1. <tr id='q0jwk'><strong id='q0jwk'></strong><small id='q0jwk'></small><button id='q0jwk'></button><li id='q0jwk'><noscript id='q0jwk'><big id='q0jwk'></big><dt id='q0jwk'></dt></noscript></li></tr><ol id='q0jwk'><table id='q0jwk'><blockquote id='q0jwk'><tbody id='q0jwk'></tbody></blockquote></table></ol><u id='q0jwk'></u><kbd id='q0jwk'><kbd id='q0jwk'></kbd></kbd>
  2. <dl id='q0jwk'></dl>

    <ins id='q0jwk'></ins>

      1. <span id='q0jwk'></span>
        <i id='q0jwk'></i>
          <i id='q0jwk'><div id='q0jwk'><ins id='q0jwk'></ins></div></i>

          <code id='q0jwk'><strong id='q0jwk'></strong></code>

          <fieldset id='q0jwk'></fieldset>
          <acronym id='q0jwk'><em id='q0jwk'></em><td id='q0jwk'><div id='q0jwk'></div></td></acronym><address id='q0jwk'><big id='q0jwk'><big id='q0jwk'></big><legend id='q0jwk'></legend></big></address>
        1. CentOS服务器上如何查找肉鸡

          • 时间:
          • 浏览:12
          • 来源:124软件资讯网

              CentOS服务器上怎样查找肉鸡

            ssh登录到服务器的时间  ,频仍的延迟掉线  ,上岸到防火墙上面去看 ,发现防火墙的外网口子流量到达了800M/s  ,经检查发现有一台服务器的流量很大 。流量云云之大会带来严重的结果:由于消耗了过多的网络资源  ,会见网站首页和上面的应用速率很慢  ,远程到服务器上频仍的掉线 。必须立刻处置惩罚 。

              在流量不大的时间赶快登录到该服务器上(流量大的时间  ,基础无法ssh)抓包操作

              1、cat /proc/net/bonding/bond0 ,首先查询是哪个网卡在用  ,由于服务器做的是eth0和eth1双网卡绑定  。

              2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap ,如果用的是网卡eth0 ,举行抓包操作  。

              将抓取的数据包举行剖析  ,发现是服务器一直的向一个公网IP地址发送大量的7000端口的udp数据包  ,我们的服务器酿成了DOS攻击的“肉鸡”了  ,不仅仅造成了自己的网络近乎瘫痪  ,而且还攻击了别人  。

              暂时接纳的提防措施就是:使用iptables阻止服务器向外发送udp数据包  。然后再查找应用 ,查找毛病扫除木马文件  。

              iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A OUTPUT -p tcp -j ACCEPT

              iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

              iptables -P OUTPUT DROP

              这个规则就是阻止了除了DNS要用到的53端口的其他一切udp端口  ,由于在此之前做了只是封掉7000端口  ,等会儿发现攻击改变了端口  。

              第二步就是要检查应用和服务器毛病了  。

              在服务器流量很大的时间剖析当地新增哪些udp端口

              netstat -lpnut|grep udp

              查找出了是1833端口 ,然后凭据1833端口查找相关的历程

              ps -ef|grep 1833

              得出的历程为freebsd

              然后凭据历程查找所对应的应用的位置

              lsof | grep -i freebsd

              这个时间居然查找到的目录是tomcat下面运行的一个正常的应用 。