xray 内核为何后台一直跑流量？

Ａｄｍｉｎ · 发表于 2024-1-30 13:15:12

RT, 最近发现香港的一台机器流量老是很快跑完限速，每天各 250GB 上下行。
今天又一台机器发现了同样的情况，后台看到xray内核疯批了：

用的是 x-ui 面板，1.8.7/1.8.6两个内核试了都有这个问题，TCP连接数3000+多我去。而其实并没有人真正使用。
于是部署了iptables，INPUT默认策略DROP，只开放了部分x-ui需要用的端口，以及ssh 端口、DNS的53等。设置了允许环回，允许已建立的连接。
然而nethogs后台看到还是会占用开放的某些端口跑流量，时快时慢，一天能跑各 100GB 上下，iptables 里会出现一个 xui-block-chain 的东西看起来不是很正常，把它#注销了，重启还会有。。其实注销也没用，流量照样跑。

鄙人实在束手无策，请问阁下该如何应对。。大佬们出出主意，谢谢！

vtrois · 发表于 2024-1-30 13:25:57

肯定是被盗刷呗，你不信把所有的入口端口关闭，肯定就没事了

larry · 发表于 2024-1-30 13:19:12

节点可能被盗了，端口密码全部改掉

licong · 发表于 2024-1-30 13:17:27

哪个脚本？

拎壶冲 · 发表于 2024-1-30 13:18:59

降级1.8.4

卡尔 · 发表于 2024-1-30 13:36:25

被人扫了呗改端口登录帐密

Frp大佬 · 发表于 2024-1-30 13:38:01

本帖最后由 Frp大佬于 2024-1-30 13:39 编辑

是不是Reality优选到了套了cloudflare的域名了，然后你的服务器就会被优选，也就是说你的IP就成为了cloudflare CDN的一部分

，可能你就是被优选的那个怨种

Ａｄｍｉｎ · 发表于 2024-1-30 13:51:23

Frp大佬发表于 2024-1-30 13:38
是不是Reality优选到了套了cloudflare的域名了，然后你的服务器就会被优选，也就是说你的IP就成为了cloudfl ...

一开始我也这么想的但我没开CF 也没搞过优选因为线路都比较好都是直连的

Ａｄｍｉｎ · 发表于 2024-1-30 13:53:09

vtrois 发表于 2024-1-30 13:25
肯定是被盗刷呗，你不信把所有的入口端口关闭，肯定就没事了

是的 x-ui stop 就世界安静了但是我看占用的端口所对应的统计流量也没增长。很奇怪。

Ａｄｍｉｎ · 发表于 2024-1-30 14:00:07

licong 发表于 2024-1-30 13:17
哪个脚本？

用的是这个：
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh)

		自动登录	找回密码
密码			注册