标题:
一键安装脚本存在安装客户信息泄露的问题
[打印本页]
作者:
linda
时间:
2018-9-17 21:01
标题:
一键安装脚本存在安装客户信息泄露的问题
一键安装脚本只能安装单一服务,没有配置文件备份恢复功能,还存在安装客户信息泄露的问题:当你使用在线一键安装脚本时,对方服务器WEB日志中有你的来源IP,有可能被利用反过来扫描你这个IP的开放服务。
话不多说,先上几张图。
上面这几张图是我在TX云的学生鸡(没错,1M带宽的那个)在5月12号开始到今天下午(5/23)四点左右的数据。事情起因是因为我在10号左右的时候闲的无聊搭了一个OpenVPN免流,照着网上的配置(某某汪的配置文件,没用她的2进制文件)自己搭了squid+openvpn。当时测下来速度并不理想,速度只有60KB/S,于是就放弃了这个想法。
前几天尝试SSH登录TX云的时候一直没有反应,我还以为是我安全组出了问题,当时并没有考虑太多。直到今天练完车了我说还是上去看看吧,结果到VNC登录卡了半天。我就纳闷怎么回事儿。习惯性地ps -axmf加netstat -an,结果这一幕,也就是我在上面发的图,彻底吓呆我了。
服务器80端口并发2300个连接。
这他妈就比较尴尬了,想起之前搭免流的时候squid就是80,立马想到这他妈一定是透明代理没做验证被人扫了。然后马上动手service squid stop && apt-get remove squid3 openvpn,想尽快避免问题加重(万一别人拿我服务器当跳板就不好玩了
然后看了下squid的日志
麻痹。。。你们这些人啊,到底是有多疯狂。。。我外网带宽就TM 1M,1M啊,你们至于嘛。。。
把之前停掉的nginx打开,然后情况才好了许多。然而因为80端口还开着,短短5分钟内,access.log就成了。。。。
最后就成了。。。。。
(话说我是不是可以故意钓个鱼之类的 =。= 黑产第一步啊
然而再一次netstat的时候情况依然不容乐观,还是一堆的连接。。。。搞得我都无聊的开始看网速了。。。
我说你们这是何必呢 =。= 12天跑了尼玛400G流量(外网120G左右),你们到底在做些什么啊喂,我TM才拿到鹅厂实习生,你们别让我刚进去就“小伙,你的服务器干了些啥坏事儿了?”(手滑
这尼玛透明代理不做验证简直就是找死啊。。。而且还这么不走运被人扫了(难不成有人一直盯着我2333333
然后一边折腾清掉透明代理一边做防火墙,最后搞得实在是尴尬了先去删掉了Nginx的80端口监听,结果这一堆的LAST_ACK搞得我这个强迫症看得很是不爽,干脆去安全组关了80.
世界一片清净。
所以呢,说了这么多,总的就是:
1.我服务器被滥用了,因为透明代理
2.透明代理存在的原因是因为免流
3.免流的配置文件是网上人尽皆知的XX汪的配置文件
那么问题来了,其实某种意义上免流这种东西本身就不应该公众大肆传播的(运营商自己知道这回事你自己低调用就够了,故意宣传出来的话肯定活不长),而偏偏这时候出来了一堆的配置教程和脚本
而且最主要的是:这些脚本都是出奇的一致,那就是squid没有任何验证,而且都是80端口
我不想讨论80端口对免流是不是有影响,但是一个配置文件发出来肯定要考虑其安全问题。既然开在一个常用端口却不作任何身份验证,等于把一个透明代理透明给全部人。你要是少数都还好。
问题就是这个脚本的用户太多了。
我不得不带恶意揣测一下动机呢,如果原作者是无意的,那么用户这么多了总归应该会有人注意到这个问题,我不相信用这个脚本的全部是小白。而现在的情况,不管原作者有意无意,实际上可以说,只要用了这套脚本的,等于是把裤子脱了等别人来艹。事实就是如此,就和我这TX云的学生鸡一样。这东西,80端口代理批量扫描的多了去了,两朵云的IP段扫一扫,说不定就是一堆。白来的资源啊有木有。
有人看了这个估计会喷我,说人家好心好意分享你却跑出来说三道四你行你自己搭之类的,我只想说一句:清者自清。
所以在最后我也就不想说多的了吧,你们自己做好squid的安全配置,这东西网上一搜一堆的就不需要我贴了吧。
至于所谓的一键脚本,我个人的观点还是那样,能自己动手就少一键。
原文:
https://sunflyer.cn/archives/359
[
本帖最后由 linda 于 2019-4-6 17:41 编辑
]
作者:
linda
时间:
2019-4-6 17:12
标题:
关于 wget –no-check-certificate 的巨大隐患
今天在群里谈到了 wget --no-check-certificate。
这个参数会让你在 wget 对 https 站点的请求时不再验证证书,即“不请求验证”的意思。
这个参数所带来的隐患就是:例如现在很多教程或脚本的分享站(包括许多各路大佬的站点)为了省事都使用了这个参数,而埋下了例如中间人这种隐患。例如,假设 高墙 劫持了某个脚本大户站点的访问,那么用 no-check-certificate 参数的那么多用户都要遭殃。
要避免这点很简单:
1. 在 wget 时去掉 --no-check-certificate 参数
2. 如果遇到 "wget ... not trusted ..." 这种报错,不要使用 no-check-certificate 这个参数,这是治标不治本的方法,还后患无穷。正确的解决方法是:
apt-get install -y ca-certificates
3. 尽量使用完整 https 访问。
原文:
https://www.locmjj.com/21.html
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)
Powered by Discuz! 6.0.0