服务器被linuxdo佬友突破了

前几天发现我之前未公开使用的密钥有异常的流量,浅浅分析了一下,发现有陌生的IP请求成功了/v1/chat/completions接口,传送门:oneapi有这种请求是不是说明被突破了?

今天查了一下最近的服务器日志,发现原来这种情况之前就存在,而且是少量IP在搞事。


然后对这些IP做了一些调查,发现都是挂了很多服务,且基本都有oneapi/newapi站点。其中还有一个接了linuxdo的服务 :rofl:
这里补充一下:刚跟站点佬友确认了一下,他是服务部署在sealos上,IP可能是共享的。

不过还是不太清楚这是咋实现的,我的ssh root、oneapi root和数据库都是强密码,这咋还能被突破了呢

欢迎讨论!

9 Likes

ssh用密钥的吗,端口改了吗,fail2ban配了没

1 Like

没有,没有做的那么安全,但是强密码被暴力破解是否也有很多日志?

fail2ban倒是配了,默认五次请求失败后自动ban掉IP

ssh的状态日志里应该会存一些
fail2ban有的话要检查一下是否正常运行
应该重点看一下你的密钥是不是泄露了,上传到了网络甚至Github上
你调用密钥,如果客户端是固定的IP,那么单独加个反代开白名单比较好,或者服务器安全组上限定IP/IP组

1 Like

不一定是突破,也可能是程序存在一些问题泄露了接口什么的?

1 Like

除了80,443,22端口全关,ssh 不要密码登录了。如果有宝塔等面板也关掉。fail2ban 是基操。

1 Like

我博客站ssh key+非标端口+禁root,每日200ip,还没有被突破过

1 Like

关于fail2ban有个问题顺便请教大佬,如果我的oneapi只在服务器上部署的站点使用(oneapi和站点部署在一个服务器上),那我该如何设置fail2ban的白名单?谢谢!

有可能,服务器上部署的内容有些多,不过都是写star多的开源项目

是的,后面改成密钥了,不过我用的1panel,这个也要关掉嘛?

不是很懂哪里出现问题了 提供一个思路 找一下日志中 最早这个ip请求是从什么时候开始的 访问了什么

1 Like

1pctl stop
不想关就两步验证

这样是安全了,但是使用上会不会很麻烦

嗯嗯,会再去调查一下,谢谢佬

fail2ban肯定不用设白名单,因为你自己会在任何地方的网络尝试登录。
你的oneapi最好走一个反代(如果要外部访问的话),或者端口不开放访问,这样的话oneapi只能被localhost(也就是你的服务器)访问。

1 Like

未必是oneapi被突破了,可能是分发令牌、使用api第三方工具的时候泄露了,oneapi 真泄露了人家可以直接把 key 搞走,无声无息不留调用日志

1 Like

不会的,因为有异常日志的api key是我给一个站点单独设置的,但是那个站点我部署失败了,就没有用过。也就是说没在公开场合用过

如果异常日志只集中在某个 api key,那更不会是主站点被突破了

1 Like

注入什么的都有可能,我newapi关闭注册,服务器只有我自己登录,结果newapi数据库user里还是会有别人的信息

1 Like