【震惊】被凉心云石锤了！！！

jsdv

我自己的服务器，自己很清楚没有任何可以翻墙的客户端。
原贴：https://mjj.022333.xyz/thread-1095928-1-1.html 【凉心上海】就挂了个NPS和一个火车头，就被判定违规了
火绒剑如下：

可以看到该端口明显是NPS的服务端，而NPS只连了境内家里的路由器
但是被客服石锤了


现在有几个猜测
1.我自己都不知道这台机器能访问谷歌，而且当时机器从接到通知到现在一直是无公网的状态，客服是怎么在10点的时候curl通的？


难道客服弄假证据？
2.我在工单里让客服第一次提拿出证据明显已经超过10点了，可以看图片

他是怎么先知先觉在10点发起curl的
3.综合以上2点，现在要求客服给我开公网10分钟自己验证

不知道会不会同意
4.家里的路由器是老毛子的华硕，是开了clash的，能够爬梯子；但是在NPS上只做：80和9291的域名解析还有一条6800的tcp路线出去

难道是这个6800（路由器的透明端口是7891）映射了一个客服说的那个端口然后通过家里路由器访问出去的？
有没有用过nps的mjj发现或者了解这种情况？

lijihede

你在这亮证据没什么用，别人用一条CURL就证实你有开放式代理。而且命令行上有你的IP地址，这个不会错。至于你是有意还是无意，这个就不得而知。

lovecan

魏王曹操 发表于 2022-11-9 17:48
良心上海也能当梯子的吗？

他开了nps。nps通过sock5映射到家里机器。家里机器自动上网代理。当别人通过他的服务器sock5访问google的时候，就相当于通过家里机器访问google。

HOH

笑死，还在耍赖，建议腾讯大楼跳楼

zgs

想搞你有很多方法
你否定了这一个还有另一个

mmc199

jsdv

windows登陆日志被人清了

破不了案了

jsdv

lovecan 发表于 2022-11-9 18:23
估计没人用过过。只是腾讯扫到了而已。
我不知道火绒啥用。但是你自己开的代理，不算入侵吧。
至于怎么开 ...

nps跟frp不一样
frp的配置在客户端，但是nps是无客户端配置的，都是在服务端的面板上以及json。
确实不是我自己开的代理

我开的只是6800tcp的Aria2

lovecan

jsdv 发表于 2022-11-9 18:17
我说流量小是想表达这个socks应该没人走过，要是经常走的话不可能只有这么点流量（排除你说的frp那种模式 ...

估计没人用过过。只是腾讯扫到了而已。
我不知道火绒啥用。但是你自己开的代理，不算入侵吧。
至于怎么开了这个sock5，你自己排查吧。我没用过nps，也不清楚你的客户端、服务器nps配置。内网穿透的主动权在客户端那边，你看下客户端配置。

jsdv

lovecan 发表于 2022-11-9 18:07
跟流量没关系。你这个sock5代理可能没人知道。猜测腾讯会把你机器的全部端口扫描一遍，看看有没有sock5、 ...

我说流量小是想表达这个socks应该没人走过，要是经常走的话不可能只有这么点流量（排除你说的frp那种模式，建立连接后直接点对点了）
另外，目前的疑惑是：是谁怎么建立的？我这台服务器是装了火绒全开了深透和入侵的。另外一点，为什么有socks通道没有在面板和配置体现

lovecan

jsdv 发表于 2022-11-9 18:00
我也看了文档，确实如你所说。

但是我整个服务器的流量才3个G，

跟流量没关系。你这个sock5代理可能没人知道。猜测腾讯会把你机器的全部端口扫描一遍，看看有没有sock5、http、https这样的代理。如果有的话就通过这个代理请求Google之类的。如果通过的话，就会判定为富强。至于你是什么程序在监听端口，端口转发到什么机器他们不管。

另外这个文档关于sock5的描述很含糊。根据我的理解和使用frps的经验，一旦nps服务器和客户端建立连接，不需要服务器设置这个端口，是客户端设置的。客户端注册这个接口后，服务器就会监听。frps就是这样的。

jsdv

lovecan 发表于 2022-11-9 17:44
如果不是你有意的，那就是恶意脚本或者木马了。恶意开启了58943端口的木马。
我看了下nps的说明文件，nps ...

我也看了文档，确实如你所说。

但是我整个服务器的流量才3个G，

另外一个问题就是，nps如果要建立socks5，必定会在配置文件或者后台有所体现。
但是我已经把文件夹下面的conf和json都搜了，依然没发现。

目前的思路是先完整的查下windows审计日志，解决了问题再去解封，不然很快又会被搞一遍

魏王曹操

良心上海也能当梯子的吗？