近期发现一台服务器出网流量频繁出现高峰,一直接近甚至超出带宽。因为正赶上公司的网站、服务号等都部署在这台服务器上,起初怀疑是由于图片过多导致的。
近两天阿里云盾多次检测出一台服务器出现恶意发包,攻击其它服务器的行为,多次查找并未发现异常进程,阿里的安全支持也没有发现,只是建议提示时抓包排查。(果然不买他们的云托管服务还是别想他们能帮忙的)
看着自己的服务器成为了别人的傀儡,还占用着带宽,只能自己想办法了。
思路一:查看异常登录
阿里论坛有一篇肉鸡类问题排查思路的文章,按照上面的思路找了找
没发现异常登录,没有头绪。
思路二:抓包
可以通过tcpdump命令进行抓包,我将抓取的数据存入一个文件之后进行观察
tcpdump tcp -i eth1 -w x.cap
抓包文件可以通过一些工具进行分析,我用Wiresherk查看了一下,发现服务器不断向美国、香港等服务器发包。
但是仍没有进攻行为,还是没能找到程序所在。
思路三:封锁
当下做了个决定,既然暂时找不到,就先封锁他的行为吧。
1.于是我先是禁止了其他ip的远程登录,再将账号的密码做了更改。编辑/etc/hosts.allow文件,加入
sshd:xxx.xxx.xxx.*:allow
sshd:all:deny
这样一定程度上阻止了异地的访问
2.先查询使用的DNS的IP:
cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'
3.再禁止对外发送UDP数据包:
iptables -A OUTPUT -p udp -j DROP
4.最后允许DNS服务等使用53端口发UDP:
iptables -I OUTPUT -p udp --dport 53 -d ##DNS_IP## -j ACCEPT
重启服apache务器,这样恶意发的包就发不出去,带宽占用又降回正常了。
但是病毒文件还是没有找到,仍在排查。
网友评论