ssh登錄到服務(wù)器的時候,頻繁的延遲掉線����,登陸到防火墻上面去看��,發(fā)現(xiàn)防火墻的外網(wǎng)口子流量達到了800M/s�����,經(jīng)檢查發(fā)現(xiàn)有一臺服務(wù)器的流量很大���。流量如此之大會帶來嚴重的后果:由于消耗了過多的網(wǎng)絡(luò)資源��,訪問網(wǎng)站首頁和上面的應(yīng)用速度很慢�,遠程到服務(wù)器上頻繁的掉線��。必須立即處理��。
在流量不大的時候趕緊登錄到該服務(wù)器上(流量大的時候,根本無法ssh)抓包操作
1���、cat /proc/net/bonding/bond0�,首先查詢是哪個網(wǎng)卡在用�,因為服務(wù)器做的是eth0和eth1雙網(wǎng)卡綁定。
2�����、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap�����,假如用的是網(wǎng)卡eth0�����,進行抓包操作���。
將抓取的數(shù)據(jù)包進行分析���,發(fā)現(xiàn)是服務(wù)器不停的向一個公網(wǎng)IP地址發(fā)送大量的7000端口的udp數(shù)據(jù)包��,我們的服務(wù)器變成了DOS攻擊的“肉雞”了����,不僅僅造成了自己的網(wǎng)絡(luò)近乎癱瘓��,而且還攻擊了別人����。
臨時采取的防范措施就是:利用iptables阻止服務(wù)器向外發(fā)送udp數(shù)據(jù)包���。然后再查找應(yīng)用�����,查找漏洞清除木馬文件����。
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -P OUTPUT DROP
這個規(guī)則就是阻止了除了DNS要用到的53端口的其他一切udp端口��,因為在此之前做了只是封掉7000端口�����,等會兒發(fā)現(xiàn)攻擊改變了端口����。
第二步就是要檢查應(yīng)用和服務(wù)器漏洞了。
在服務(wù)器流量很大的時候分析本地新增哪些udp端口
netstat -lpnut|grep udp
查找出了是1833端口�����,然后根據(jù)1833端口查找相關(guān)的進程
ps -ef|grep 1833
得出的進程為freebsd
然后根據(jù)進程查找所對應(yīng)的應(yīng)用的位置
lsof | grep -i freebsd
這個時候居然查找到的目錄是tomcat下面運行的一個正常的應(yīng)用�����。
