全球主机交流论坛

标题: 终于找到了我的瓦工被拿去发邮件的原因 [打印本页]

作者: nisekoi 时间: 2021-5-3 09:17
标题: 终于找到了我的瓦工被拿去发邮件的原因
在服务端上纠结了几天。重装了几次系统。关SSH。关除了443以外所有端口。还是没用。最后唯一的可能性就是nginx有漏洞或者 v 出问题了。
然后我打开了v的日志。观察了几个小时。果然又被拿去发邮件了

向外连接了25端口。那么肯定是vmess被泄露了。但是客户端用的是自己编译的lean固件。可靠性还是很高的。
而且很多小鸡就瓦工的出问题。于是怀疑是不是别的厂没有滥发邮件主动封机的机制。然后开了日志。发现25端口出口被屏蔽了。发不出去。所以估计还是本地的问题。
最后突然想起来。一年前为了方便自己手机登电报，在软路由上开了个socks5的代理（偷懒直接用了SS*P自带的本地无加密），这样就算用流量也可以直接打开了。然后把服务用frp穿透到公网了。

因为用的是高位端口。所以至今才被扫到。别人连到我的ss5发邮件,路由器再转到瓦工。于是被封了

解决方法也很简单。装了个v的服务端。在本地开了个带密码的ss5

一晚了还活着。而且今后应该会一直活着。

作者: 淡定定定哥 时间: 2021-5-3 09:18
算是水落石出了（手动狗头

作者: taryn 时间: 2021-5-3 09:19
所以，没有一个被封是无辜的

作者: xixi3 时间: 2021-5-3 09:19
喜大普奔，破案了。

作者: 今晚不吃饭 时间: 2021-5-3 09:21
还是应了那句话别的为啥都没事就你的有事(滑稽

作者: nisekoi 时间: 2021-5-3 09:22

今晚不吃饭发表于 2021-5-3 09:21
还是应了那句话别的为啥都没事就你的有事(滑稽

用了一年多。现在才出问题

谁能立马想到是本地的问题啊。于是在VPS上折腾了好几天

作者: 大侠饶命 时间: 2021-5-3 09:41

能查到问题所在也是挺好了

作者: youxiajieke 时间: 2021-5-3 09:45
提示: 作者被禁止或删除内容自动屏蔽

作者: sqliuchang 时间: 2021-5-3 09:48
带密码也是裸奔，socks5验证信息也是明文传输

作者: nisekoi 时间: 2021-5-3 09:53

sqliuchang 发表于 2021-5-3 09:48
带密码也是裸奔，socks5验证信息也是明文传输

ss5连接到家里之后就是vmess+tls加密传输了。我SS5连省级路由节点都没过不可能被审查吧

作者: hostloc8888 时间: 2021-5-3 09:56
我昨天说了两遍：你软路由开了未加密入口，并允许公网访问，被别人扫走了。
你就是不信啊。

作者: nisekoi 时间: 2021-5-3 09:57

hostloc8888 发表于 2021-5-3 09:56
我昨天说了两遍：你软路由开了未加密入口，并允许公网访问，被别人扫走了。
你就是不信啊。 ...

当时没想起来FRP啊。我是内网IP。不信别人能连的进来

作者: van 时间: 2021-5-3 10:00
牛逼牛逼。。。

作者: lanjuli 时间: 2021-5-3 10:07
我就说是不是你自己的问题

作者: gyjys43043 时间: 2021-5-3 11:28
做排查的时候，最好开启详细日志。像你截图中的日志没有包含源IP地址，这样排查起来比较困难。如果你能看到源IP来自你自己的软路由，这样就知道问题所在，接下来的排查会容易很多

作者: nisekoi 时间: 2021-5-3 12:05

gyjys43043 发表于 2021-5-3 11:28
做排查的时候，最好开启详细日志。像你截图中的日志没有包含源IP地址，这样排查起来比较困难。如果你能看到 ...

开的info级别。。因为看到debug的介绍是只有开发人员能看懂的信息怕太杂了没开这档

欢迎光临全球主机交流论坛 (https://www.iloc.eu.org/)