ssh登錄到服務(wù)器的時(shí)候，頻繁的延遲掉線，登陸到防火墻上面去看，發(fā)現(xiàn)防火墻的外網(wǎng)口子流量達(dá)到了800M/s，經(jīng)檢查發(fā)現(xiàn)有一臺(tái)服務(wù)器的流量很大。流量如此之大會(huì)帶來(lái)嚴(yán)重的后果：由于消耗了過(guò)多的網(wǎng)絡(luò)資源，訪問(wèn)網(wǎng)站首頁(yè)和上面的應(yīng)用速度很慢，遠(yuǎn)程到服務(wù)器上頻繁的掉線。必須立即處理。

在流量不大的時(shí)候趕緊登錄到該服務(wù)器上（流量大的時(shí)候，根本無(wú)法ssh）抓包操作

1、cat /proc/net/bonding/bond0，首先查詢是哪個(gè)網(wǎng)卡在用，因?yàn)榉?wù)器做的是eth0和eth1雙網(wǎng)卡綁定。

2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap，假如用的是網(wǎng)卡eth0，進(jìn)行抓包操作。

將抓取的數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)是服務(wù)器不停的向一個(gè)公網(wǎng)IP地址發(fā)送大量的7000端口的udp數(shù)據(jù)包，我們的服務(wù)器變成了DOS攻擊的“肉雞”了，不僅僅造成了自己的網(wǎng)絡(luò)近乎癱瘓，而且還攻擊了別人。

臨時(shí)采取的防范措施就是：利用iptables阻止服務(wù)器向外發(fā)送udp數(shù)據(jù)包。然后再查找應(yīng)用，查找漏洞清除木馬文件。

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -P OUTPUT DROP

這個(gè)規(guī)則就是阻止了除了DNS要用到的53端口的其他一切udp端口，因?yàn)樵诖酥白隽酥皇欠獾?000端口，等會(huì)兒發(fā)現(xiàn)攻擊改變了端口。

第二步就是要檢查應(yīng)用和服務(wù)器漏洞了。

在服務(wù)器流量很大的時(shí)候分析本地新增哪些udp端口

netstat -lpnut|grep udp

查找出了是1833端口，然后根據(jù)1833端口查找相關(guān)的進(jìn)程

ps -ef|grep 1833

得出的進(jìn)程為freebsd

然后根據(jù)進(jìn)程查找所對(duì)應(yīng)的應(yīng)用的位置

lsof | grep -i freebsd

這個(gè)時(shí)候居然查找到的目錄是tomcat下面運(yùn)行的一個(gè)正常的應(yīng)用。

最新評(píng)論