对于广大 VPS 玩家和站长来说,2026年的1月底无疑是一个黑色的周末。

业内知名的VPS 服务商 CloudCone 突发大规模瘫痪,大量用户发现服务器离线、后台无法登录。而随着官方消息的流出,一个最令运维人员胆寒的消息被证实:这不仅是攻击,更是毁灭性的删库。

这场灾难的源头,指向了 VPS 行业内应用最广泛的控制面板之一——Virtualizor。

虚拟机WEB控制面板 Virtualizor 上存在一个严重漏洞,该漏洞已被黑客用于植入勒索病毒。据国外网站报道,除 CloudCone 外,使用该面板的商家 HostSlick、OuiHeberg、ColoCrossing 也已被攻破。

以下服务商也使用 Virtualizor 提供服务:Virtono、SolidSEOVPS、Naranjatech、LittleCreek、DediRock、Chunkserv、RareCloud

上述服务商的用户应当立即完整备份自己的数据。

🚨 灾难现场:从“勒索”到“撕票”

事情发生在 1月30日 至 31日 期间。起初,CloudCone 用户仅以为是普通的网络波动。但很快,工单回复和社区反馈揭露了残酷的真相:

攻击者利用 Virtualizor 面板的安全漏洞,获取了宿主服务器(Node)的最高 Root 权限。不同于以往的 DDoS 攻击,这次黑客的手段极其残忍——直接对所有客户的 VPS 数据进行了删除或加密操作。

尽管本质上这可能是一场勒索软件攻击,但在廉价 VPS 行业,由于赎金谈判破裂或技术原因,这种攻击往往演变成“撕票”。截至发稿,大量没有异地备份的用户正面临数据永久丢失的绝境。

🔍 为什么是 Virtualizor?

如果你使用过 RackNerd、CloudCone 或其他海外高性价比 VPS,你大概率见过 Virtualizor 的界面。它因授权便宜、功能丰富,成为了中小型 IDC 商家的首选。

然而,这次事件暴露了 Virtualizor 架构上的致命弱点:“一损俱损”。

上帝权限: Virtualizor 运行在母机的最高权限下。一旦面板被攻破(通常是 RCE 远程代码执行漏洞),黑客就拿到了“整栋楼的万能钥匙”。

防御薄弱: 相比于 AWS 等厂商自研的复杂架构,许多小型服务商对 Virtualizor 的安全加固不足,一旦官方爆出 0-day 漏洞,未能及时打补丁的商家就是待宰的羔羊。

💀 前科累累:不仅是“删库”,还有“挖矿”

事实上,Virtualizor 的安全性长期以来一直饱受诟病。这次的“删库”只是其安全史上最惨烈的一页,而在过去几年,它更是黑客眼中的“矿机制造厂”。

2024年官方渠道泄露事件:Virtualizor 曾承认其官方 Live Chat(在线客服)系统被黑客渗透。黑客通过社会工程学手段,截获了服务商提供给官方技术支持的 Root 密码,随后批量登录服务器植入 XMRig 门罗币挖矿程序。

长期的“僵尸网络”温床:在 2021-2025 年间,利用 Virtualizor 漏洞植入挖矿木马是常态。黑客通常很“聪明”,他们只占用 50% 的 CPU 算力,让机器变慢但不至于宕机,从而长期寄生吸血。

可以说,从“偷偷挖矿”到如今的“暴力删库”,针对 Virtualizor 的攻击手段已经完成了从“谋财”到“害命”的恶性升级。

🛡️ 幸存者指南:如何避免成为下一个受害者?

CloudCone 事件再次敲响了警钟。作为用户,我们无法控制服务商用什么面板,但我们可以控制自己的数据命运。

1. 抛弃“服务商备份”的幻想

很多用户以为买了服务商的“Snapshots(快照)”就安全了。大错特错!在这次攻击中,黑客拥有 Root 权限,他们会先删除本地的快照和备份,再删除你的 VPS。铁律: 备份必须出海!必须离线!

2. 只有“异地备份”才是救命稻草

无论你用的是10/年的“传家宝”,还是100/月的独服,请务必配置自动化备份脚本:

  • Rclone: 自动同步数据到 Google Drive / OneDrive。
  • S3 存储: 备份到 AWS S3 或 Backblaze B2。
  • 本地下载: 定期将核心数据库下载到自己电脑。

3. 审视你的服务商

登录你的 VPS 控制面板。如果左上角有 Virtualizor 的 Logo,或者访问端口包含 :4083 / :4084,请立刻提高警惕。

如果你是普通用户: 加大备份频率。

如果你是服务商: 请务必限制面板端口的公网访问(仅允许白名单 IP),并开启双重验证(2FA)。

✍️ 结语

廉价 VPS 确实真香,但在数据安全面前,价格往往对应着风险。CloudCone 倒下了,下一个会是谁?

不要等到数据归零的那一刻才追悔莫及。现在,立刻,去检查你的备份!

本文部分信息基于2026年1月底互联网公开安全报告整理。