"OpenVPN免流"所遇到的那些事

  • 内容
  • 评论
  • 相关

话不多说,先上几张图。

耻辱柱

QQ图片20160524001223 QQ图片20160524001215

QQ图片20160524001220

上面这几张图是我在TX云的学生鸡(没错,1M带宽的那个)在5月12号开始到今天下午(5/23)四点左右的数据。事情起因是因为我在10号左右的时候闲的无聊搭了一个OpenVPN免流,照着网上的配置(某某汪的配置文件,没用她的2进制文件)自己搭了squid+openvpn。当时测下来速度并不理想,速度只有60KB/S,于是就放弃了这个想法。

前几天尝试SSH登录TX云的时候一直没有反应,我还以为是我安全组出了问题,当时并没有考虑太多。直到今天练完车了我说还是上去看看吧,结果到VNC登录卡了半天。我就纳闷怎么回事儿。习惯性地ps -axmf加netstat -an,结果这一幕,也就是我在上面发的图,彻底吓呆我了。

服务器80端口并发2300个连接。QQ图片20160524001227

这他妈就比较尴尬了,想起之前搭免流的时候squid就是80,立马想到这他妈一定是透明代理没做验证被人扫了。然后马上动手service squid stop && apt-get remove squid3 openvpn,想尽快避免问题加重(万一别人拿我服务器当跳板就不好玩了

然后看了下squid的日志

QQ图片20160524001210

麻痹。。。你们这些人啊,到底是有多疯狂。。。我外网带宽就TM 1M,1M啊,你们至于嘛。。。

把之前停掉的nginx打开,然后情况才好了许多。然而因为80端口还开着,短短5分钟内,access.log就成了。。。。

QQ图片20160524001237

QQ图片20160524001244

最后就成了。。。。。

QQ图片20160524001232

(话说我是不是可以故意钓个鱼之类的 =。= 黑产第一步啊

然而再一次netstat的时候情况依然不容乐观,还是一堆的连接。。。。搞得我都无聊的开始看网速了。。。

QQ图片20160524001248

我说你们这是何必呢 =。= 12天跑了尼玛400G流量(外网120G左右),你们到底在做些什么啊喂,我TM才拿到鹅厂实习生,你们别让我刚进去就“小伙,你的服务器干了些啥坏事儿了?”(手滑

这尼玛透明代理不做验证简直就是找死啊。。。而且还这么不走运被人扫了(难不成有人一直盯着我2333333

然后一边折腾清掉透明代理一边做防火墙,最后搞得实在是尴尬了先去删掉了Nginx的80端口监听,结果这一堆的LAST_ACK搞得我这个强迫症看得很是不爽,干脆去安全组关了80.

世界一片清净。

所以呢,说了这么多,总的就是:

1.我服务器被滥用了,因为透明代理

2.透明代理存在的原因是因为免流

3.免流的配置文件是网上人尽皆知的XX汪的配置文件

那么问题来了,其实某种意义上免流这种东西本身就不应该公众大肆传播的(运营商自己知道这回事你自己低调用就够了,故意宣传出来的话肯定活不长),而偏偏这时候出来了一堆的配置教程和脚本

而且最主要的是:这些脚本都是出奇的一致,那就是squid没有任何验证,而且都是80端口

我不想讨论80端口对免流是不是有影响,但是一个配置文件发出来肯定要考虑其安全问题。既然开在一个常用端口却不作任何身份验证,等于把一个透明代理透明给全部人。你要是少数都还好。

问题就是这个脚本的用户太多了。

我不得不带恶意揣测一下动机呢,如果原作者是无意的,那么用户这么多了总归应该会有人注意到这个问题,我不相信用这个脚本的全部是小白。而现在的情况,不管原作者有意无意,实际上可以说,只要用了这套脚本的,等于是把裤子脱了等别人来艹。事实就是如此,就和我这TX云的学生鸡一样。这东西,80端口代理批量扫描的多了去了,两朵云的IP段扫一扫,说不定就是一堆。白来的资源啊有木有。

有人看了这个估计会喷我,说人家好心好意分享你却跑出来说三道四你行你自己搭之类的,我只想说一句:清者自清。

所以在最后我也就不想说多的了吧,你们自己做好squid的安全配置,这东西网上一搜一堆的就不需要我贴了吧。

至于所谓的一键脚本,我个人的观点还是那样,能自己动手就少一键。

 

评论

5条评论
  1. Gravatar 头像

    Mike Miao 回复

    《老陈是怎么翻车的》第二部,电影版隆重上映!5月23日,翻车启程!

  2. Gravatar 头像

    Yatotm 回复

    我也用的骚逼汪的一键脚本,用完发觉不对劲,然后重装系统手动搭建了免流 。不到半小时就遇到了"116.31.116.XXX"的暴力登录ssh ,并且squid的日志你懂得 ,2天没看25Mb的log。

    只能说清者自清吧
    对了你赶快看看ssh的登录失败记录吧2333

    grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

    • Gravatar 头像

      crazychen 回复

      @Yatotm SSH之前改了端口+KEY所以并无大碍,那段时间我还以为TX云本身机器不给力了,搞了半天是被拿来扫了。

  3. Gravatar 头像

    侯小帅 回复

    我用的也是骚逼汪,现在该如何关闭

发表评论

电子邮件地址不会被公开。 必填项已用*标注