BandwagonHost 服务器被黑事件

Published:

: 2021/03/12

搬瓦工服务器控制面板传来噩耗,由于我的服务器疯狂发送 Spam 邮件,被强制 shutdown 了 —— 第一反应是服务器被黑了!

Bandwagonhost

遇到这样的情况,不着急重装系统,而是找找线索,排查下原因,总结些经验。 但是我这边一开机,服务器可能又会不停地发 Spam 邮件,导致再次触发搬瓦工的安全机制从而 shutdown。

于是想了个办法,先在控制面板 mount 一个 arch 的安装盘上去,启动后 chroot 到原来的系统里面,disable NetworkManager.service。 没有了网络,服务器就无法对外发送 Spam 邮件了。 接下来 unmount 安装盘,重启系统,一顿排查,居然没有发现任何线索:

  1. 系统日志:journald 没有做持久化,不过还是保留了前两次 boot 的日志。

  2. postfix 日志:只监听 127.0.0.1:25,难道是内部程序漏洞?但是日志里面没有任何 Spam 邮件的记录。

  3. 用户登录日志:用 fwknopd 加固了 ssh,怎么看也不像是被人从门口突破的。

  4. 恶意进程:天哪!这么多进程看花眼。

  5. 软件漏洞:arch 好久没有 pacman -Syu 了,看起来有点对头。

憋了两天实在没有办法,选择重装系统部署应用,这次选择了 gentoo 系统。 结果当天晚上搬瓦工又将服务器 shutdown 了 —— 还是同样的问题!

因为这次换成了 gentoo 系统,所以不太像是某个软件在某个版本的漏洞导致的; 另外我还没来得及安装 postfix,也可以排除是它的原因; 至于登录密码爆破,这么短的时间也不太可能。

思前想后,突然意识到我这台服务器是安装了 v2ray 做代理服务器的。 这下我大概有些明白了: 家里开了透明代理,如果某台设备不小心中毒安装了恶意软件乱发 Spam 邮件,那这样经过透明代理之后实际就是从服务器上发送的 Spam 邮件。 所以表面看是我服务器被黑了,其实是家里的设备中招了!

为了排查到底是哪台设备的问题,我采用了钓鱼执法的方式,在服务器上监听 25 端口的出口流量:

# tcpdump -vvv net 0.0.0.0/0 and src <public ip> and dst port 25

然后逐个尝试连接设备并进行观察。 持续瞄了好几天,结果都没有找到罪魁祸首。 而且服务器也一直没有被 shutdown。 难道问题不复存在了?

相信我的判断没有问题,所以也不再继续观察,直接把 25 端口出口流量给禁用:

# iptables -A OUTPUT -o <public interface> -p tcp --dport 25 -j DROP

Updated 2021/05/04

看到有人也在 Bandwagonhost 遇到了这个问题:

Updated 2021/12/16

禁用 25 端口出口流量之后就再也没有出现这样的问题了。 所以应该是家里的某些设备,例如 Windows 电脑,或是安卓手机等,可能被不知不觉地安装了恶意软件,被当作肉鸡发送 Spam 邮件。

Thanks for reading :)