<acronym id='yrorv'><em id='yrorv'></em><td id='yrorv'><div id='yrorv'></div></td></acronym><address id='yrorv'><big id='yrorv'><big id='yrorv'></big><legend id='yrorv'></legend></big></address>

      <fieldset id='yrorv'></fieldset>

        <code id='yrorv'><strong id='yrorv'></strong></code>
        <i id='yrorv'></i>
        <ins id='yrorv'></ins>
      1. <tr id='yrorv'><strong id='yrorv'></strong><small id='yrorv'></small><button id='yrorv'></button><li id='yrorv'><noscript id='yrorv'><big id='yrorv'></big><dt id='yrorv'></dt></noscript></li></tr><ol id='yrorv'><table id='yrorv'><blockquote id='yrorv'><tbody id='yrorv'></tbody></blockquote></table></ol><u id='yrorv'></u><kbd id='yrorv'><kbd id='yrorv'></kbd></kbd>

        1. <dl id='yrorv'></dl>

          <span id='yrorv'></span>
          1. <i id='yrorv'><div id='yrorv'><ins id='yrorv'></ins></div></i>

            CentOS服务器上如何查找肉鸡

            • 时间:
            • 浏览:10
            • 来源:124软件资讯网

                CentOS服务器上怎样查找肉鸡

              ssh登录到服务器的时间  ,频仍的延迟掉线  ,上岸到防火墙上面去看  ,发现防火墙的外网口子流量到达了800M/s  ,经检查发现有一台服务器的流量很大  。流量云云之大会带来严重的结果:由于消耗了过多的网络资源  ,会见网站首页和上面的应用速率很慢 ,远程到服务器上频仍的掉线  。必须立刻处置惩罚  。

                在流量不大的时间赶快登录到该服务器上(流量大的时间  ,基础无法ssh)抓包操作

                1、cat /proc/net/bonding/bond0 ,首先查询是哪个网卡在用  ,由于服务器做的是eth0和eth1双网卡绑定  。

                2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap ,如果用的是网卡eth0 ,举行抓包操作 。

                将抓取的数据包举行剖析  ,发现是服务器一直的向一个公网IP地址发送大量的7000端口的udp数据包 ,我们的服务器酿成了DOS攻击的“肉鸡”了  ,不仅仅造成了自己的网络近乎瘫痪  ,而且还攻击了别人  。

                暂时接纳的提防措施就是:使用iptables阻止服务器向外发送udp数据包  。然后再查找应用  ,查找毛病扫除木马文件  。

                iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

                iptables -A OUTPUT -p tcp -j ACCEPT

                iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

                iptables -P OUTPUT DROP

                这个规则就是阻止了除了DNS要用到的53端口的其他一切udp端口  ,由于在此之前做了只是封掉7000端口  ,等会儿发现攻击改变了端口 。

                第二步就是要检查应用和服务器毛病了  。

                在服务器流量很大的时间剖析当地新增哪些udp端口

                netstat -lpnut|grep udp

                查找出了是1833端口  ,然后凭据1833端口查找相关的历程

                ps -ef|grep 1833

                得出的历程为freebsd

                然后凭据历程查找所对应的应用的位置

                lsof | grep -i freebsd

                这个时间居然查找到的目录是tomcat下面运行的一个正常的应用  。