10

在腾讯云上开了轻量云服务器,用的他们提供的 docker 镜像,安装了一个 nginx,结果第...

 2 years ago
source link: https://www.v2ex.com/t/789175
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

V2EX  ›  程序员

在腾讯云上开了轻量云服务器,用的他们提供的 docker 镜像,安装了一个 nginx,结果第二天 Lighthouse 用户被异地登录。

  bbbb · 1 天前 via iPhone · 2826 次点击

Lighthouse 这个用户,我甚至都不知道他的存在,给腾讯云提交工单,工作人员说,不是他们的问题,说互联网就是如此,每天都会有攻击。 有点怀疑是他们镜像有啥漏洞,而他的意思是,我们服务器没有任何问题,放心使用。放心啥啊,都被入侵了……

折腾不起,想想算了吧,还是换个系统吧……

27 条回复    2021-07-13 16:49:55 +08:00

olaloong

olaloong   1 天前

lighthouse 不是绑定密钥的么,这也能被入侵?你没用过控制台的一键登录和执行命令么,这两个功能使用 lighthouse 用户操作的

xieshaohu

xieshaohu   1 天前

是不是 nginx 的漏洞,同开 lighthouse,纯系统,自己安装的服务,稳定跑了半年了。

hyper2k

hyper2k   1 天前

我在云上开服务器入站 22 端口策略只对我自己的 ip 开放

ZenFX

ZenFX   1 天前

轻量云控制台的一些功能就是调用 lighthouse 用户执行,比如一键登录什么的。
腾讯云用 lighthouse 用户远程登录的时候用的是公网 IP,你用一键登录登上去 w 看下就明白了。
而且轻量云默认是禁用密码登录的,只能密钥登录,lighthouse 用户被入侵的可能性很低。

liuxu

liuxu   1 天前   ❤️ 1

强制秘钥登录被入侵的几率基本为 0,毕竟是互联网服务器管理的基石,开了密码登录还是 22 端口,那客服说的没毛病,你开机基本就有人扫你密码了,所有服务器都会被扫

cslive

cslive   1 天前

开密码登录了吧,我腾讯云的机器天天被扫描,我开了密钥登录无所谓,官方也不作为,之前阿里云的机器都是没被扫描过

gesse

gesse   1 天前

从你描述问题的情况来看, 你是一个不严谨的人。

IvanLi127

IvanLi127   1 天前

不知道为啥,总感觉国内云服务就是容易被攻击。。。

PabloZhong

PabloZhong   1 天前   ❤️ 1

您好,我是腾讯云轻量应用服务器产品经理,轻量默认现在开启了 Webshell 工具一键登录功能,方便用户使用浏览器页面直接 ssh 登录,这个后台使用的是 lighthouse 用户。请问您这边看到的“Lighthouse 用户被异地登录”,是什么工具检测到并告警的呢?

des

des   1 天前 via iPhone

说起 lighthouse 就来气,昨天 ssh 登陆不了,还以为被入侵了。
然后上去研究了发现 /root 目录权限变成 1001 了

des

des   1 天前 via iPhone

@des 说错了,是 uid 和 gid 变成 1001

0bit

0bit   1 天前

@liuxu 只能说通过 ssh 被入侵的概率低很多,但是防不住别的问题。我几年前因为 Redis 端口暴露,就很轻易的被拿到 root,然后被挖门罗币。

dzyou2007

dzyou2007   1 天前

异地登录具体差异是啥?

我自己的网络重新拨号也会被识别成异地。运营商给的 IP 是同一个 B 段,但是不同 C 段可能被腾讯云的 IP 库识别成邻近的不同城市,然后给我发异地提示。

还有一种可能是你切换过代理,从直连改成代理,或者代理改回直连,都有可能触发异地提示。

鉴于最近沸沸扬扬的 ToDesk 事件,建议还是相关日志啥的都研究一下,避免出现乌龙误会。

Telegram

Telegram   1 天前

ToDesk 事件??什么鬼?

bbbb

bbbb   1 天前

@olaloong #1
@xieshaohu #2 我是绑定了密钥的,nginx 是 nginx 的用户组,登陆的是用的 root 用户。nginx 是直接通过 yum install nginx,挂载了 hexo 生成的静态网页。都是在 root 用户下操作的,还没注意有 lighthouse 这个用户,被入侵了才知道。

bbbb

bbbb   1 天前

@hyper2k #3 我第一次用轻量云,之前的服务器也一直开了 22 端口,没有用密码登陆,同时开了 fail2ban,只是没想到这么快就提示异地登陆,还没来得及搞这些。

bbbb

bbbb   1 天前

@ZenFX #4 我也觉得奇怪,我是绑定密钥登陆的,我也不知道密码是啥,然后就提示 lighthouse 用户异地登陆了,我还以为是腾讯云的啥,提工单才知道不是。

bbbb

bbbb   1 天前

@liuxu #5 主要是我 root 用户没事,而 lighthouse 出问题了,而 lighthouse 这个应该是腾讯云镜像的用户,我影响中都没使用过,也不知道如何使用,如果 root 用户被入侵,那可能是我的事,但一个镜像本身就带的用户,被入侵了,所以就比较好奇了。是不是镜像有啥漏洞之类的。

bbbb

bbbb   1 天前

@cslive #6 没有直接开密码登陆,不知道 docker 镜像能不能密码登陆,我是 root 用户绑定的 key,一直都用的 key 登陆。

bbbb

bbbb   1 天前

@gesse #7 不想在上面投入太多时间,服务器就用来让域名备案存在。。。 时间还得用来搬砖。

bbbb

bbbb   1 天前

@IvanLi127 #8 可能补丁打的不及时,安全意识不到位吧

bbbb

bbbb   1 天前

@des #10 为啥会被改?

bbbb

bbbb   1 天前

@dzyou2007 #13 是腾讯云的主机安全,异常登陆提示的异地登陆,登陆的 IP 为 111.230.154.177 ,我也没有用这个 IP,我也不知道有 lighthouse 这个用户的存在嘞。

Telegram

Telegram   1 天前

@bbbb #25 我去看了下帖子,这 TM 也叫事件?
真的是谣言一张嘴,辟谣跑断腿。
标题上来就是一句存在安全漏洞,最后发现根本是乌龙,最后扯个小瑕疵给自己下台。
作为 todesk 厂商是真的可怜,回复后台登录日志也被骂,这他妈厂商连你登录日志都不能看?又不是看你系统敏感信息了。

站长也是搞笑,就这么一个不存在的漏洞给人家厂商造成多大影响。被各种平台转发,小厂商可能要直接嗝屁了。是怎么说的出口:“软件如果产生了不符合用户预期的行为,用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。

但是你们不去解决软件的不符合预期的行为,而是这样来对我持续施压,我对你们公司也觉得非常失望。”

要是我就直接发律师函了,诽谤

GoRoad

GoRoad   1 天前

我现在的华为云服务器天天被扫 每天 5-100+个 ip 攻击 这些 ip 的服务商基本都是来自华为云(太多了看不过来,已知看到的都是来自于华为云)

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK