在腾讯云上开了轻量云服务器，用的他们提供的 docke 镜像，安装了一个 nginx，结果第二天 Lighthouse 用户被异地登录。

lighthouse 不是绑定密钥的么，这也能被入侵？你没用过控制台的一键登录和执行命令么，这两个功能使用 lighthouse 用户操作的

是不是 nginx 的漏洞，同开 lighthouse，纯系统，自己安装的服务，稳定跑了半年了。

我在云上开服务器入站 22 端口策略只对我自己的 ip 开放

轻量云控制台的一些功能就是调用 lighthouse 用户执行，比如一键登录什么的。
腾讯云用 lighthouse 用户远程登录的时候用的是公网 IP，你用一键登录登上去 w 看下就明白了。
而且轻量云默认是禁用密码登录的，只能密钥登录，lighthouse 用户被入侵的可能性很低。

强制秘钥登录被入侵的几率基本为 0，毕竟是互联网服务器管理的基石，开了密码登录还是 22 端口，那客服说的没毛病，你开机基本就有人扫你密码了，所有服务器都会被扫

开密码登录了吧，我腾讯云的机器天天被扫描，我开了密钥登录无所谓，官方也不作为，之前阿里云的机器都是没被扫描过

从你描述问题的情况来看， 你是一个不严谨的人。

不知道为啥，总感觉国内云服务就是容易被攻击。。。

您好，我是腾讯云轻量应用服务器产品经理，轻量默认现在开启了 Webshell 工具一键登录功能，方便用户使用浏览器页面直接 ssh 登录，这个后台使用的是 lighthouse 用户。请问您这边看到的“Lighthouse 用户被异地登录”，是什么工具检测到并告警的呢？

说起 lighthouse 就来气，昨天 ssh 登陆不了，还以为被入侵了。
然后上去研究了发现 /root 目录权限变成 1001 了

@des 说错了，是 uid 和 gid 变成 1001

@liuxu 只能说通过 ssh 被入侵的概率低很多，但是防不住别的问题。我几年前因为 Redis 端口暴露，就很轻易的被拿到 root，然后被挖门罗币。

异地登录具体差异是啥？

我自己的网络重新拨号也会被识别成异地。运营商给的 IP 是同一个 B 段，但是不同 C 段可能被腾讯云的 IP 库识别成邻近的不同城市，然后给我发异地提示。

还有一种可能是你切换过代理，从直连改成代理，或者代理改回直连，都有可能触发异地提示。

鉴于最近沸沸扬扬的 ToDesk 事件，建议还是相关日志啥的都研究一下，避免出现乌龙误会。

ToDesk 事件??什么鬼？

@olaloong #1
@xieshaohu #2 我是绑定了密钥的，nginx 是 nginx 的用户组，登陆的是用的 root 用户。nginx 是直接通过 yum install nginx，挂载了 hexo 生成的静态网页。都是在 root 用户下操作的，还没注意有 lighthouse 这个用户，被入侵了才知道。

@hyper2k #3 我第一次用轻量云，之前的服务器也一直开了 22 端口，没有用密码登陆，同时开了 fail2ban，只是没想到这么快就提示异地登陆，还没来得及搞这些。

@ZenFX #4 我也觉得奇怪，我是绑定密钥登陆的，我也不知道密码是啥，然后就提示 lighthouse 用户异地登陆了，我还以为是腾讯云的啥，提工单才知道不是。

@liuxu #5 主要是我 root 用户没事，而 lighthouse 出问题了，而 lighthouse 这个应该是腾讯云镜像的用户，我影响中都没使用过，也不知道如何使用，如果 root 用户被入侵，那可能是我的事，但一个镜像本身就带的用户，被入侵了，所以就比较好奇了。是不是镜像有啥漏洞之类的。

@cslive #6 没有直接开密码登陆，不知道 docker 镜像能不能密码登陆，我是 root 用户绑定的 key，一直都用的 key 登陆。

@gesse #7 不想在上面投入太多时间，服务器就用来让域名备案存在。。。 时间还得用来搬砖。

@IvanLi127 #8 可能补丁打的不及时，安全意识不到位吧

@PabloZhong #9 腾讯云自己的嘞，地址： https://console.cloud.tencent.com/cwp/manage/loginLog

@des #10 为啥会被改？

@dzyou2007 #13 是腾讯云的主机安全，异常登陆提示的异地登陆，登陆的 IP 为 111.230.154.177 ，我也没有用这个 IP，我也不知道有 lighthouse 这个用户的存在嘞。

@Telegram #14 /t/788413 /t/788723，这个吧

@bbbb #25 我去看了下帖子，这 TM 也叫事件？
真的是谣言一张嘴，辟谣跑断腿。
标题上来就是一句存在安全漏洞，最后发现根本是乌龙，最后扯个小瑕疵给自己下台。
作为 todesk 厂商是真的可怜，回复后台登录日志也被骂，这他妈厂商连你登录日志都不能看？又不是看你系统敏感信息了。

站长也是搞笑，就这么一个不存在的漏洞给人家厂商造成多大影响。被各种平台转发，小厂商可能要直接嗝屁了。是怎么说的出口：“软件如果产生了不符合用户预期的行为，用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。

但是你们不去解决软件的不符合预期的行为，而是这样来对我持续施压，我对你们公司也觉得非常失望。”

要是我就直接发律师函了，诽谤

我现在的华为云服务器天天被扫 每天 5-100+个 ip 攻击 这些 ip 的服务商基本都是来自华为云（太多了看不过来，已知看到的都是来自于华为云）