Internet好像也没有那么危险嘛

图片由 Google Gemini 3 Pro + Nano Banana Pro 生成

周日晚上，突然接到公司同事的电话，说我手上有一台服务器「被人攻击」，所以机房要把外网IP给黑洞24小时。

挂了电话之后，想想不对，那台服务器并非生产环境，平时都是内部自己用，要被攻击也轮不到它。

这台服务器，主要都是运维同事在用，我自己了解不多。去年年中，运维同事辞职，我更是早已不负责相关业务。这台服务器有点「三不管」的感觉：登记簿上还挂在我名下，最近没什么空去推进蛮复杂的交接工作，所以还没轮到它；实际管理者没什么能力进行管理，主观意愿上也不想去管；它暂时也没什么多大用处，几乎算是「闲置」状态。

然而，我总觉得自己对它还有「责任」，于是走跳板机从内网连上去又看了看。这一看就让我冒冷汗了。上面居然有个squid，而且貌似是「向全世界开放」的状态。让Google Gemini帮忙统计了一下access.log，发现晚上出事前一分钟就产生了3GB的流量，峰值可能确实把机房设定的阈值给顶破了。所以这应该就是直接原因了。

可是，我不记得自己有在这台机器上搭过squid，也不记得运维同事搭过。他是个谨慎的人，应该不至于干出这种事情。那是谁干的？

再仔细看，简直大汗淋漓了。还有一个未能投入工作的OpenVPN，以及一个名叫proxy的账号，gid是0。完了。什么时候被黑的？！

这个proxy账号看起来是2021年创建的。日志已经灭失了一大半。我只能根据仅有的一点线索，去拼凑还原当时的情况。

「黑客」看来轻车熟路，一上来就登录了root账号，随后创建proxy，设置sudo，然后就去安装squid。

但接下来的情况让我迷惑不解。他光是开防火墙3128端口就折腾了半天，安装squid时也一时输错成了apt-get（这台服务器是CentOS）。装完squid设了allowed_ips，但conf中却大手一挥设成allow all就走了，OpenVPN也是安装了一半就放弃了。前面半截太过顺利，后面半截却画风一转，这不对劲。

我们用的密码都是64位随机字符串，SSH端口也开在非标准端口上。如果这台服务器这么容易被攻破，那么我们剩下的服务器也是凶多吉少。剩下的时间，我都在审查和反省所有可能的入侵路径。还是想不明白，当时到底什么情况？最后凌晨两点钟，实在熬不住，洗澡睡觉去了。

---

第二天到了公司，我按计划去翻邮件，看看有没有可能出事前是弱密码，后来才改成的强密码。结果这一翻，就发现了「真凶」，也算是一场乌龙。

2021年的时候，当时老板找我要了一台服务器的root权限，说是他儿子要用。
他儿子当时参与了我们的一些项目，也算是「实习」吧，后来去英国读书去了。要这台服务器，是说方便参与维护，当时公司里面还真没人来维护那些东西，所以我也就把这台不太重要的服务器给他了。看起来，当天他儿子拿到root密码，接着就动手了。

大学生嘛，做事情没顾那么多，也是可以理解的。谁还不知道自己大一的时候是个什么样子呢？估计他当时折腾完以后用过一阵子，然后就把这事给忘了。现在他早已毕业，无论是在当地工作或回国发展，总之应该也用不上这个东西了。这代理就这样一直开放在Internet上，不知道有没有人发现，估计没有。虽然日志有限，但看起来2025年一整年都没人用过，直到这个周日。大概总算被什么人给扫描到了吧。

这事说起来就是个内部管理问题。这种事情，就算放在现在，我感觉也没法拒绝。老板自己也大概把这事给忘了。只能是吃一堑长一智吧，以后「出借」的东西要加强审计。以及不要认为别人都会好好善后。哪怕他真的会，但有时候也会偷懒啊。

话说回来，貌似Internet好像也没有那么危险嘛？一个完全开放的HTTP代理，3128端口也是知名端口，居然存在了快五年才被人第一次发现。或许现在ProxyHunter已经没人用了，但是我国政府的扫描器不是一直在巡天么？GFW果真对外不对内？所以啊，世界还真的是一个大草台班子吗？