CentOS服务器上如何查找肉鸡?CentOS服务器上查找肉鸡的方法
我要评论ssh登录到服务器的时候,频繁的延迟掉线,登陆到防火墙上面去看,发现防火墙的外网口子流量达到了800M/s,经检查发现有一台服务器的流量很大。流量如此之大会带来严重的后果:由于消耗了过多的网络资源,访问网站首页和上面的应用速度很慢,远程到服务器上频繁的掉线。必须立即处理。
在流量不大的时候赶紧登录到该服务器上(流量大的时候,根本无法ssh)抓包操作
1、cat /proc/net/bonding/bond0,首先查询是哪个网卡在用,因为服务器做的是eth0和eth1双网卡绑定。
2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap,假如用的是网卡eth0,进行抓包操作。
将抓取的数据包进行分析,发现是服务器不停的向一个公网IP地址发送大量的7000端口的udp数据包,我们的服务器变成了DOS攻击的“肉鸡”了,不仅仅造成了自己的网络近乎瘫痪,而且还攻击了别人。
临时采取的防范措施就是:利用iptables阻止服务器向外发送udp数据包。然后再查找应用,查找漏洞清除木马文件。
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -P OUTPUT DROP
这个规则就是阻止了除了DNS要用到的53端口的其他一切udp端口,因为在此之前做了只是封掉7000端口,等会儿发现攻击改变了端口。
第二步就是要检查应用和服务器漏洞了。
在服务器流量很大的时候分析本地新增哪些udp端口
netstat -lpnut|grep udp
查找出了是1833端口,然后根据1833端口查找相关的进程
ps -ef|grep 1833
得出的进程为freebsd
然后根据进程查找所对应的应用的位置
lsof | grep -i freebsd
这个时候居然查找到的目录是tomcat下面运行的一个正常的应用。
相关文章
- 今天有网友问小编怎样判断电脑是否沦为“肉鸡”,小编就来给大家盘点几条电脑沦为肉鸡的表现2014-08-14
- 有很多新手朋友成为了“肉鸡”却不自知,下面总结了“肉鸡”电脑的六大现象,当网友遇到这些现象时,需提高警惕,将木马程序清除出去2013-05-08
- 现在网上不小心就会成为他人的肉鸡.那如何防范呢2012-06-26
- 一些朋友还不知道如何让你的Centos服务器远程开机;下面小编就为大家带来Centos服务器远程开机的方法,有需要的朋友可以过来看看2016-12-07
- 很多的朋友都不知道CentOS服务器如何添加永久静态路由?下面小编就为大家分享一下CentOS服务器添加永久静态路由的方法;有需要的朋友可以过来看看2016-12-06
- 很多朋友都不知道CentOS服务器ntpdate同步的方法;下面小编就为大家分享CentOS服务器ntpdate同步的方法;有需要的朋友去看看吧2016-12-05
- SVN是一款高人气的软件项目版本控制系统,由于其在Windows的客户端的简易操作,在Git的浪潮中仍然保有很多的用户数量,这里我们就来看一下CentOS上SVN服务器端程序的安装与使2016-06-27
- 这篇文章主要介绍了CentOS服务器端配置SSH远程登陆的教程,通过运行OpenSSH server程序来使客户端机器远程登陆服务器,文中还讲到了中文乱码问题的解决方法,需要的朋友可以参2016-04-21
- 这篇文章主要介绍了在CentOS系统上安装DNS服务器的教程,文中讲解的是通过unbound包管理方式来进行安装的方法,需要的朋友可以参考下2016-03-31
- 这篇文章主要介绍了CentOS系统的服务器上设置SSH免密码登陆的教程,同样适用于其他RedHat系的Linux系统配置借鉴,需要的朋友可以参考下2016-01-18
最新评论