发现代理服务器异常,别慌
前几天朋友老李找我,说他公司用的代理服务器突然访问网页全是广告,连银行网站都打不开。一查才发现,代理服务器早就被人偷偷改了配置,流量全被导到恶意中转站去了。这种情况其实不少见,尤其是小企业或家庭自建代理,防护松,容易成靶子。
怎么看是不是被劫持了
最明显的迹象就是网络行为反常。比如浏览器自动弹广告、跳转到陌生页面,或者HTTPS网站显示不安全。你明明没开代理,但系统设置里却多出一个代理地址,这基本就是中招了。还有一种情况是网速莫名变慢,请求响应延迟高,可能是你的流量正在被中间人监听。
可以打开命令行,输入以下命令检查当前网络代理设置:
netsh winhttp show proxy在Mac或Linux上可以用:
echo $HTTP_PROXY && echo $HTTPS_PROXY如果看到不认识的IP和端口,就得警惕了。
立即断开并清除异常配置
发现异常后第一件事,不是修,而是切断风险。先把网络断开,尤其是共享代理的设备全部下线。然后进系统设置手动清掉代理配置。Windows在“设置-网络-代理”里关掉“使用代理服务器”;Mac在“网络-高级-代理”里取消所有勾选项。
如果是Linux服务器跑的Squid这类服务,登录上去检查配置文件有没有被篡改:
sudo cat /etc/squid/squid.conf | grep http_port确认监听端口和ACL规则是否正常。发现可疑转发规则,立刻注释或删除。
换密钥、改端口、升级防护
很多代理服务器被黑,是因为用了默认端口和弱密码。比如SSH没关root登录,密码还是123456。改完配置后,记得把代理服务的端口从常见的8080、3128换成冷门端口,比如63214。同时启用认证机制,只允许指定账号连接。
如果有条件,加上防火墙限制来源IP。比如只允许公司办公网段访问:
iptables -A INPUT -p tcp --dport 63214 -s 192.168.1.0/24 -j ACCEPT其他来源一律拒绝。这样即使端口暴露,外人也连不上。
定期检查日志,防患未然
代理服务器的日志是最直接的线索。每天花两分钟看看有没有异常请求。比如凌晨三点突然有大量国外IP连入,或者频繁访问敏感路径,可能就是有人在试探。
Squid的日志通常在 /var/log/squid/access.log,可以用tail查看最近记录:
tail -f /var/log/squid/access.log发现不对劲的条目,马上封IP,再溯源排查。
代理不是设好就一劳永逸的工具,它像家里的大门,得经常检查锁好了没。尤其现在钓鱼手段越来越多,一个不小心,流量就被偷走了。