首页 随笔 乐走天涯 程序资料 评论中心 Tag 论坛 其他资源 搜索 消息中心 联系我 关于 RSS

人黑人,黑死魂:差点被长城宽带吓死


日期: 2016-05-02 18:17 | 联系我 | 关注我: Google+ | Twitter | 新浪微博

  我在阿里云上有 N 台 VPS 服务器(ECS),一直用 WinSCP 做批量的单向数据同步更新。今天改了些代码后运行同步。因为要同步的服务器比较多,加上桌面上其他的要处理任务也不少,我将同步进程启动后就没关注它了,——以前也一直这么处理的。

  不料,没多久,手机突然收到 N条来自阿里云的如下报警短信:

【阿里云】尊敬的用户:您的服务器 101.xxx.xxx.xxx 在吉安市(202.10.xxx.xxx)处登录,很有可能已被黑客成功入侵,您可登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。
手机截图 :阿里云的预警短信
图片: 手机截图 :阿里云的预警短信

  我家有好几根不同运营商的宽带。工作电脑以电信 ADSL 为主。由于今天电信的线路不稳定时断时续,所以一早就切换到了长宽。收到报警短信后,我登录到长宽的路由器上看了一下分配的IP,不是报警中存在的 IP。当然我之前有过一些了解,长宽分配的终端 IP 并不是真正的公网 IP。于是用 ip138 和 GEO IP View 分别查了一下公网IP,显示也不是短信通知中的这两个。难道 ECS 真被入侵了?

  就在我正在排查 LOG 的时候,又接连收到了五六条短信预警,其他的 ECS 也被异常 IP 登录,每次 IP 都天南海北不一样,例如景德镇、佛山、青岛等。查看同步进程,发现报警的正是刚刚正在同步的 ECS。既然这些 IP 并不是长宽的公网 IP,莫非我机器已经中了木马,或者 WinSCP 已经被污染,或者已被劫持旁路攻击,导致每一次同步连接时,登录信息被窃取外泄?我自认一向对防护做得比较到位,上午还在好为人师地给老聂 blalala 讲一些基本防护措施,没想到这么快,就被啪啪啪打脸了?

  还好通过排查 Log,发现阿里云报警的 IP 登录时间差不多正是同步进程登录的时间,而除此之外,并没有其他 IP。于是我怀疑,难道是长宽每一次连接阿里云 ECS 时,分配的公网IP都是不一样的?然后我单独开了一个 SSH 窗口,进行登录测试,发现果真如此。

  搜索查询了一下,看到有人在 知乎上讲,长宽用户每次访问不同的网络资源会走不同的出口:

匿名用户 2015-11-26:

  (长宽就是)一个大局域网,长城宽带用户没有公网 IP,访问不同的网络资源会走不同的出口,http://ip.cn和http://ip138.com显示你的IP会是不同的,这样的分配会造成非常多的故障,经常性的丢包……

  原来是自己虚惊一场。但用长沙话来说:人黑人,黑死魂[注 1]啊!差点被长宽吓死了。

  [注1] 黑,长沙话中“吓”的意思。例如有一句长沙歇后语:非洲人跳高,——黑老子一跳。

其他相关文章

标签: 安全 | 数据同步 | SSH | VPS

 文章评论

第 1 楼  发表于 2016-05-03 10:54 | 程客-唐聪 的所有评论
哈哈哈! 还好不是夜半惊魂。

第 2 楼  发表于 2016-05-03 18:44 | 勤奋的小猪宝宝 的所有评论
我家原来用过长城宽带

共有评论 2 条, 显示 2 条。

发表你的评论
如果你想针对此文发表评论, 请填写下列表单:
姓名: * 必填 (Twitter 用户可输入以 @ 开头的用户名, Steemit 用户可输入 @@ 开头的用户名)
E-mail: 可选 (不会被公开。如果我回复了你的评论,你将会收到邮件通知)
网站 / Blog: 可选
反垃圾广告: 为了防止广告机器人自动发贴, 请计算下列表达式的值:
8 x 5 + 5 = * 必填
评论内容:
* 必填
你可以使用下列标签修饰文字:
[b] 文字 [/b]: 加粗文字
[quote] 文字 [/quote]: 引用文字

 
首页 随笔 乐走天涯 猎户星 Google Earth 程序资料 程序生活 评论 Tag 论坛 资源 搜索 联系 关于 隐私声明 版权声明 订阅邮件

程序员小辉 建站于 1997 ◇ 做一名最好的开发者是我不变的理想。
Copyright © XiaoHui.com; 保留所有权利。