V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
interdev
V2EX  ›  问与答

在 Linode 的一台 vps 80 端口出去的数据,被强制插入其他数据

  •  
  •   interdev · 2014-05-26 22:57:33 +08:00 · 4039 次点击
    这是一个创建于 3836 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在Linode的一台vps 80端口出去的数据,被强制插入其他数据,其他端口则没有,是网关被入侵,还是同在一个子网的其他vps就能做到这一点?
    13 条回复    2014-05-27 09:21:32 +08:00
    lsylsy2
        1
    lsylsy2  
       2014-05-26 22:59:38 +08:00
    ARP攻击?
    interdev
        2
    interdev  
    OP
       2014-05-26 23:03:13 +08:00
    vps mac和ip是绑定的吧,应该很难arp攻击。
    infong
        3
    infong  
       2014-05-26 23:06:21 +08:00
    也有可能是 ISP 的 http 劫持。。。
    试试在其它网络环境上抓取页面看看,是否有劫持数据。。。
    interdev
        4
    interdev  
    OP
       2014-05-26 23:16:17 +08:00
    ip spoofing或 arp spoofing 在 Linode 上是不是也一样能被使用 @fqrouter
    interdev
        5
    interdev  
    OP
       2014-05-26 23:22:33 +08:00
    @infong 查过不是ISP,因为访问其他机房的vps是正常, 我怀疑被 arp spoofing ,发ticket给客服,他们说没有。

    interdev
        6
    interdev  
    OP
       2014-05-26 23:25:13 +08:00
    ip spoofing或 arp spoofing 在 Linode 上是不是也一样能被使用 @fqrouter2 ,Linux下有办法阻止吗?

    interdev
        7
    interdev  
    OP
       2014-05-26 23:41:31 +08:00
    这种技术有点像 @fqrouter2 里的 Pick & Play ,用的好的方面,可以方便翻墙,用在坏的方面,就是强插广告,谁知道用什么办法能阻止被 Pick & Play ?
    orzfly
        8
    orzfly  
       2014-05-27 02:54:30 +08:00
    其实我只是想说你给客服差评又能怎么样……Linode 客服可是业界良心啊!
    aveline
        9
    aveline  
       2014-05-27 03:35:54 +08:00
    也可能是你机器里的 nginx / apache 被恶意替换了,我遇到过一例就是这样,用以下方法检查:

    ps aux | grep nginx | grep -v grep | awk '{print "/proc/" $2 "/exe"}' | xargs ls -la
    msg7086
        10
    msg7086  
       2014-05-27 05:02:49 +08:00
    开个新的node,装上系统,数据迁移过去,然后做ip交换,再删掉老机器。可破系统文件替换。
    interdev
        11
    interdev  
    OP
       2014-05-27 09:16:05 +08:00
    @orzfly 我想让tony帮我确认网关的mac地址是否正确,以便我用arp -s 静态绑定正确的网关,他一直不告诉我,我一怒之下就差评了 :(
    interdev
        12
    interdev  
    OP
       2014-05-27 09:17:30 +08:00
    @aveline 没有被替换,原因不明,只有80端口出问题,其他一切正常。
    interdev
        13
    interdev  
    OP
       2014-05-27 09:21:32 +08:00
    @msg7086 这是最后的办法了,但我非常想找到原因所在,并想防止类似的事情再度发现,虽然linode说不是arp spoofing,但我还是怀疑是 Pick & Play 类似的技术.....
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1350 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 104ms · UTC 23:38 · PVG 07:38 · LAX 15:38 · JFK 18:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.