全球主机交流论坛

标题: hetzner这刚开两天的机器都还没用就说我正在扫描？ [打印本页]

作者: 木易酱 时间: 2018-3-19 08:03
标题: hetzner这刚开两天的机器都还没用就说我正在扫描？
昨天上午给我发邮件说我的服务器正在遭受攻击，然后让我回复他们说明情况，我都还没来得及回复又来一份邮件告诉我攻击被解除了，说让我还要必须回复他们说明情况，然后我回复说不知道什么情况。下午收到一个他们的邮件，告诉我说我的服务器正在扫描攻击别人。然后把我服务器停了。我去，有这么坑爹的吗？下面是一部分截图，用的wget -O- 'https://mirror.joodle.nl/WindowsServer2016Evaluation-Template.gz' | gunzip | dd of=/dev/sda这个DD包，是不是加入后门了。
Dear Sir or Madam

Your server with the above-mentioned IP address has performed scans on other servers on the Internet.

This has placed a considerable strain on network resources and, as a result, a segment of our network has been adversely affected.

Your server has therefore been deactivated as a precautionary measure.

A corresponding log history is attached at the end of this email.

For guidelines on how to proceed next please see:

http://wiki.hetzner.de/index.php/Leitfaden_bei_Serversperrung/en
If you have any questions or requests, please send us a support request via your Robot administration interface (https://robot.your-server.de).
Please log in to Robot using your login. Then click on the user icon in the upper right hand corner and then on "Support". Under "Unblock requests" please select the corresponding Blocking ID and return the completed form to us.
We shall reply to your support request as soon as we can.

Best regards

Your Hetzner Online Team

##########################################################################
#             Netscan detected from host 95.216.11.186             #
##########################################################################

time             protocol src_ip src_port       dest_ip dest_port
---------------------------------------------------------------------------
Sat Mar 17 03:12:16 2018 TCP 95.216.11.186 51706 =>  31.187.112.135 3389
Sat Mar 17 03:12:16 2018 TCP 95.216.11.186 51706 =>    37.1.125.30 3389
Sat Mar 17 03:12:16 2018 TCP 95.216.11.186 51706 => 46.28.187.239 3389
Sat Mar 17 03:12:15 2018 TCP 95.216.11.186 51706 =>  46.108.154.156 3389
Sat Mar 17 03:12:15 2018 TCP 95.216.11.186 51706 => 46.108.178.90 3389

作者: longskay 时间: 2018-3-19 08:20
我的也被用来DDOS了换回centos了别人的DD包真的不能用

作者: streamer 时间: 2018-3-19 08:31
昨天DD后没两分钟也收到了什么端口映射的邮件

作者: 木易酱 时间: 2018-3-19 08:32

longskay 发表于 2018-3-19 08:20
我的也被用来DDOS了换回centos了别人的DD包真的不能用

看来真的有毒

作者: 木易酱 时间: 2018-3-19 08:54

streamer 发表于 2018-3-19 08:31
昨天DD后没两分钟也收到了什么端口映射的邮件

看来DD包真的不靠谱

作者: 2496 时间: 2018-3-19 08:56
是不是没改密码啊？用的默认密码被爆破了

作者: alect 时间: 2018-3-19 08:56
这个包有毒，之前看到过谁已经说过了

作者: 木易酱 时间: 2018-3-19 08:59

alect 发表于 2018-3-19 08:56
这个包有毒，之前看到过谁已经说过了

我去，看来我真的中招了。

作者: fl20002 时间: 2018-3-19 09:00
自己做个吧，10分钟的事情

作者: kumotobi 时间: 2018-3-19 09:02
系统用linux 装个proxmox，开kvm虚拟装windows最省心

作者: 2496 时间: 2018-3-19 09:03
dd再完用硬盘重装系统再装一遍就没毒了

作者: 木易酱 时间: 2018-3-19 09:12

2496 发表于 2018-3-19 08:56
是不是没改密码啊？用的默认密码被爆破了

楼下的说我用的包有毒，看来是真是DD包的原因。

作者: 木易酱 时间: 2018-3-19 09:13

fl20002 发表于 2018-3-19 09:00
自己做个吧，10分钟的事情

求详细教程

作者: 木易酱 时间: 2018-3-19 09:14

kumotobi 发表于 2018-3-19 09:02
系统用linux 装个proxmox，开kvm虚拟装windows最省心

不想搞那么麻烦

作者: myseil 时间: 2018-3-19 10:17

木易酱发表于 2018-3-19 09:14
不想搞那么麻烦

自制Server 2012 R2中文版：
wget -O- http://212.83.165.116/Win2012R2ZW.gz |gunzip|dd of=/dev/sda
用户名密码：
Administrator
Laiboke.com

他的很安全我DD两台没有收到任何邮件

作者: eye8788 时间: 2018-3-19 10:23
提示: 作者被禁止或删除内容自动屏蔽

作者: 木易酱 时间: 2018-3-19 10:24

myseil 发表于 2018-3-19 10:17
自制Server 2012 R2中文版：
wget -O- http://212.83.165.116/Win2012R2ZW.gz |gunzip|dd of=/dev/sda
用 ...

好，谢谢

作者: 木易酱 时间: 2018-3-19 10:25

eye8788 发表于 2018-3-19 10:23
应该是被扫了，没有及时修改默认密码，我上次装的也是他的，是2008的，同样是这个问题，被警告了。

我昨天 ...

恩，我装了云锁

作者: s1ngle 时间: 2018-3-19 13:20
跟楼主一样的情况。不过我用的是我自己从 MSDN下载的 win7 做的DD包。一模一样的情况.

作者: 滑稽 时间: 2018-3-19 15:46
这个包没问题，但是默认windows防火墙是关闭的，dd完之后尽快登录，修改密码，启用防火墙，禁用netbios，然后就没事了。

作者: liutianshu77 时间: 2018-3-19 18:16
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)