linda

一键安装脚本只能安装单一服务，没有配置文件备份恢复功能，还存在安装客户信息泄露的问题：当你使用在线一键安装脚本时，对方服务器WEB日志中有你的来源IP，有可能被利用反过来扫描你这个IP的开放服务。

话不多说，先上几张图。



上面这几张图是我在TX云的学生鸡（没错，1M带宽的那个）在5月12号开始到今天下午（5/23）四点左右的数据。事情起因是因为我在10号左右的时候闲的无聊搭了一个OpenVPN免流，照着网上的配置（某某汪的配置文件，没用她的2进制文件）自己搭了squid+openvpn。当时测下来速度并不理想，速度只有60KB/S，于是就放弃了这个想法。
前几天尝试SSH登录TX云的时候一直没有反应，我还以为是我安全组出了问题，当时并没有考虑太多。直到今天练完车了我说还是上去看看吧，结果到VNC登录卡了半天。我就纳闷怎么回事儿。习惯性地ps -axmf加netstat -an，结果这一幕，也就是我在上面发的图，彻底吓呆我了。
服务器80端口并发2300个连接。
这他妈就比较尴尬了，想起之前搭免流的时候squid就是80，立马想到这他妈一定是透明代理没做验证被人扫了。然后马上动手service squid stop && apt-get remove squid3 openvpn，想尽快避免问题加重（万一别人拿我服务器当跳板就不好玩了
然后看了下squid的日志

麻痹。。。你们这些人啊，到底是有多疯狂。。。我外网带宽就TM 1M，1M啊，你们至于嘛。。。
把之前停掉的nginx打开，然后情况才好了许多。然而因为80端口还开着，短短5分钟内，access.log就成了。。。。


最后就成了。。。。。

（话说我是不是可以故意钓个鱼之类的 =。= 黑产第一步啊
然而再一次netstat的时候情况依然不容乐观，还是一堆的连接。。。。搞得我都无聊的开始看网速了。。。

我说你们这是何必呢 =。= 12天跑了尼玛400G流量（外网120G左右），你们到底在做些什么啊喂，我TM才拿到鹅厂实习生，你们别让我刚进去就“小伙，你的服务器干了些啥坏事儿了？”（手滑
这尼玛透明代理不做验证简直就是找死啊。。。而且还这么不走运被人扫了（难不成有人一直盯着我2333333
然后一边折腾清掉透明代理一边做防火墙，最后搞得实在是尴尬了先去删掉了Nginx的80端口监听，结果这一堆的LAST_ACK搞得我这个强迫症看得很是不爽，干脆去安全组关了80.
世界一片清净。
所以呢，说了这么多，总的就是：
1.我服务器被滥用了，因为透明代理
2.透明代理存在的原因是因为免流
3.免流的配置文件是网上人尽皆知的XX汪的配置文件
那么问题来了，其实某种意义上免流这种东西本身就不应该公众大肆传播的（运营商自己知道这回事你自己低调用就够了，故意宣传出来的话肯定活不长），而偏偏这时候出来了一堆的配置教程和脚本
而且最主要的是：这些脚本都是出奇的一致，那就是squid没有任何验证，而且都是80端口
我不想讨论80端口对免流是不是有影响，但是一个配置文件发出来肯定要考虑其安全问题。既然开在一个常用端口却不作任何身份验证，等于把一个透明代理透明给全部人。你要是少数都还好。
问题就是这个脚本的用户太多了。
我不得不带恶意揣测一下动机呢，如果原作者是无意的，那么用户这么多了总归应该会有人注意到这个问题，我不相信用这个脚本的全部是小白。而现在的情况，不管原作者有意无意，实际上可以说，只要用了这套脚本的，等于是把裤子脱了等别人来艹。事实就是如此，就和我这TX云的学生鸡一样。这东西，80端口代理批量扫描的多了去了，两朵云的IP段扫一扫，说不定就是一堆。白来的资源啊有木有。
有人看了这个估计会喷我，说人家好心好意分享你却跑出来说三道四你行你自己搭之类的，我只想说一句：清者自清。
所以在最后我也就不想说多的了吧，你们自己做好squid的安全配置，这东西网上一搜一堆的就不需要我贴了吧。
至于所谓的一键脚本，我个人的观点还是那样，能自己动手就少一键。

原文: https://sunflyer.cn/archives/359

[ 本帖最后由 linda 于 2019-4-6 17:41 编辑 ]

linda

今天在群里谈到了 wget --no-check-certificate。
这个参数会让你在 wget 对 https 站点的请求时不再验证证书，即“不请求验证”的意思。

这个参数所带来的隐患就是：例如现在很多教程或脚本的分享站(包括许多各路大佬的站点)为了省事都使用了这个参数，而埋下了例如中间人这种隐患。例如，假设 高墙 劫持了某个脚本大户站点的访问，那么用 no-check-certificate 参数的那么多用户都要遭殃。

要避免这点很简单：
1. 在 wget 时去掉 --no-check-certificate 参数
2. 如果遇到 "wget ... not trusted ..." 这种报错，不要使用 no-check-certificate 这个参数，这是治标不治本的方法，还后患无穷。正确的解决方法是：
apt-get install -y ca-certificates
3. 尽量使用完整 https 访问。

原文：https://www.locmjj.com/21.html