溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容介紹了“如何在CentOS服務器上查找肉雞”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!
ssh登錄到服務器的時候,頻繁的延遲掉線,登陸到防火墻上面去看,發現防火墻的外網口子流量達到了800M/s,經檢查發現有一臺服務器的流量很大。流量如此之大會帶來嚴重的后果:由于消耗了過多的網絡資源,訪問網站首頁和上面的應用速度很慢,遠程到服務器上頻繁的掉線。必須立即處理。
在流量不大的時候趕緊登錄到該服務器上(流量大的時候,根本無法ssh)抓包操作
1、cat /proc/net/bonding/bond0,首先查詢是哪個網卡在用,因為服務器做的是eth0和eth2雙網卡綁定。
2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap,假如用的是網卡eth0,進行抓包操作。
將抓取的數據包進行分析,發現是服務器不停的向一個公網IP地址發送大量的7000端口的udp數據包,我們的服務器變成了DOS攻擊的“肉雞”了,不僅僅造成了自己的網絡近乎癱瘓,而且還攻擊了別人。
臨時采取的防范措施就是:利用iptables阻止服務器向外發送udp數據包。然后再查找應用,查找漏洞清除木馬文件。
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -P OUTPUT DROP
這個規則就是阻止了除了DNS要用到的53端口的其他一切udp端口,因為在此之前做了只是封掉7000端口,等會兒發現攻擊改變了端口。
第二步就是要檢查應用和服務器漏洞了。
在服務器流量很大的時候分析本地新增哪些udp端口
netstat -lpnut|grep udp
查找出了是1833端口,然后根據1833端口查找相關的進程
ps -ef|grep 1833
得出的進程為freebsd
然后根據進程查找所對應的應用的位置
lsof | grep -i freebsd
這個時候居然查找到的目錄是tomcat下面運行的一個正常的應用。
“如何在CentOS服務器上查找肉雞”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
