终于找到了我的瓦工被拿去发邮件的原因

nisekoi · 发表于 2021-5-3 09:17:11

在服务端上纠结了几天。重装了几次系统。关SSH。关除了443以外所有端口。还是没用。最后唯一的可能性就是nginx有漏洞或者 v 出问题了。
然后我打开了v的日志。观察了几个小时。果然又被拿去发邮件了

向外连接了25端口。那么肯定是vmess被泄露了。但是客户端用的是自己编译的lean固件。可靠性还是很高的。
而且很多小鸡就瓦工的出问题。于是怀疑是不是别的厂没有滥发邮件主动封机的机制。然后开了日志。发现25端口出口被屏蔽了。发不出去。所以估计还是本地的问题。
最后突然想起来。一年前为了方便自己手机登电报，在软路由上开了个socks5的代理（偷懒直接用了SS*P自带的本地无加密），这样就算用流量也可以直接打开了。然后把服务用frp穿透到公网了。

因为用的是高位端口。所以至今才被扫到。别人连到我的ss5发邮件,路由器再转到瓦工。于是被封了

解决方法也很简单。装了个v的服务端。在本地开了个带密码的ss5

一晚了还活着。而且今后应该会一直活着。

hostloc8888 · 发表于 2021-5-3 09:56:22

我昨天说了两遍：你软路由开了未加密入口，并允许公网访问，被别人扫走了。
你就是不信啊。

taryn · 发表于 2021-5-3 09:19:23

所以，没有一个被封是无辜的

nisekoi · 发表于 2021-5-3 12:05:31

gyjys43043 发表于 2021-5-3 11:28
做排查的时候，最好开启详细日志。像你截图中的日志没有包含源IP地址，这样排查起来比较困难。如果你能看到 ...

开的info级别。。因为看到debug的介绍是只有开发人员能看懂的信息怕太杂了没开这档

gyjys43043 · 发表于 2021-5-3 11:28:10

做排查的时候，最好开启详细日志。像你截图中的日志没有包含源IP地址，这样排查起来比较困难。如果你能看到源IP来自你自己的软路由，这样就知道问题所在，接下来的排查会容易很多

lanjuli · 发表于 2021-5-3 10:07:44

我就说是不是你自己的问题

van · 发表于 2021-5-3 10:00:46

牛逼牛逼。。。

nisekoi · 发表于 2021-5-3 09:57:56

hostloc8888 发表于 2021-5-3 09:56
我昨天说了两遍：你软路由开了未加密入口，并允许公网访问，被别人扫走了。
你就是不信啊。 ...

当时没想起来FRP啊。我是内网IP。不信别人能连的进来

nisekoi · 发表于 2021-5-3 09:53:18

sqliuchang 发表于 2021-5-3 09:48
带密码也是裸奔，socks5验证信息也是明文传输

ss5连接到家里之后就是vmess+tls加密传输了。我SS5连省级路由节点都没过不可能被审查吧

sqliuchang · 发表于 2021-5-3 09:48:43

带密码也是裸奔，socks5验证信息也是明文传输

youxiajieke · 发表于 2021-5-3 09:45:53

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

youxiajieke youxiajieke 当前离线积分 2303	8^# 发表于 2021-5-3 09:45:53 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
youxiajieke youxiajieke 当前离线积分 2303
	回复支持反对举报

终于找到了我的瓦工被拿去发邮件的原因

浏览过的版块