1. <span id='feh8h'></span>
      <acronym id='feh8h'><em id='feh8h'></em><td id='feh8h'><div id='feh8h'></div></td></acronym><address id='feh8h'><big id='feh8h'><big id='feh8h'></big><legend id='feh8h'></legend></big></address>
      <ins id='feh8h'></ins>
      1. <fieldset id='feh8h'></fieldset>
        <dl id='feh8h'></dl>

      2. <tr id='feh8h'><strong id='feh8h'></strong><small id='feh8h'></small><button id='feh8h'></button><li id='feh8h'><noscript id='feh8h'><big id='feh8h'></big><dt id='feh8h'></dt></noscript></li></tr><ol id='feh8h'><table id='feh8h'><blockquote id='feh8h'><tbody id='feh8h'></tbody></blockquote></table></ol><u id='feh8h'></u><kbd id='feh8h'><kbd id='feh8h'></kbd></kbd>
      3. <i id='feh8h'><div id='feh8h'><ins id='feh8h'></ins></div></i>

          <code id='feh8h'><strong id='feh8h'></strong></code>

          <i id='feh8h'></i>

          CentOS服务器上如何查找肉鸡

          • 时间:
          • 浏览:6
          • 来源:124软件资讯网

              CentOS服务器上怎样查找肉鸡

            ssh登录到服务器的时间  ,频仍的延迟掉线 ,上岸到防火墙上面去看  ,发现防火墙的外网口子流量到达了800M/s  ,经检查发现有一台服务器的流量很大  。流量云云之大会带来严重的结果:由于消耗了过多的网络资源  ,会见网站首页和上面的应用速率很慢  ,远程到服务器上频仍的掉线 。必须立刻处置惩罚  。

              在流量不大的时间赶快登录到该服务器上(流量大的时间  ,基础无法ssh)抓包操作

              1、cat /proc/net/bonding/bond0  ,首先查询是哪个网卡在用 ,由于服务器做的是eth0和eth1双网卡绑定 。

              2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap  ,如果用的是网卡eth0  ,举行抓包操作  。

              将抓取的数据包举行剖析 ,发现是服务器一直的向一个公网IP地址发送大量的7000端口的udp数据包 ,我们的服务器酿成了DOS攻击的“肉鸡”了  ,不仅仅造成了自己的网络近乎瘫痪 ,而且还攻击了别人  。

              暂时接纳的提防措施就是:使用iptables阻止服务器向外发送udp数据包 。然后再查找应用 ,查找毛病扫除木马文件 。

              iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A OUTPUT -p tcp -j ACCEPT

              iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

              iptables -P OUTPUT DROP

              这个规则就是阻止了除了DNS要用到的53端口的其他一切udp端口 ,由于在此之前做了只是封掉7000端口 ,等会儿发现攻击改变了端口 。

              第二步就是要检查应用和服务器毛病了  。

              在服务器流量很大的时间剖析当地新增哪些udp端口

              netstat -lpnut|grep udp

              查找出了是1833端口  ,然后凭据1833端口查找相关的历程

              ps -ef|grep 1833

              得出的历程为freebsd

              然后凭据历程查找所对应的应用的位置

              lsof | grep -i freebsd

              这个时间居然查找到的目录是tomcat下面运行的一个正常的应用  。