全球主机交流论坛

标题: 【震惊】被凉心云石锤了！！！ [打印本页]

作者: jsdv 时间: 2022-11-9 16:08
标题: 【震惊】被凉心云石锤了！！！
本帖最后由 jsdv 于 2022-11-9 16:39 编辑

我自己的服务器，自己很清楚没有任何可以翻墙的客户端。
原贴：https://mjj.022333.xyz/thread-1095928-1-1.html 【凉心上海】就挂了个NPS和一个火车头，就被判定违规了
火绒剑如下：

可以看到该端口明显是NPS的服务端，而NPS只连了境内家里的路由器
但是被客服石锤了

现在有几个猜测
1.我自己都不知道这台机器能访问谷歌，而且当时机器从接到通知到现在一直是无公网的状态，客服是怎么在10点的时候curl通的？

难道客服弄假证据？
2.我在工单里让客服第一次提拿出证据明显已经超过10点了，可以看图片

他是怎么先知先觉在10点发起curl的
3.综合以上2点，现在要求客服给我开公网10分钟自己验证

不知道会不会同意
4.家里的路由器是老毛子的华硕，是开了clash的，能够爬梯子；但是在NPS上只做：80和9291的域名解析还有一条6800的tcp路线出去

难道是这个6800（路由器的透明端口是7891）映射了一个客服说的那个端口然后通过家里路由器访问出去的？

有没有用过nps的mjj发现或者了解这种情况？

作者: zgs 时间: 2022-11-9 16:09
想搞你有很多方法
你否定了这一个还有另一个

作者: 美国总统奥巴马 时间: 2022-11-9 16:09
阿祖，收手吧，你干不过tx的

作者: 战神赵日天 时间: 2022-11-9 16:14
阿祖，收手吧，你涉嫌栽赃造谣诬陷国营企业，现在不是南山法院给你发传票，而是全国任何一个法院都可以给你传票，建议就近派出所自首！

作者: 优质节点 时间: 2022-11-9 16:16

阿祖，收手吧，你干不过tx的

作者: HOH 时间: 2022-11-9 16:17
笑死，还在耍赖，建议腾讯大楼跳楼

作者: lijihede 时间: 2022-11-9 16:21
你在这亮证据没什么用，别人用一条CURL就证实你有开放式代理。而且命令行上有你的IP地址，这个不会错。至于你是有意还是无意，这个就不得而知。

作者: jsdv 时间: 2022-11-9 16:23

HOH 发表于 2022-11-9 16:17
笑死，还在耍赖，建议腾讯大楼跳楼

不存在耍赖。
我要是自己装过梯子服务端客户端怎么可能跟他们硬钢

作者: jsdv 时间: 2022-11-9 16:25
本帖最后由 jsdv 于 2022-11-9 16:26 编辑

lijihede 发表于 2022-11-9 16:21
你在这亮证据没什么用，别人用一条CURL就证实你有开放式代理。而且命令行上有你的IP地址，这个不会错。至于 ...

只是百思不得其解
确实这个端口就是来自nps，但是nps配置上找不到跟这个端口有关的信息

作者: balala 时间: 2022-11-9 16:29
小心把你送到公安局！

作者: 好鸭 时间: 2022-11-9 16:35
他是10点40分44秒，不是10点44分，不过应该区别不大

作者: louiejordan 时间: 2022-11-9 16:37
腾讯鸡只适合挂探针吃灰，稍微做点什么就有可能说你违规

作者: leglo 时间: 2022-11-9 16:40
同样腾讯云，NPS使用一年多了，一切正常~

作者: 天空的圣域 时间: 2022-11-9 16:43
可能你自己装的程序有后门或者插件，可能你不是有意的，但是你自己的软件你要替他负责。那个curl作为证据没什么可反驳的。

作者: kenutu 时间: 2022-11-9 16:45
认命吧，我的域名违规，URL地址写的是无，直接封了

作者: yumingshang 时间: 2022-11-9 16:46
反正我不用

作者: jsdv 时间: 2022-11-9 16:46

天空的圣域发表于 2022-11-9 16:43
可能你自己装的程序有后门或者插件，可能你不是有意的，但是你自己的软件你要替他负责。那个curl作为证据没 ...

官方github上下的，nps应该没问题。
上次登录onedrive登录不上还为此专门找了hosts，要是能直接访问google，那也不会有onedrive登录不上了

作者: maxwells 时间: 2022-11-9 16:47
凉心云能干的不多！

作者: xining 时间: 2022-11-9 16:59
如果要是都摆证据那说明还好。比什么相关部门要求舒服多了。

作者: 萌新の小白 时间: 2022-11-9 17:20
腾讯这种垃圾我劝你趁早别用

作者: lovecan 时间: 2022-11-9 17:33
没明白，服务器58943端口映射到家里的什么端口？

作者: jsdv 时间: 2022-11-9 17:33

xining 发表于 2022-11-9 16:59
如果要是都摆证据那说明还好。比什么相关部门要求舒服多了。

没想到真拿出证据来了，，，我自己都没想到能访问google。
准备含泪签承诺书解封后远程传个everything去全文搜索了。
实在找不到这个端口的任何配置信息。

作者: omo.moe 时间: 2022-11-9 17:34
如果直接连到家里的v2，那你肯定从服务器能直接上外网了，这波是你的问题

作者: jsdv 时间: 2022-11-9 17:34

lovecan 发表于 2022-11-9 17:33
没明白，服务器58943端口映射到家里的什么端口？

我也没明白啊，火绒剑确实显示nps监听了58943，但是我在nps的配置下面搜了几遍看了几遍也没发现这个端口的配置

作者: jsdv 时间: 2022-11-9 17:36

omo.moe 发表于 2022-11-9 17:34
如果直接连到家里的v2，那你肯定从服务器能直接上外网了，这波是你的问题 ...

可是路由器的透明通道是7891，服务器穿透的tcp是6800，Aria2的端口。
而能访问的58943把配置文件翻烂了也没发现

作者: acaiplus 时间: 2022-11-9 17:41
这curl都实锤了啊。。。开放式代理，socks5也不加个密码，真刑啊。

建议重装系统然后用轻量的防火墙挡一挡。。别再这么傻白甜了啊。放行ALL就容易出问题啊

作者: lovecan 时间: 2022-11-9 17:44

jsdv 发表于 2022-11-9 17:34
我也没明白啊，火绒剑确实显示nps监听了58943，但是我在nps的配置下面搜了几遍看了几遍也没发现这个端口 ...

如果不是你有意的，那就是恶意脚本或者木马了。恶意开启了58943端口的木马。
我看了下nps的说明文件，nps开启58943端口的sock5代理，理论上你的内网机器就是一个可以通过服务器公网ip任意访问的sock5代理了。你的内网机器又能上网代理，那基本相当于你把上网代理服务以sock5代理的方式分享出去了。
这样的话，腾讯云封你理所应当了。唯一疑点就是不知道58943谁开的。

作者: 魏王曹操 时间: 2022-11-9 17:48
良心上海也能当梯子的吗？

作者: lovecan 时间: 2022-11-9 17:55

魏王曹操发表于 2022-11-9 17:48
良心上海也能当梯子的吗？

他开了nps。nps通过sock5映射到家里机器。家里机器自动上网代理。当别人通过他的服务器sock5访问google的时候，就相当于通过家里机器访问google。

作者: jsdv 时间: 2022-11-9 18:00
本帖最后由 jsdv 于 2022-11-9 18:02 编辑

lovecan 发表于 2022-11-9 17:44
如果不是你有意的，那就是恶意脚本或者木马了。恶意开启了58943端口的木马。
我看了下nps的说明文件，nps ...

我也看了文档，确实如你所说。

但是我整个服务器的流量才3个G，

另外一个问题就是，nps如果要建立socks5，必定会在配置文件或者后台有所体现。
但是我已经把文件夹下面的conf和json都搜了，依然没发现。

目前的思路是先完整的查下windows审计日志，解决了问题再去解封，不然很快又会被搞一遍

作者: lovecan 时间: 2022-11-9 18:07
本帖最后由 lovecan 于 2022-11-9 18:13 编辑

jsdv 发表于 2022-11-9 18:00
我也看了文档，确实如你所说。

但是我整个服务器的流量才3个G，

跟流量没关系。你这个sock5代理可能没人知道。猜测腾讯会把你机器的全部端口扫描一遍，看看有没有sock5、http、https这样的代理。如果有的话就通过这个代理请求Google之类的。如果通过的话，就会判定为富强。至于你是什么程序在监听端口，端口转发到什么机器他们不管。

另外这个文档关于sock5的描述很含糊。根据我的理解和使用frps的经验，一旦nps服务器和客户端建立连接，不需要服务器设置这个端口，是客户端设置的。客户端注册这个接口后，服务器就会监听。frps就是这样的。

作者: jsdv 时间: 2022-11-9 18:17

lovecan 发表于 2022-11-9 18:07
跟流量没关系。你这个sock5代理可能没人知道。猜测腾讯会把你机器的全部端口扫描一遍，看看有没有sock5、 ...

我说流量小是想表达这个socks应该没人走过，要是经常走的话不可能只有这么点流量（排除你说的frp那种模式，建立连接后直接点对点了）
另外，目前的疑惑是：是谁怎么建立的？我这台服务器是装了火绒全开了深透和入侵的。另外一点，为什么有socks通道没有在面板和配置体现

作者: lovecan 时间: 2022-11-9 18:23

jsdv 发表于 2022-11-9 18:17
我说流量小是想表达这个socks应该没人走过，要是经常走的话不可能只有这么点流量（排除你说的frp那种模式 ...

估计没人用过过。只是腾讯扫到了而已。
我不知道火绒啥用。但是你自己开的代理，不算入侵吧。
至于怎么开了这个sock5，你自己排查吧。我没用过nps，也不清楚你的客户端、服务器nps配置。内网穿透的主动权在客户端那边，你看下客户端配置。

作者: jsdv 时间: 2022-11-9 18:28
本帖最后由 jsdv 于 2022-11-9 18:29 编辑

lovecan 发表于 2022-11-9 18:23
估计没人用过过。只是腾讯扫到了而已。
我不知道火绒啥用。但是你自己开的代理，不算入侵吧。
至于怎么开 ...

nps跟frp不一样
frp的配置在客户端，但是nps是无客户端配置的，都是在服务端的面板上以及json。
确实不是我自己开的代理

我开的只是6800tcp的Aria2

作者: jsdv 时间: 2022-11-9 18:34
windows登陆日志被人清了

破不了案了

作者: mmc199 时间: 2022-11-23 14:35

欢迎光临全球主机交流论坛 (https://mjj.022333.xyz/)