha.qq.com/cap_union_new_show?aid=1600000770&captype=7&protocol=https&clientype=1&disturblevel=1&apptype=1&noheader=1&color=3399FD&showtype=popup&fb=1&theme=&lang=2052&ua=TW96aWxsYS81LjAgKGlQYWQ7IENQVSBPUyA4XzFfMiBsaWtlIE1hYyBPUyBYKSBBcHBsZVdlYktpdC82MDAuMS40IChLSFRNTCwgbGlrZSBHZWNrbykgTW9iaWxlLzEyQjQ0MA%3D%3D&sess=kwjHdab3IJJHnOeyXYP_KzbuKXXuD8X7b6oZWyC9F6zZMWSOvVSpPQv8lBEuWJg0ZGZFDaliYUQrlcARzzxyMsjCZK2kcZEwoS7Cs_woQL9gTEZ2KtpuA8cgsvC_Yd8WmgeB_KYYaNkEl3EC2w4fIWveGZu6UUATRnOgAml9qXqAEKjpAwp4q7y7GjGzZp5WmLm9YBNgg74*&fwidth=400.000000&sid=6591974226323410075&uid=&cap_cd=&rnd=860018&forcestyle=undefined&wxLang=
    <--08-21 01:06:44-->  http://dj.captcha.qq.comhttp://dj.captcha.qq.com/tdc.js
    _show?aid=1600000770&captype=7&protocol=https&clientype=1&disturblevel=1&apptype=1&noheader=1&color=3399FD&showtype=popup&fb=1&theme=&lang=2052&ua=TW96aWxsYS81LjAgKGlQYWQ7IENQVSBPUyA4XzFfMiBsaWtlIE1hYyBPUyBYKSBBcHBsZVdlYktpdC82MDAuMS40IChLSFRNTCwgbGlrZSBHZWNrbykgTW9iaWxlLzEyQjQ0MA%3D%3D&sess=kwjHdab3IJJHnOeyXYP_KzbuKXXuD8X7b6oZWyC9F6zZMWSOvVSpPQv8lBEuWJg0ZGZFDaliYUQrlcARzzxyMsjCZK2kcZEwoS7Cs_woQL9gTEZ2KtpuA8cgsvC_Yd8WmgeB_KYYaNkEl3EC2w4fIWveGZu6UUATRnOgAml9qXqAEKjpAwp4q7y7GjGzZp5WmLm9YBNgg74*&fwidth=400.000000&sid=6591974226323410075&uid=&cap_cd=&rnd=860018&forcestyle=undefined&wxLang=
    <--08-21 01:06:44-->  http://dj.captcha.qq.comhttp://dj.captcha.qq.com/tdc.js
    
    33 条回复    2018-08-20 18:55:54 +08:00
    ionblue
        1
    ionblue  
       2018-08-19 09:55:44 +08:00
    1. 先查一下是哪个进程干的
    2. 如果进程无关的话,用个拦截软件检查一下手机 /电脑的软件
    3. 看一下是不是账号泄露

    4. 极偶然的,此前有明确证据表明国内很多软件存在探查网络的过程。
    sayid
        2
    sayid  
    OP
       2018-08-19 10:04:16 +08:00
    @ionblue 在做检查的时候已经断开了所有连接到树莓派的外部设备。所以树莓派是直接连接路由器的情况,并无其他外部设备有在连接。
    designer
        3
    designer  
       2018-08-19 10:28:48 +08:00 via iPhone
    持续关注
    iwtbauh
        4
    iwtbauh  
       2018-08-19 10:58:32 +08:00 via Android   ❤️ 3
    关掉代理,

    dig read.qidian.com

    看看他的 IP

    然后

    netstat -anp | grep ^tcp

    ESTABLISHED 和 time_wait 状态的

    找到是哪个进程在干坏事
    miyuki
        5
    miyuki  
       2018-08-19 11:37:17 +08:00
    druid.if.qidian.com:80

    这是起点 App 的 API 服务器啊,做爬虫,一看就知道了
    realpg
        6
    realpg  
       2018-08-19 11:38:40 +08:00
    @sayid #2
    先把你树莓派的内网 IP 改了再测
    miyuki
        7
    miyuki  
       2018-08-19 11:38:50 +08:00   ❤️ 1
    lihongming
        8
    lihongming  
       2018-08-19 11:39:47 +08:00 via iPhone
    不止起点,还有 reader.qq.com 呢。
    你这是自己开的爬虫?还是被当肉鸡了?
    Tarkky
        9
    Tarkky  
       2018-08-19 11:42:16 +08:00 via Android
    关注一下,看看楼主最后的结果
    sayid
        10
    sayid  
    OP
       2018-08-19 11:42:42 +08:00
    @lihongming 我没有做爬虫,我的树莓派只是用来当路由器用。应该是肉鸡了
    sayid
        11
    sayid  
    OP
       2018-08-19 12:02:17 +08:00
    @lihongming 我现在的疑惑是,如果是被当作肉鸡的跳板来进行爬虫的操作。是在哪一步呢,难道我的树莓派系统被黑了?如何验证呢?我对比了进程,没有找到可疑之处。
    lanwairen123
        12
    lanwairen123  
       2018-08-19 12:37:28 +08:00
    你没说明白你树莓派的具体作用,你树莓派里常规会有哪些流量,如果是作为 SS 来使家里所有设备透明出国的话可能是你被蹭网了,蹭网者使用这些阅读软件产生的这些流量。
    ylwweiwei
        13
    ylwweiwei  
       2018-08-19 12:40:16 +08:00
    树莓的 linux 是什么版本 从哪下的 ?
    sayid
        14
    sayid  
    OP
       2018-08-19 12:54:14 +08:00
    @lanwairen123 蹭网这个假设并不成立,我平时都是用 SOCKS Proxy 来进行连接,需要知道我的树莓派 ID 和 我开放的端口号,才能进行连接树莓派上外网的操作。

    我关闭路由器上的 22 端口转发之后,可疑连接消失了。
    vss80p585
        15
    vss80p585  
       2018-08-19 13:20:24 +08:00
    关注,必须关注
    keramist
        16
    keramist  
       2018-08-19 13:40:11 +08:00 via Android
    被当作跳板了 老老实实重装吧 debian 保平安 一样用
    nutting
        17
    nutting  
       2018-08-19 14:21:14 +08:00 via Android
    手机上的内置软件
    cchange
        18
    cchange  
       2018-08-19 15:23:39 +08:00 via iPhone
    没想到这么计算力差的设备也被黑了
    hyshuang2006
        19
    hyshuang2006  
       2018-08-19 16:37:15 +08:00
    楼主开了 iptables 了吗?查看 iptables 设定的规则是否有改变,定时任务里有没加料等。

    我用的树莓派就被黑过,当时用作测试、学习机,默认下 SSH 端口及允许 root 登陆都没有修改,结果被破解了密码,对方在 iptables 里添加了他自己的 IP。

    建议楼主温故下 linux ssh 等安全内容,由此可以加固自用设备的安全性。
    ww2000e
        20
    ww2000e  
       2018-08-19 17:06:26 +08:00 via Android
    家里面 ip 别人能访问?
    yzc27
        21
    yzc27  
       2018-08-19 18:42:44 +08:00 via iPhone
    我的树莓派也放在家做 vpn 服务器,不过不是 ss,而是 softether (忘了是不是这么拼),路由器也只转发了相应的 IPSec 和 OpenVPN 的端口。请问怎样才能更好确保我的内网及树莓派安全?
    nciyuan
        22
    nciyuan  
       2018-08-19 19:34:07 +08:00 via Android   ❤️ 2
    @yzc27 树莓派的 Raspbian 叫你改密码,你必须改密码,VNC 之类的服务要用不到就关闭,你能在路由器层关端口,就很不错了
    colinrat
        23
    colinrat  
       2018-08-19 19:42:38 +08:00 via Android
    有意思,关注
    gy911201
        24
    gy911201  
       2018-08-19 20:03:05 +08:00   ❤️ 1
    树莓派的默认密码要改完再上网………………
    我试过,默认密码的树莓派挂到公网后不到十分钟就被人扫到了……………………
    w0nglend
        25
    w0nglend  
       2018-08-19 20:10:25 +08:00 via Android
    内网穿透被拿下 22 端口了?
    hyshuang2006
        26
    hyshuang2006  
       2018-08-19 20:14:41 +08:00
    域名 qidian.com 的信息
    以下信息更新时间:2018-05-03 18:26:05 立即更新
    域名: qidian.com
    注册商: Xin Net Technology Corporation
    注册人: shanghaixuantingyulexinxikejiyouxiangongsi
    注册人邮箱: [email protected]
    注册日期: 2001-06-11T01:32:20Z
    到期日期: 2019-06-11T01:32:20Z
    更新日期: 2018-04-11T07:50:21Z

    --》域名 qidian.comyuewen.com 是同一家公司,小说类的网站。

    楼主的树莓派后面是不是接了 WIFI,然后手机上相关 APP 自动连接,所以树莓派上有相关链接显示,而不是树莓派被黑。也许是这样。
    xxgirl2
        27
    xxgirl2  
       2018-08-19 21:27:13 +08:00
    我在光猫下面会套上一层路由,根本不敢直接挂上去。万一哪天端口突然变成公网 IP 就危险了。
    sayid
        28
    sayid  
    OP
       2018-08-19 22:50:40 +08:00
    @hyshuang2006 树莓派是通过网线来进行连接路由器的,树莓派的固定 ip 在路由器中进行了 DMZ 主机隔离,但是之前还有做 22 端口的转发。平时无其他设备连接树莓派,只能通过 SOCKS Proxy 来连接树莓派进行上外网。平时连接树莓派是用 ssh 连上去的。现在我还没有想到好的测试方法是否被黑了,所以我就放着没有理会。等想到办法了我再去检验它。
    sayid
        29
    sayid  
    OP
       2018-08-19 22:52:28 +08:00
    @w0nglend 可能是,我把路由器的 DMZ 主机设置取消,端口转发也取消。就不会有任何异常连接。
    annielong
        30
    annielong  
       2018-08-20 09:25:50 +08:00
    楼主不看小说吧,这几个都是网文网站,起点,纵横
    sayid
        31
    sayid  
    OP
       2018-08-20 09:36:15 +08:00
    @annielong 今天新的请求,有各个政府部门的网站,我觉得得把树莓派关掉一阵子了
    skylancer
        32
    skylancer  
       2018-08-20 10:55:06 +08:00
    ...一点安全知识都不懂的卤煮
    醉的不行
    sayid
        33
    sayid  
    OP
       2018-08-20 18:55:54 +08:00
    @skylancer 求指点
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   992 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 20:05 · PVG 04:05 · LAX 13:05 · JFK 16:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.