V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
thzero2020
V2EX  ›  程序员

让腾讯云恶心死了,误封我机子还打太极拳

  •  1
     
  •   thzero2020 · 2022-03-07 19:20:47 +08:00 · 10442 次点击
    这是一个创建于 1025 天前的主题,其中的信息可能已经有所发展或是发生改变。

    去年买的轻量 4c4g,上面跑 OCR 和 BT 种子自动出种。OCR 开了一个端口调用 API ,为了跑全自动出种,开了公网 FTP 并且跑了一个 QBittorrent 。

    年前的时候还好好的,过年后不知道从啥时候开始服务器被挂上了挖矿程序 CPU 一直 100%占用,3 月 1 号晚上 7 点收到的短信说让我 3.4 日前清除。我当时太忙了到 3.3 号才处理的,清除后,把所有密码都改了一遍,并按要求反馈到工单系统,客服也回了个电话,说 3.4 号之后会有复查,第二次查到直接封机子。我当时也挺担心没有清除完全,所以那几天每隔段时间就 SSH 上去看一眼有没有被再拿去挖矿(主要不知道清除干净没),我可以保证的是自 3.3 号到 3.5 日绝对没有被拿去挖矿,CPU 占用基本上都没有占用(就发种的时候 CPU 占用高点可能有 30%?其他时间段 CPU 基本 0 占用)。然而在 3.5 号 5 点依然通知我服务器挖矿了,接着就把我服务器封停了。我发工单系统说是误封,反馈来的就是挖矿无法解封,我让他们出示这几天的 CPU 占用情况,客服就是一个劲的复读。误封没误封,很简单的事情,你直接后台看一眼 CPU 占用不就知道了吗?

    真的有被腾讯云恶心到,老哥们也千万要小心自己生产环境的机子别被挂马,要不损失就大了,直接复读打太极拳。

    刚刚看站内信的时候,又想起了 1 月份服务器还被打一次,直接给我黑洞了,一共就打了几分钟,黑洞 2 小时,停止攻击后,我去找客服解封,也是一直打太极只能硬等 2 小时,以前的自助解封也被关了。我这服务器根本连站都没建每次都是 IP 直接访问的。

    QQ 截图 1.png QQ 截图 2.png


    F1C5F433E6BBB77229.png CF15C104158C8A73.png 7B83591BFAA30446.png A9EE4482221F8FB6E2.png


    76 条回复    2022-03-25 14:40:46 +08:00
    davidshao
        1
    davidshao  
       2022-03-07 19:35:27 +08:00   ❤️ 9
    很简单要么出示证据让你死心,要么你就直接工信部投诉,你就这样告诉客服。

    工信部是所有互联网行业的亲爹。
    wjx0912
        2
    wjx0912  
       2022-03-07 19:36:30 +08:00
    我也是,2c4g8m 的轻应用服务器说停就停。阿里不知道有木有类似的
    1423
        3
    1423  
       2022-03-07 19:40:57 +08:00
    cpu 占用你自己就能看啊
    thzero2020
        4
    thzero2020  
    OP
       2022-03-07 19:44:56 +08:00
    @1423 CPU 我看了啊,没有占用,他们自己也能调取,为啥就不调一下看看呢?明明就是误封
    chuckzhou
        5
    chuckzhou  
       2022-03-07 20:01:23 +08:00   ❤️ 5
    @thzero2020 腾讯的客服确实是我见过的最牛毕的。你耐心的跟他讲道理,但他永远都是重复同一句话回复你。
    dddxm
        6
    dddxm  
       2022-03-07 20:39:38 +08:00 via iPhone
    @chuckzhou #5 确实。真的恶心
    shanliang
        7
    shanliang  
       2022-03-07 20:54:36 +08:00
    "不知道从啥时候开始服务器被挂上了挖矿程序"
    我信了
    learningman
        8
    learningman  
       2022-03-07 20:54:40 +08:00
    通告
    那就是上级监管让腾讯云封了这个 IP ,腾讯云能做啥
    thzero2020
        9
    thzero2020  
    OP
       2022-03-07 21:10:53 +08:00
    @shanliang 这机子用了半年了,年前一直没有问题。年后回去有项目,基本上很少看
    bookbox
        10
    bookbox  
       2022-03-07 21:12:43 +08:00   ❤️ 1
    这么大的云厂商误封估计不太可能,两种情况,要么主动挖矿,要么被入侵被动挖矿自己也不晓得,只能自己做好防护了,现在国家抓的太紧了,只要违规,不管主动还是被动,肯定被干,我也是深有体会,现在互联网不安全因素太多了,谨慎再谨慎吧。。。。
    eason1874
        11
    eason1874  
       2022-03-07 21:19:52 +08:00   ❤️ 4
    “监管部门通报”

    这几个大字没看到么,还要怎么解释,能给你退费就不错了,还要什么自行车。你该不会以为腾讯云会为了你的权益去质疑监管部门查错了吧

    换个号注册重新买活动机型吧,安全做好点,别被挂马就好了
    lovegoogle
        12
    lovegoogle  
       2022-03-07 21:23:01 +08:00
    看情况大概率是被挂马了,你这属于被误杀,要么找工信部,要么找 315 或者退费重来吧
    yov123456
        13
    yov123456  
       2022-03-07 21:36:58 +08:00 via iPhone
    估计是被做了挖矿流量转发
    jorneyr
        14
    jorneyr  
       2022-03-07 22:06:00 +08:00
    话又说回来,我买了 2C 的机器,2C 跑满 100% 还不让了,是不是有点不讲道理呢?又没有给超过 2C 的算力。
    geekvcn
        15
    geekvcn  
       2022-03-07 22:10:43 +08:00 via Android
    发改委严打挖矿,可能你被入侵挖矿了
    geekvcn
        16
    geekvcn  
       2022-03-07 22:12:17 +08:00 via Android
    另外你买的不是高防服务器,黑洞不是很正常,被打带宽费你承担?
    imsea1
        17
    imsea1  
       2022-03-07 22:21:14 +08:00
    兄弟,后台有一个防火墙,可以对端口进行设置。你应该把除了自己用到的端口其余全部屏蔽掉,同时修改 ssh 的端口。应该就不会有这种情况发生了。你是被黑进去装了挖矿程序
    cybird
        18
    cybird  
       2022-03-07 22:32:41 +08:00
    @geekvcn 哈?你的意思是腾讯云的服务器带宽是免费送的?????
    just1
        19
    just1  
       2022-03-07 22:37:09 +08:00
    嗯不一定是本机在挖矿,也有可能是做了挖矿流量中转,所以 cpu 高不是必要条件
    skiy
        20
    skiy  
       2022-03-07 23:36:33 +08:00
    这种情况应该是正常的吧?有企业过期的备案域名没注销备案,还被举报了呢?还有个是,那个域名被人家拿来放盗版资源,被版权方告了(虽然后来法院不支持)。

    在你的地盘犯事,要负连带责任的。所以,各位要多排查服务器。该打补丁的还是得打补丁。

    ---

    我有个鸟云的云主机也被人家挂挖矿程序了,且是去年 11 月份挂的。不过我过年的时候才发现。主要是几个月没登录,没有发现。后台有告警( CPU 超过 90%),但我基本没登录过后台。短信也没有来通知。

    后来的重装系统,啥程序都没安装了。没两天,再登录。发现还是被挂挖矿程序了。然后排查的时候,发现是 ubuntu 安装镜像多了个 root2 用户,而且启动挖矿程序的用户就是它。
    xmumiffy
        21
    xmumiffy  
       2022-03-07 23:39:29 +08:00 via Android
    @jorneyr 跑满是没事的 我跑了一个多星期的 ffmpeg 都没事
    icyalala
        22
    icyalala  
       2022-03-07 23:52:01 +08:00
    挖矿监测的是通信协议、流量特征,CPU 高不一定是挖矿,挖矿也不一定 CPU 高。
    axisray
        23
    axisray  
       2022-03-07 23:58:18 +08:00 via iPhone
    每隔段时间就 SSH 上去看一眼
    ssh 不靠谱,之前见到过在 bash.rc 加代码的,登陆的时候会自动停止挖矿,特别鸡贼
    bug123
        24
    bug123  
       2022-03-08 00:12:40 +08:00   ❤️ 3
    据我多次被封禁的经验,很少有误封的😌
    murmur
        25
    murmur  
       2022-03-08 07:49:43 +08:00
    你处理的逻辑不对,linux 没有 windows 那种 360 级别的强力流氓,遇到木马除非你是高深人士,否则直接备份数据重置系统
    jorneyr
        26
    jorneyr  
       2022-03-08 08:00:55 +08:00
    @xmumiffy 明白了,那还合理。
    nosmile
        27
    nosmile  
       2022-03-08 08:27:04 +08:00
    “监管部门通报”
    davidstonex
        28
    davidstonex  
       2022-03-08 08:44:49 +08:00
    被监管部门通报了,即使你接到通知就关机了,也一样会被封的。
    ijrou
        29
    ijrou  
       2022-03-08 09:08:18 +08:00 via Android
    你要想着腾讯服务器不会无缘无故去封机子的,你要从自身找原因,被挂木马挖矿是你的问题。腾讯已经告诉你一次了,即使你清除了木马程序,但是你确定木马作者不留后门再继续进入你的后台挖矿吗?
    是我遇到这种情况的话,我肯定会重装系统,更改端口,密码复杂化,调整防火墙,然后再重新部署环境
    james2013
        30
    james2013  
       2022-03-08 09:11:08 +08:00
    被监管部门通报了,这是顶风作案,机子被封很正常
    okakuyang
        31
    okakuyang  
       2022-03-08 09:11:49 +08:00
    最近被挖矿了,挖门罗币,好多机器都中招了
    oygh
        32
    oygh  
       2022-03-08 09:49:08 +08:00
    我也遭遇过类似的情况,虽然是我有错在先,但客服们“解决问题”的方式也着实让我大开眼界了。
    https://www.ntiy.com/1124.html
    Kasumi20
        33
    Kasumi20  
       2022-03-08 09:54:39 +08:00
    我的外网机也被挂过挖矿木马,这玩意可不好清除,重装是最好的
    lisongeee
        34
    lisongeee  
       2022-03-08 10:02:22 +08:00
    我记得 V2EX 有腾讯云的 客服,不知道 ta 会不会在下面回复
    wmwmajie
        35
    wmwmajie  
       2022-03-08 10:08:49 +08:00
    有没有可能是某些原因宿主机被封了,所以导致这个宿主机下面的所有虚拟机全部被干。
    popok
        36
    popok  
       2022-03-08 10:09:38 +08:00
    人家检测机制肯定和你手动看不一样,你自己看 CPU 占用可能 0 ,但是挖矿可能还和矿池有数据交换,他们有可能通过这个数据包来判断,你看上去 cpu 不占用了,可能后门还在和矿池交换数据呢。
    mywaiting
        37
    mywaiting  
       2022-03-08 10:10:43 +08:00
    CPU 长期 100% 应该不会导致被封吧?我有个机器长期 80% 以上负载,快两年了,没啥事

    不过话说回来,数据做好备份,啥事都不担心~
    JensenQian
        38
    JensenQian  
       2022-03-08 10:16:32 +08:00
    良心云( X )凉心云(√)
    keepeye
        39
    keepeye  
       2022-03-08 10:16:35 +08:00
    我阿里云机器比较多,都是跑内部服务的,然后经常会有一台两台提示被攻击进入黑洞,然后没过多久阿里云销售电话就来了.. 我就很奇怪,我这些服务器又没对外开放,谁闲的没事随机攻击吗?
    zxxufo008
        40
    zxxufo008  
       2022-03-08 10:20:30 +08:00
    op 和 tx 云的检测是否挖矿的标准都不一样,压根谈不拢。。不过我觉得客服一直在重复也能理解,因为人家觉得你的检测手段不专业,大概
    nicevar
        41
    nicevar  
       2022-03-08 10:52:33 +08:00
    这种你保证没挖矿没用,很多人都保证自己的服务器没挖矿,其实就是自己发现不了,多仔细查一下,挖坑不一定 cpu 占用高。
    anzu
        42
    anzu  
       2022-03-08 11:07:13 +08:00
    可能访问了矿池域名也算入
    wangyu17455
        43
    wangyu17455  
       2022-03-08 12:02:01 +08:00
    挖矿程序把你 ps top 之类的命令换了然后你看不到他的进程,然后这个进程一直在转发挖矿的流量,有没有这种可能呢,只作代理的话 cpu 一直是 0 是完全有可能的
    Envov
        44
    Envov  
       2022-03-08 13:44:18 +08:00
    转技术客服问问能不能提供数据呢
    leavic
        45
    leavic  
       2022-03-08 14:37:07 +08:00
    楼主你知道自己系统里到底有什么漏洞导致被挂马了吗?这个漏洞解决了吗?
    opengps
        46
    opengps  
       2022-03-08 16:04:24 +08:00
    要知道,在云主机内的安全插件,足够有能力检测出进程的特征。
    即使不高负载运行 cpu ,也不代表 cpu 满载的特征不是挖矿(我见过有个客户端真的可以设置启动几个内核进行挖矿工作)
    建议全盘查找可以程序后再做结论,不然这仓促的结论没法获得官方和大众的支持
    seesky
        47
    seesky  
       2022-03-08 16:08:41 +08:00
    已经告诉你了吧,监管部门通知封禁的,tx 核实也没有用,解封的权力就不在它手上。它也不可能专门花时间去和监管部门沟通普通客户的这样的事情, 因为如果再出情况它自己也麻烦。
    nba2k9
        48
    nba2k9  
       2022-03-08 16:12:48 +08:00
    "误封"
    azhangbing
        49
    azhangbing  
       2022-03-08 16:38:18 +08:00
    这封的很有道理,因为你不能证明你没有挖矿,我也被警告了,然后直接重装系统 改密码 改端口 防火墙
    xctcc
        50
    xctcc  
       2022-03-08 16:38:35 +08:00
    我用腾讯轻量香港科学上网了两三年了都没事。。
    itechnology
        51
    itechnology  
       2022-03-08 16:39:08 +08:00
    感觉误封的可能性不大,不过一直不回应你证据确实有点……

    第一次收到警告的时候最好直接重装系统,然后改密码,因为你不知道木马作者留了什么后门
    CaptainD
        52
    CaptainD  
       2022-03-08 16:44:05 +08:00
    之前也买过腾讯云,用 docker 部署点小玩意儿,然后就被挖矿程序攻击了,第一次提交工单重置了机器,结果第二天又这样,直接退款了
    yvescheung
        53
    yvescheung  
       2022-03-08 16:50:41 +08:00
    所以我写了脚本每天备份系统到谷歌云盘避免这种情况
    xitek
        54
    xitek  
       2022-03-08 17:28:53 +08:00
    腾讯的服务器,我挂了个青龙跑京东都被警告了,也是说什么疑似挖矿,告诉我再搞就封
    www5070504
        55
    www5070504  
       2022-03-08 18:16:41 +08:00   ❤️ 1
    这不腾讯一贯操作么 包括封游戏账号也是如此 想要证据? 不可能提供
    bbmike253455
        56
    bbmike253455  
       2022-03-08 18:19:59 +08:00 via Android
    那是怎么入侵的 ssh 漏洞不至于吧 自己挂的服务有漏洞么 还是 ssh 密钥太简单被爆破了
    romisanic
        57
    romisanic  
       2022-03-08 18:50:59 +08:00
    之前买过一个做活动的服务器,4c4g ,买了刚部署没两天,就提示被攻击。当时没太当回事,因为也没放啥东西。
    后来过了几天没提示了,然后跑自己应用的时候,没几天腾讯云发消息提醒服务器有攻击其他服务器的操作,给我封停了对应端口。
    想了想当时应该还是被别人得手了,主要是初期密码设置的也比较简单,端口也没改。
    直接重置系统,修改密码,重新部署应用,从此消停了。
    不过话说回来,活动的服务器貌似配置着实差点,同样的配置,华为云上的跑的就是比这个小鸡上的快,不过也可能跟处理器有关系
    wikiwiki6
        58
    wikiwiki6  
       2022-03-08 19:11:55 +08:00
    感觉跟流量特征有关,被 ISP 通报了(不过 4C4G 一年能挖出 100 块吗》?
    guo4224
        59
    guo4224  
       2022-03-08 19:27:46 +08:00
    笑死了,使劲
    thzero2020
        60
    thzero2020  
    OP
       2022-03-08 19:34:28 +08:00   ❤️ 3
    评论里有些洗的真的太恶心了,我被误封,还要我自己提供证据证明我没有挖矿?这么搞笑的吗?不是应该腾讯云提供吗?
    如果挖矿了就出示我 3.3 号到 3.5 日 CPU 的资源占用情况。还有些人说 CPU 0 占用也有可能是做了矿池转发,那请腾讯云调出我 3.3 号到 3.5 号的网络请求日志。别跟我说没有记录储存这些玩意,你们做国内业务怎么可能没有?真出了大事了你们怎么查?
    也请大家用腾讯云的一定要注意生产环境中安全防护,被挂马了直接永久封禁这损失可大了。
    @eason1874 还有些人说什么“给你退款余额都不错了”,你也太小看腾讯云了吧?我买的特价年付机,如果退款销毁,就要按原价计算,也就是说我退款还要补交四五百块钱,当然啦我只需接受腾讯云退款 0 元,腾讯云也是很大方的免去了这些我应该补交的钱。
    ![11.png]( https://s2.loli.net/2022/03/08/iuqml5twR2eHcjS.png)
    thzero2020
        61
    thzero2020  
    OP
       2022-03-08 19:36:53 +08:00
    eason1874
        62
    eason1874  
       2022-03-08 21:25:09 +08:00
    @thzero2020 #60 我的意思是你服务器有持续进行的违法行为,给你走退费流程就不错了,按规则能退多少那是另一回事

    当然你可以要求腾讯云和监管部门提供证据来坐实你的服务器确实违法了。我觉得没必要,因为你连挖矿木马的特征都不了解,你以为的清除干净 99.9999%只是你以为的
    laozhoubuluo
        63
    laozhoubuluo  
       2022-03-08 22:01:14 +08:00
    @eason1874
    起码得给楼主个明确依据吧,不管是数据包还是进程,不能说有问题就有问题。
    按您这理论犯罪嫌疑人直接全量就地枪决就行了,法院检察院以及律师事务所都可以关门歇业了。
    eason1874
        64
    eason1874  
       2022-03-08 23:12:42 +08:00
    @laozhoubuluo #63 我同意如果当事人要求提供证据,相关部门就得提供

    我觉得没必要去要求提供证据是因为楼主自己也确认服务器中了挖矿木马,而且他不知道这类木马除了计算还会转发流量,自带防杀,他只靠 CPU 占用率来判断已经清除完成,基本可以确定没有清除完
    FrankHB
        65
    FrankHB  
       2022-03-09 02:23:28 +08:00
    @eason1874 鹅说监管部门就监管部门,反正你是信了?
    前些天封我 QQ ,看样子就是季度末凑指标误封(最扯的是理由“涉嫌诈骗”,它要说发涩图我还可能得自肃一下是不是一时不察忘了骑兵),一样所谓“监管通报”。直接一堆法条投诉广东省通信管理局,隔几天就有广普口音的传说中的人工客服过来联系了给解封了。问了下“监管”是什么,答曰“警方”,然后愣是不告诉你是哪里的警方,呵呵。
    FrankHB
        66
    FrankHB  
       2022-03-09 02:34:29 +08:00
    @zxxufo008 什么逻辑,因为你不专业所以你就别想知道怎么出问题的了?
    eason1874
        67
    eason1874  
       2022-03-09 09:11:18 +08:00
    @FrankHB #65 注意看贴,楼主自己也确认中了挖矿木马

    挖矿木马有主机层和网络层两方面特征,楼主只排除了主机层就说清除了,处理方式相当不专业,这是评论区质疑没有误封的关键点

    如果楼主在主机层和网络层都进行确认没有挖矿行为,或者说重装系统并修复了漏洞,这样说后面是误封才站得住脚,要那样也不会有这么多质疑的
    zxxufo008
        68
    zxxufo008  
       2022-03-09 09:23:39 +08:00
    @thzero2020 谁主张,谁举证。自己拿不出来证据,确实是弱势的一方捏
    itechnology
        69
    itechnology  
       2022-03-09 09:49:59 +08:00
    @eason1874 反正我觉得最好的处理方式就是重装系统,这样肯定没有问题,不这样做,谁知道木马作者在哪个路径下偷偷留了脚本文件
    eason1874
        70
    eason1874  
       2022-03-09 10:20:08 +08:00
    @itechnology 重装然后恢复备份业务代码最好。这些人狡猾得很,我见过在网站代码里注入复活脚本的,通过网站请求触发,到了每月固定的几天才执行复活脚本,当时重装之后看着没事,过一段时间又复活了
    mortal
        71
    mortal  
       2022-03-09 12:42:01 +08:00 via iPhone
    腾讯就是这样的,我不用了。懒得和他们扯。
    ellipsis
        72
    ellipsis  
       2022-03-09 16:52:26 +08:00
    企业账号下面买了不少腾讯云服务,说封就封,连个理由原因都不给,是机密不方便透露
    bbbb
        73
    bbbb  
       2022-03-09 19:48:26 +08:00
    我遇到过,疑似挖矿,腾讯云说是广东的管理局查到异常直接封的,机器当时无法做任何操作,工单说他们没有权限解。。。应该是需要查东西还是怎么的,过了一天我就销毁了。
    FrankHB
        74
    FrankHB  
       2022-03-15 23:17:24 +08:00
    @eason1874 我对 LZ 的操作没有兴趣;相反,鹅厂的某些作为已经积累了足够的前科而足够引起公众关注。
    极端点说,LZ 把他所有身家都买主机挖矿,其社会危害性(姑且算有)也远不足以跟可能的误封相提并论。
    另外就是上面有人提的谁主张谁举证。我没看到这里有法定的举证责任倒置的情形。
    eason1874
        75
    eason1874  
       2022-03-16 00:32:51 +08:00
    @FrankHB 严格来讲,举证责任在腾讯云和监管部门。楼主不专业的操作表明了属于误封的概率极低。要是心里过不去就去工信部或者什么部门投诉吧,这事没什么好多说的了
    mikejson
        76
    mikejson  
       2022-03-25 14:40:46 +08:00
    楼主,看下机器里运行了什么程序,我们好避免
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3282 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 80ms · UTC 12:13 · PVG 20:13 · LAX 04:13 · JFK 07:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.