V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
hubayi
V2EX  ›  VPS

搬瓦工疑似被黑,因为滥发邮件被停用。

  •  
  •   hubayi · 179 天前 · 2045 次点击
    这是一个创建于 179 天前的主题,其中的信息可能已经有所发展或是发生改变。

    重装系统无效,禁用 25 端口也没用,这是什么原因?

    24 条回复    2022-08-11 17:33:31 +08:00
    Tink
        1
    Tink  
       179 天前
    重装系统也无效??
    hubayi
        2
    hubayi  
    OP
       179 天前
    搬瓦工提示:We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam.
    hubayi
        3
    hubayi  
    OP
       179 天前
    @Tink 难道是脚本有问题?
    lujjjh
        4
    lujjjh  
       179 天前
    猜测你是用来搭梯子的。可能是某个客户端的问题,发垃圾邮件的时候恰好走了代理。

    不知道你“禁用 25 端口”具体是怎么操作的,确保禁用的是 outgoing 的方向,最好把 587 也禁掉,操作正确是可行的。然后就是看日志找出罪魁祸首了。
    hubayi
        5
    hubayi  
    OP
       179 天前
    @lujjjh
    iptables -I FORWARD -p tcp --dport 25 -j DROP
    iptables -I INPUT -p tcp --dport 25 -j DROP
    iptables -I OUTPUT -p tcp --dport 25 -j DROP
    xinbaqiu
        6
    xinbaqiu  
       179 天前 via iPhone
    @hubayi #3 重装系统不是在控制台直接操作的吗
    hubayi
        7
    hubayi  
    OP
       179 天前
    @xinbaqiu install new os 不是重装系统吗?
    lujjjh
        8
    lujjjh  
       179 天前
    加入规则后可以用 nc 确认一下是否生效,比如:

    $ nc -vz smtp-relay.gmail.com 25

    如果依旧连得上,可能是被更高优先级的规则 ACCEPT 了;如果确实连不上了,那只可能是走了其它端口。
    la9998372
        9
    la9998372  
       179 天前
    我觉着四楼说的很对,你查查你客户端。我之前也遇到过这种问题,后来发现是我国内有个中转服务器 1080 端口误开了
    hubayi
        10
    hubayi  
    OP
       179 天前
    @lujjjh 25 和 587 一起禁用了,提示 DNS fwd/rev mismatch: smtp-relay.gmail.com != dd-in-f28.1e100.net ,代表什么意思?
    hubayi
        11
    hubayi  
    OP
       179 天前
    @la9998372 一般是哪些客户端?搬瓦工提示意大利 ip 通过 587 端口发邮件。
    lujjjh
        12
    lujjjh  
       179 天前
    不清楚为什么会有这个提示,你可以换成任意 SMTP 服务器测试,比如 smtp.qq.com ,一直卡着没有提示说明连接不上。

    如果服务器是用来搭代理的,重装之后问题依旧,大概率是我上面说的问题,需要排查一下自己连接到服务器的设备有没有问题,以及代理是不是用的弱密码被扫到了;如果服务器不是提供代理服务的,情况就比较复杂了,得看你具体跑了什么。
    hubayi
        13
    hubayi  
    OP
       179 天前
    @lujjjh 怎么禁用 25 和 587 端口,修改完怎么生效呢?重装 2 次了,依然被封。
    Kaiyuan
        14
    Kaiyuan  
       179 天前
    某个客户端问题,不是服务器问题,我试过很多次,后来排查是本地某台安卓手机。
    hubayi
        15
    hubayi  
    OP
       179 天前
    @Kaiyuan 哪个客户端啊?还剩三次机会。
    ruixue
        16
    ruixue  
       179 天前
    如果用这个 vps 搭了梯子,重新换一个配置吧,暂时不要共享给其他人。如果用了什么一键脚本也都先别用了,自己手动配置
    ZRS
        17
    ZRS  
       179 天前 via iPhone
    查你的客户端
    sola97
        18
    sola97  
       179 天前 via Android
    看到过 openwrt 内置的 ssrplus 可能有木马导致,我也是 iptables 禁端口了
    hubayi
        20
    hubayi  
    OP
       179 天前
    @sola97 兄弟,就是 openwrt 内置的 ssrplus 导致的,这是编译者的问题还是 ssrplus 的问题?
    wujinyi
        21
    wujinyi  
       178 天前
    应该就是最近的事吧,我的瓦工一直只挂了梯子在 ax86u 的梅林固件上跑,一年多了没事,然后上周收到滥用扣分的邮件,我还以为被黑了,重新安装 debian 重新跑没几天又挂了。 刚按 19 楼那个帖子把那几个端口都禁用了,看看有效没有。
    hubayi
        22
    hubayi  
    OP
       178 天前
    @wujinyi 你有没有用 ssrplus?
    wujinyi
        23
    wujinyi  
       178 天前 via iPhone
    @hubayi 梅林固件里的科学插件 可能是某个客户端连路由弄的吧
    utopiafar
        24
    utopiafar  
       3 天前
    koolshare 的 ss 会默认开个 socks5 端口,请务必检查下这个端口有没有暴露到公网上。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3322 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 04:43 · PVG 12:43 · LAX 21:43 · JFK 00:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.