V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bbbb
V2EX  ›  程序员

在腾讯云上开了轻量云服务器,用的他们提供的 docker 镜像,安装了一个 nginx,结果第二天 Lighthouse 用户被异地登录。

  •  
  •   bbbb · 143 天前 via iPhone · 3726 次点击
    这是一个创建于 143 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Lighthouse 这个用户,我甚至都不知道他的存在,给腾讯云提交工单,工作人员说,不是他们的问题,说互联网就是如此,每天都会有攻击。 有点怀疑是他们镜像有啥漏洞,而他的意思是,我们服务器没有任何问题,放心使用。放心啥啊,都被入侵了……

    折腾不起,想想算了吧,还是换个系统吧……

    27 条回复    2021-07-13 16:49:55 +08:00
    olaloong
        1
    olaloong  
       143 天前
    lighthouse 不是绑定密钥的么,这也能被入侵?你没用过控制台的一键登录和执行命令么,这两个功能使用 lighthouse 用户操作的
    xieshaohu
        2
    xieshaohu  
       143 天前
    是不是 nginx 的漏洞,同开 lighthouse,纯系统,自己安装的服务,稳定跑了半年了。
    hyper2k
        3
    hyper2k  
       143 天前
    我在云上开服务器入站 22 端口策略只对我自己的 ip 开放
    ZenFX
        4
    ZenFX  
       143 天前
    轻量云控制台的一些功能就是调用 lighthouse 用户执行,比如一键登录什么的。
    腾讯云用 lighthouse 用户远程登录的时候用的是公网 IP,你用一键登录登上去 w 看下就明白了。
    而且轻量云默认是禁用密码登录的,只能密钥登录,lighthouse 用户被入侵的可能性很低。
    liuxu
        5
    liuxu  
       143 天前   ❤️ 1
    强制秘钥登录被入侵的几率基本为 0,毕竟是互联网服务器管理的基石,开了密码登录还是 22 端口,那客服说的没毛病,你开机基本就有人扫你密码了,所有服务器都会被扫
    cslive
        6
    cslive  
       143 天前
    开密码登录了吧,我腾讯云的机器天天被扫描,我开了密钥登录无所谓,官方也不作为,之前阿里云的机器都是没被扫描过
    gesse
        7
    gesse  
       143 天前
    从你描述问题的情况来看, 你是一个不严谨的人。
    IvanLi127
        8
    IvanLi127  
       143 天前
    不知道为啥,总感觉国内云服务就是容易被攻击。。。
    PabloZhong
        9
    PabloZhong  
       143 天前   ❤️ 1
    您好,我是腾讯云轻量应用服务器产品经理,轻量默认现在开启了 Webshell 工具一键登录功能,方便用户使用浏览器页面直接 ssh 登录,这个后台使用的是 lighthouse 用户。请问您这边看到的“Lighthouse 用户被异地登录”,是什么工具检测到并告警的呢?
    des
        10
    des  
       143 天前 via iPhone
    说起 lighthouse 就来气,昨天 ssh 登陆不了,还以为被入侵了。
    然后上去研究了发现 /root 目录权限变成 1001 了
    des
        11
    des  
       143 天前 via iPhone
    @des 说错了,是 uid 和 gid 变成 1001
    0bit
        12
    0bit  
       143 天前
    @liuxu 只能说通过 ssh 被入侵的概率低很多,但是防不住别的问题。我几年前因为 Redis 端口暴露,就很轻易的被拿到 root,然后被挖门罗币。
    dzyou2007
        13
    dzyou2007  
       143 天前
    异地登录具体差异是啥?

    我自己的网络重新拨号也会被识别成异地。运营商给的 IP 是同一个 B 段,但是不同 C 段可能被腾讯云的 IP 库识别成邻近的不同城市,然后给我发异地提示。

    还有一种可能是你切换过代理,从直连改成代理,或者代理改回直连,都有可能触发异地提示。

    鉴于最近沸沸扬扬的 ToDesk 事件,建议还是相关日志啥的都研究一下,避免出现乌龙误会。
    Telegram
        14
    Telegram  
       143 天前
    ToDesk 事件??什么鬼?
    bbbb
        15
    bbbb  
    OP
       143 天前
    @olaloong #1
    @xieshaohu #2 我是绑定了密钥的,nginx 是 nginx 的用户组,登陆的是用的 root 用户。nginx 是直接通过 yum install nginx,挂载了 hexo 生成的静态网页。都是在 root 用户下操作的,还没注意有 lighthouse 这个用户,被入侵了才知道。
    bbbb
        16
    bbbb  
    OP
       143 天前
    @hyper2k #3 我第一次用轻量云,之前的服务器也一直开了 22 端口,没有用密码登陆,同时开了 fail2ban,只是没想到这么快就提示异地登陆,还没来得及搞这些。
    bbbb
        17
    bbbb  
    OP
       143 天前
    @ZenFX #4 我也觉得奇怪,我是绑定密钥登陆的,我也不知道密码是啥,然后就提示 lighthouse 用户异地登陆了,我还以为是腾讯云的啥,提工单才知道不是。
    bbbb
        18
    bbbb  
    OP
       143 天前
    @liuxu #5 主要是我 root 用户没事,而 lighthouse 出问题了,而 lighthouse 这个应该是腾讯云镜像的用户,我影响中都没使用过,也不知道如何使用,如果 root 用户被入侵,那可能是我的事,但一个镜像本身就带的用户,被入侵了,所以就比较好奇了。是不是镜像有啥漏洞之类的。
    bbbb
        19
    bbbb  
    OP
       143 天前
    @cslive #6 没有直接开密码登陆,不知道 docker 镜像能不能密码登陆,我是 root 用户绑定的 key,一直都用的 key 登陆。
    bbbb
        20
    bbbb  
    OP
       143 天前
    @gesse #7 不想在上面投入太多时间,服务器就用来让域名备案存在。。。 时间还得用来搬砖。
    bbbb
        21
    bbbb  
    OP
       143 天前
    @IvanLi127 #8 可能补丁打的不及时,安全意识不到位吧
    bbbb
        22
    bbbb  
    OP
       143 天前
    bbbb
        23
    bbbb  
    OP
       143 天前
    @des #10 为啥会被改?
    bbbb
        24
    bbbb  
    OP
       143 天前
    @dzyou2007 #13 是腾讯云的主机安全,异常登陆提示的异地登陆,登陆的 IP 为 111.230.154.177 ,我也没有用这个 IP,我也不知道有 lighthouse 这个用户的存在嘞。
    bbbb
        25
    bbbb  
    OP
       143 天前
    @Telegram #14 /t/788413 /t/788723,这个吧
    Telegram
        26
    Telegram  
       143 天前
    @bbbb #25 我去看了下帖子,这 TM 也叫事件?
    真的是谣言一张嘴,辟谣跑断腿。
    标题上来就是一句存在安全漏洞,最后发现根本是乌龙,最后扯个小瑕疵给自己下台。
    作为 todesk 厂商是真的可怜,回复后台登录日志也被骂,这他妈厂商连你登录日志都不能看?又不是看你系统敏感信息了。

    站长也是搞笑,就这么一个不存在的漏洞给人家厂商造成多大影响。被各种平台转发,小厂商可能要直接嗝屁了。是怎么说的出口:“软件如果产生了不符合用户预期的行为,用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。

    但是你们不去解决软件的不符合预期的行为,而是这样来对我持续施压,我对你们公司也觉得非常失望。”

    要是我就直接发律师函了,诽谤
    GoRoad
        27
    GoRoad  
       143 天前
    我现在的华为云服务器天天被扫 每天 5-100+个 ip 攻击 这些 ip 的服务商基本都是来自华为云(太多了看不过来,已知看到的都是来自于华为云)
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1001 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:36 · PVG 05:36 · LAX 13:36 · JFK 16:36
    ♥ Do have faith in what you're doing.