阿里云经常发邮件说我的机子“由于被检测到对外攻击,已阻断该服务器对其它服务器端口 UDP:ALL)”是怎么回事?
kernel 2018-08-23 08:36:05 +08:00 8563 次点击这是一个创建于 2659 天前的主题,其中的信息可能已经有所发展或是发生改变。
机子上只装了 postfix 对外端口并改了端口号和一个自已写的爬虫,没有其它对外监听端口。
最近几个星期经常隔几天收到一个邮件:
“”“
您的云服务器( XXX )由于被检测到对外攻击,已阻断该服务器对其它服务器端口( UDP:ALL )的访问,阻断预计将在 XXX 时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。
”“”
每次被阻时间虽不长,我也没采取措施就好了(其实是我根本不知道哪有被攻击的点啊,只装了个 postfix ),过几天再来一次,但是很烦不是?
PS. 机子用了 5M 固定带宽,流量有时大有时小。
最近几个星期经常隔几天收到一个邮件:
“”“
您的云服务器( XXX )由于被检测到对外攻击,已阻断该服务器对其它服务器端口( UDP:ALL )的访问,阻断预计将在 XXX 时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。
”“”
每次被阻时间虽不长,我也没采取措施就好了(其实是我根本不知道哪有被攻击的点啊,只装了个 postfix ),过几天再来一次,但是很烦不是?
PS. 机子用了 5M 固定带宽,流量有时大有时小。
 | 1 x86 2018-08-23 08:38:22 +08:00 怎么回事,让你买安骑士呗 |
 | 2 tatelucky 2018-08-23 08:38:34 +08:00 不是有客服吗? |
 | 3 kernel OP 另外我发现了,每次都是早上 6 点前一段时间,是我的爬虫工作最忙的点(同时会把数据发到另一机房),基本 5M 用满,平时流量不大。 难道是因为阿里云发现我平时流量不大一到那个时间点连着 4 小时左右大流量就认为我是在发攻击? 这是最近二个月开始有这消息,以前还没有,感觉可能是最近新上的功能。 |
| 4 kernel OP @tatelucky 因为实际上似乎没有对我的爬虫产生影响,也没有报错,发生的时间每次都是我在睡觉时也办法上去看看网络情况 |
 | 5 ray1980 2018-08-23 08:50:10 +08:00 只有 WP 和几个没啥流量的站,也同样收到消息。 |
 | 6 ww2000e 2018-08-23 08:56:59 +08:00 以前免费用半年,我什么也没做,也会发安全提示给我。。。 |
 | 7 yidinghe 2018-08-23 08:59:05 +08:00 via Android 我也不知道如何排查,所以只能无视了。 |
 | 8 opengps 2018-08-23 09:01:47 +08:00 服务器里有向外发 udp 协议数据的程序,这种情况误判可能性不大,还是找你们网工查查吧 我能提供的思路是 分时段使用 netstat 命令,找出 udp 对外发数据的进程 id,逐一排查进程是不是可信的 |
 | 9 lujjjh 2018-08-23 09:04:52 +08:00 via iPhone 多半是 UDP 反射攻击,不提供 UDP 服务的话可以直接禁掉入站的 UDP |
 | 10 imn1 2018-08-23 09:07:03 +08:00 都是语文没学好么? 「对外攻击」,不是被攻击,就是你是主动发起方,你爬虫频率太高了吧? |
| 11 lujjjh 2018-08-23 09:33:07 +08:00 via iPhone |
| 12 kernel OP |
| 13 opengps 2018-08-23 09:47:15 +08:00 |
 | 14 lxg1421 2018-08-23 09:59:13 +08:00 我们服务器之前是开放所有端口,好像是被当肉鸡了,重新加了安全组没事了 |
| 15 lujjjh 2018-08-23 10:19:44 +08:00 @kernel 默认开启的端口才是最危险的……我一开始也以为我的是误判(似乎不购买收费服务就看不到源端口和目标端口),机器上只开启了 ntpd 和 rpcbind。 但是我研究了下阿里云的网络流量监控,发现阿里云给出的疑似攻击的点出流量和入流量成正比,很像是反射攻击。你可以看看你的异常点的入流量是否正常。 ntpd 和 rpcbind 因为协议设计原因都可以用来反射攻击: https://www.aqniu.com/threat-alert/9897.html |
 | 16 shenkai600 2018-08-23 16:07:50 +08:00 这个报警一般就是被黑了,做一下安全组,sshkey 也换一套吧,进程定时任务系统日志什么的都查一套。 |
 | 17 MorningBOBO 2018-08-23 18:10:30 +08:00 有可能是误判,检查下出入口的流量 |
Select Language