为什么在我的 Ubuntu VPS 中,Squid 代理始终默认开启并监听?

tag-icon tag-icon linux ubuntu proxy squid
为什么在我的 Ubuntu VPS 中,Squid 代理始终默认开启并监听?

我有一台 Ubuntu VPS,版本 20.04。我安装了一些东西(NGINX、Python、fail2ban、virtualenv),但其他东西基本都保留了下来。

如果我运行top,我会看到该进程squid在 VPS 空闲时占用了一些 CPU 电量。但我从未安装过 squid!所以我深入研究了它(我甚至不知道 squid 是什么)。

显然,squid 在我的 VPS 上打开了端口 3128:

squid     537649           proxy   11u  IPv4 18383089      0t0  TCP *:3128 (LISTEN)
sshd      537864            root    3u  IPv4 18383919      0t0  TCP *:22 (LISTEN)
sshd      537864            root    4u  IPv6 18383921      0t0  TCP *:22 (LISTEN)
nginx     537973            root   25u  IPv4 16468161      0t0  TCP *:80 (LISTEN)
nginx     537973            root   26u  IPv4 16468162      0t0  TCP *:443 (LISTEN)
nginx     537974        www-data   25u  IPv4 16468161      0t0  TCP *:80 (LISTEN)
nginx     537974        www-data   26u  IPv4 16468162      0t0  TCP *:443 (LISTEN)
nginx     537975        www-data   25u  IPv4 16468161      0t0  TCP *:80 (LISTEN)
nginx     537975        www-data   26u  IPv4 16468162      0t0  TCP *:443 (LISTEN)
nginx     537976        www-data   25u  IPv4 16468161      0t0  TCP *:80 (LISTEN)
nginx     537976        www-data   26u  IPv4 16468162      0t0  TCP *:443 (LISTEN)
nginx     537977        www-data   25u  IPv4 16468161      0t0  TCP *:80 (LISTEN)
nginx     537977        www-data   26u  IPv4 16468162      0t0  TCP *:443 (LISTEN)
systemd-r 538123 systemd-resolve   13u  IPv4 18384190      0t0  TCP 127.0.0.53:53 (LISTEN)

如果我tail -f var/log/squid/access.log能看到每分钟都有数千个我认为是恶意机器人发出的请求!

这只是很小的一部分,可能只是一瞬间的活动:

1650805416.411      1 77.222.96.40 TCP_MEM_HIT/200 7160 GET http://maxcdn.bootstrapcdn.com/font-awesome/4.3.0/css/font-awesome.min.css? - HIER_NONE/- text/css
1650805416.419    112 95.216.40.100 TCP_REFRESH_MODIFIED/301 637 GET http://www.digikala.com/ - HIER_DIRECT/31.7.79.114 text/html
1650805416.424     41 188.242.31.148 TCP_MISS/200 712 GET http://core3.proxyswitcher.com/_6870243785063c658699f31edbb33f8e.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.438      0 51.13.126.149 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.440     42 195.191.32.41 TCP_MISS/200 608 GET http://core3.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.453    631 138.2.60.212 TCP_MISS/503 4731 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.491     38 138.2.60.212 TCP_MISS/503 4702 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.518     45 46.63.68.233 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.526 123793 194.34.232.236 TCP_TUNNEL/200 219465 CONNECT www.thehut.com:443 - HIER_DIRECT/31.177.17.32 -
1650805416.526     34 138.2.60.212 TCP_MISS/503 4658 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.556     29 138.2.60.212 TCP_MISS/503 4660 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.569     45 95.216.40.100 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.580    936 138.2.60.212 TCP_MISS/503 4660 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.588     32 138.2.60.212 TCP_MISS/503 4702 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.608      0 46.63.68.233 NONE/400 3793 A error:invalid-request - HIER_NONE/- text/html
1650805416.621     32 138.2.60.212 TCP_MISS/503 4689 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.627      0 195.191.32.41 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.631    107 188.242.31.148 TCP_MISS/200 721 POST http://core3.proxyswitcher.com/_6870243785063c658699f31edbb33f8e.php - HIER_DIRECT/78.84.180.215 text/html
1650805416.656     34 138.2.60.212 TCP_MISS/503 4711 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.672      0 223.233.67.29 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.673    192 223.238.162.231 TCP_MEM_HIT/200 26084 GET http://ajax.googleapis.com/ajax/libs/jquerymobile/1.4.5/jquery.mobile.min.css - HIER_NONE/- text/css
1650805416.680      0 77.222.96.40 TCP_MEM_HIT/200 20568 GET http://yastatic.net/bootstrap/3.3.6/css/bootstrap.min.css - HIER_NONE/- text/css
1650805416.693     81 102.191.38.132 TCP_MEM_HIT/200 26084 GET http://ajax.googleapis.com/ajax/libs/jquerymobile/1.4.5/jquery.mobile.min.css - HIER_NONE/- text/css
1650805416.709      0 95.216.40.100 NONE/400 3794 A error:invalid-request - HIER_NONE/- text/html
1650805416.712    173 51.13.126.149 TCP_TUNNEL/200 7229 CONNECT cdnjs.cloudflare.com:443 - HIER_DIRECT/104.17.25.14 -
1650805416.729     72 138.2.60.212 TCP_MISS/503 4822 GET https://8du.shop/ - HIER_DIRECT/188.114.96.7 text/html
1650805416.729     47 85.174.197.1 TCP_MISS/200 608 GET http://core2.proxyswitcher.com/mwf.php - HIER_DIRECT/78.84.180.215 text/html

从这里我得知,Squid 在我的 VPS 上创建了一个开放代理供所有人使用(不知道它是否真的有效,或者这些机器人只是在尝试,但无论如何都不好!)。所以我的问题是:

  1. 这是 Ubuntu 的默认行为吗?在启动时启动 squid,以便它可以打开端口 3128?

  2. 如果是,他们到底在想什么?这样做的目的是什么?

  3. 如果不是,哪个应用程序负责执行此操作?

  4. 我可以安全地卸载或关闭 squid 吗?如果我关闭它,我使用 Python+NGINX 托管的网站上不会发生任何变化。

答案1

默认情况下,Squid 带有限制规则,因此只有 localhost 或 localnet (rfc1918) 可以将其用作转发代理。

代理可以用于不同的目的,既可以从受保护的环境访问外部(互联网)资源,也可以向互联网提供一些本地服务,充当具有过滤功能的缓存。

你的流量是一件坏事,你应该尽快停止。首先设置一些防火墙规则,这样互联网上的任何人都不能使用它,或者最终设置它,这样只有本地服务通过它的代理功能提供,但不转发到互联网,或者如果你不使用它,最终卸载它,并清除配置apt remove --purge squid

停止这个配置错误的服务后,问问自己为什么它会有这么糟糕的配置?

是否存在不良依赖关系(带有配置)?

是别人安装的吗?

您是该服务器上唯一的管理员吗?

是否存在未清除错误配置的旧 squid 安装,依赖项安装刚刚重新激活。

简而言之,对您的系统进行安全审核。

相关内容