我有一台 Ubuntu VPS,版本 20.04。我安装了一些东西(NGINX、Python、fail2ban、virtualenv),但其他东西基本都保留了下来。
如果我运行top
,我会看到该进程squid
在 VPS 空闲时占用了一些 CPU 电量。但我从未安装过 squid!所以我深入研究了它(我甚至不知道 squid 是什么)。
显然,squid 在我的 VPS 上打开了端口 3128:
squid 537649 proxy 11u IPv4 18383089 0t0 TCP *:3128 (LISTEN)
sshd 537864 root 3u IPv4 18383919 0t0 TCP *:22 (LISTEN)
sshd 537864 root 4u IPv6 18383921 0t0 TCP *:22 (LISTEN)
nginx 537973 root 25u IPv4 16468161 0t0 TCP *:80 (LISTEN)
nginx 537973 root 26u IPv4 16468162 0t0 TCP *:443 (LISTEN)
nginx 537974 www-data 25u IPv4 16468161 0t0 TCP *:80 (LISTEN)
nginx 537974 www-data 26u IPv4 16468162 0t0 TCP *:443 (LISTEN)
nginx 537975 www-data 25u IPv4 16468161 0t0 TCP *:80 (LISTEN)
nginx 537975 www-data 26u IPv4 16468162 0t0 TCP *:443 (LISTEN)
nginx 537976 www-data 25u IPv4 16468161 0t0 TCP *:80 (LISTEN)
nginx 537976 www-data 26u IPv4 16468162 0t0 TCP *:443 (LISTEN)
nginx 537977 www-data 25u IPv4 16468161 0t0 TCP *:80 (LISTEN)
nginx 537977 www-data 26u IPv4 16468162 0t0 TCP *:443 (LISTEN)
systemd-r 538123 systemd-resolve 13u IPv4 18384190 0t0 TCP 127.0.0.53:53 (LISTEN)
如果我tail -f var/log/squid/access.log
能看到每分钟都有数千个我认为是恶意机器人发出的请求!
这只是很小的一部分,可能只是一瞬间的活动:
1650805416.411 1 77.222.96.40 TCP_MEM_HIT/200 7160 GET http://maxcdn.bootstrapcdn.com/font-awesome/4.3.0/css/font-awesome.min.css? - HIER_NONE/- text/css
1650805416.419 112 95.216.40.100 TCP_REFRESH_MODIFIED/301 637 GET http://www.digikala.com/ - HIER_DIRECT/31.7.79.114 text/html
1650805416.424 41 188.242.31.148 TCP_MISS/200 712 GET http://core3.proxyswitcher.com/_6870243785063c658699f31edbb33f8e.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.438 0 51.13.126.149 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.440 42 195.191.32.41 TCP_MISS/200 608 GET http://core3.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.453 631 138.2.60.212 TCP_MISS/503 4731 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.491 38 138.2.60.212 TCP_MISS/503 4702 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.518 45 46.63.68.233 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.526 123793 194.34.232.236 TCP_TUNNEL/200 219465 CONNECT www.thehut.com:443 - HIER_DIRECT/31.177.17.32 -
1650805416.526 34 138.2.60.212 TCP_MISS/503 4658 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.556 29 138.2.60.212 TCP_MISS/503 4660 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.569 45 95.216.40.100 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.580 936 138.2.60.212 TCP_MISS/503 4660 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.588 32 138.2.60.212 TCP_MISS/503 4702 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.608 0 46.63.68.233 NONE/400 3793 A error:invalid-request - HIER_NONE/- text/html
1650805416.621 32 138.2.60.212 TCP_MISS/503 4689 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.627 0 195.191.32.41 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.631 107 188.242.31.148 TCP_MISS/200 721 POST http://core3.proxyswitcher.com/_6870243785063c658699f31edbb33f8e.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.656 34 138.2.60.212 TCP_MISS/503 4711 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.672 0 223.233.67.29 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.673 192 223.238.162.231 TCP_MEM_HIT/200 26084 GET http://ajax.googleapis.com/ajax/libs/jquerymobile/1.4.5/jquery.mobile.min.css - HIER_NONE/- text/css
1650805416.680 0 77.222.96.40 TCP_MEM_HIT/200 20568 GET http://yastatic.net/bootstrap/3.3.6/css/bootstrap.min.css - HIER_NONE/- text/css
1650805416.693 81 102.191.38.132 TCP_MEM_HIT/200 26084 GET http://ajax.googleapis.com/ajax/libs/jquerymobile/1.4.5/jquery.mobile.min.css - HIER_NONE/- text/css
1650805416.709 0 95.216.40.100 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.712 173 51.13.126.149 TCP_TUNNEL/200 7229 CONNECT cdnjs.cloudflare.com:443 - HIER_DIRECT/104.17.25.14 -
1650805416.729 72 138.2.60.212 TCP_MISS/503 4822 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.729 47 85.174.197.1 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
从这里我得知,Squid 在我的 VPS 上创建了一个开放代理供所有人使用(不知道它是否真的有效,或者这些机器人只是在尝试,但无论如何都不好!)。所以我的问题是:
这是 Ubuntu 的默认行为吗?在启动时启动 squid,以便它可以打开端口 3128?
如果是,他们到底在想什么?这样做的目的是什么?
如果不是,哪个应用程序负责执行此操作?
我可以安全地卸载或关闭 squid 吗?如果我关闭它,我使用 Python+NGINX 托管的网站上不会发生任何变化。
答案1
默认情况下,Squid 带有限制规则,因此只有 localhost 或 localnet (rfc1918) 可以将其用作转发代理。
代理可以用于不同的目的,既可以从受保护的环境访问外部(互联网)资源,也可以向互联网提供一些本地服务,充当具有过滤功能的缓存。
你的流量是一件坏事,你应该尽快停止。首先设置一些防火墙规则,这样互联网上的任何人都不能使用它,或者最终设置它,这样只有本地服务通过它的代理功能提供,但不转发到互联网,或者如果你不使用它,最终卸载它,并清除配置apt remove --purge squid
停止这个配置错误的服务后,问问自己为什么它会有这么糟糕的配置?
是否存在不良依赖关系(带有配置)?
是别人安装的吗?
您是该服务器上唯一的管理员吗?
是否存在未清除错误配置的旧 squid 安装,依赖项安装刚刚重新激活。
简而言之,对您的系统进行安全审核。