真实记录linux病毒导致带宽跑满的解决过程
时间： 16:00:49
&&&& 阅读：166
&&&& 评论：
&&&& 收藏：0
标签：&&&&&&&&&&&&&&&案例描述&& & 早上接到IDC的电话，说我们的一个网段IP不停的向外发包，应该是被攻击了，具体哪个IP不知道，让我们检查一下。按理分析及解决办法&& & 首先我们要先确定是哪台机器的网卡在向外发包，还好我们这边有zabbix监控，我就一台一台的检查，发现有一台的流量跑满了，问题应该出现在这台机器上面。&& && & 我登录到机器里面，查看了一下网卡的流量，我的天啊，居然跑了这个多流量。& & 这台机器主要是运行了一个tomcat WEB服务和oracle数据库，问题不应该出现在WEB服务和数据库上面，我检查了一下WEB日志，没有发现什么异常，查看数据库也都正常，也没有什么错误日志，查看系统日志，也没有看到什么异常，但是系统的登录日志被清除了，我赶紧查看了一下目前运行的进程情况，看看有没有什么异常的进程，一查看，果然发现几个异常进程，不仔细看还真看不出来，这些进程都是不正常的。& & 这是个什么进程呢，我每次ps -ef都不一样，一直在变动，进程号一一直在变动中，我想看看进程打开了什么文件都行，一时无从下手，想到这里，我突然意识到这应该都是一些子进程，由一个主进程进行管理，所以看这些子进程是没有用的，即便我杀掉他们还会有新的生成，擒贼先擒王，我们去找一下主进程，我用top d1实时查看进程使用资源的情况，看看是不是有异常的进程占用cpu内存等资源，发现了一个奇怪的进程，平时没有见过。这个应该是我们寻找的木马主进程。&& & 我尝试杀掉这个进程，killall -9 ueksinzina，可是杀掉之后ps -ef查看还是有那些子进程，难道没有杀掉？再次top d1查看，发现有出现了一个其他的主进程，看来杀是杀不掉的，要是那么容易杀掉就不是木马了。&& & 我们看看他到底是什么，"which obgqtvdunq"发现这个命令在/usr/bin下面，多次杀死之后又重新在/usr/bin目录下面生成，想到应该有什么程序在监听这个进程的状态也可能有什么定时任务，发现进程死掉在重新执行，我就按照目前的思路查看了一下/etc/crontab定时任务以及/etc/init.d启动脚本，均发现有问题。& &&可以看到里面有个定时任务gcc4.sh，这个不是我们设定的，查看一下内容更加奇怪了，这个应该是监听程序死掉后来启动的，我们这边把有关的配置全部删掉，并且删掉/lib/libudev4.so。&& & 在/etc/init.d/目录下面也发现了这个文件。&&& & 里面的内容是开机启动的信息，这个我们也给删掉。&& & 以上两个是一个在开机启动的时候启动木马，一个是木马程序死掉之后启动木马，但是目前我们杀掉木马的时候木马并没有死掉，而是立刻更换名字切换成另一个程序文件运行，所以我们直接杀死是没有任何用处的，我们目的就是要阻止新的程序文件生成，首先我们取消程序的执行权限并把程序文件成成的目录/usr/bin目录锁定。chmod&000&/usr/bin/obgqtvdunq
chattr&+i&/usr/bin&&&然后我们杀掉进程"killall -9 obgqtvdunq"，然后我们在查看/etc/init.d/目录，看到他又生成了新的进程，并且目录变化到了/bin目录下面，和上面一样，取消执行权限并把/bin目录锁定，不让他在这里生成，杀掉然后查看他又生成了新的文件，这次他没有在环境变量目录里面，在/tmp里面，我们把/tmp目录也锁定，然后结束掉进程。& &&& & 到此为止，没有新的木马进程生成，原理上说是结束掉了木马程序，后面的工作就是要清楚这些目录产生的文件，经过我寻找，首先清除/etc/init.d目录下面产生的木马启动脚本，然后清楚/etc/rc#.d/目录下面的连接文件。& &&& & 后来我查看/etc目录下面文件的修改时间，发现ssh目录下面也有一个新生成的文件，不知道是不是有问题的。& & 清理差不多之后我们就要清理刚才生成的几个文件了，一个一个目录清楚，比如"chattr -i /tmp"，然后删除木马文件，以此类推删除/bin、/usr/bin目录下面的木马，到此木马清理完毕。&快速清理木马流程 &&假设木马的名字是nshbsjdy，如果top看不到，可以在/etc/init.d目录下面查看1、首先锁定三个目录，不能让新木马文件产生chmod&000&/usr/bin/nshbsjdy
chattr&+i&/usr/bin
chattr&+i&/bin
chattr&+i&/tmp2、删除定时任务及文件以及开机启动文件删除定时任务及文件
rm&-f&/etc/init.d/nshbsjdy
rm&-f&/etc/rc#.d/木马连接文件3、杀掉木马进程killall&-9&nshbsjdy4、清理木马进程chattr&-i&/usr/bin
rm&-f&/usr/bin/nshbsjdy处理完成之后再一次检查一下以上各目录，尤其是/etc目录下面最新修改的文件。&&5、如果是rootkit木马，可以用下面的软件进行检查&软件chkrootkit：
软件RKHunter：&&&& 安装都非常简单，我使用RKHunter简单检查了一下，没有发现什么重大问题，但是这也并不表示没有什么问题，因为我们的检测命令也是依赖一些系统的命令，如果系统的命令被感染那是检测不出来的，最好是系统的命令备份一份检查，再不行就备份数据重装喽。&&本文出自 “” 博客，请务必保留此出处标签：&&&&&&&&&&&&&&&原文地址：http://./4285
&&国之画&&&& &&&&chrome插件&&
版权所有 京ICP备号-2
迷上了代码！查看: 3363|回复: 37
请问有能跑满带宽的VPS么
本人温州电信，100M，VPS换了好几家，看有图比都是1-2w，请问在忽略价格的前提下，有能满速的VPS么?
满速应该是10w左右！
本帖最后由 xy2938 于
18:04 编辑
痴人说梦，你知道海底光缆投入要多少钱吗？
出不了高大尚的价格，凭什么击败其他国人享有这样的稀缺资源？
就和屌丝问如何能泡到“前凸后翘，高学历，善解人意，blablabla&的白富美一样
天翼云国际 电信自家的
1-2W已经不卡了，追求那个10W有什么意思
z.com 日本
CT云商业版。350元1M带宽。买个200M就可以了
(17.45 KB, 下载次数: 0)
17:11 上传
点击文件名下载附件
目前只有HKB泡满了，我指30M那个
z.com 日本
哈哈,我手头就有这个vps,日本不咋的……
阿里hkb现在在用,可惜过了优惠就不好用了,毕竟按流量算钱,我宁愿他给我1k一年,一个月给我300G
Powered byLinux/Centos服务器带宽异常跑满的排查解决办法_零五科技
精准搜索请尝试：
Linux/Centos服务器带宽异常跑满的排查解决办法
来源：未知
作者：IT零五
今天早晨发现访问网站打开异常缓慢，登录阿里云管理后台发现流量监控中出网带宽被占满，因为网站流量在日IP1万左右并且提供下载服务，以前的1M带宽确实是小了点，我就临时升级带宽到2M，发现还是被占满，3M还是被占满，5M仍然被占满。因为以前也曾临时升级过带宽，一般3M左右就足够了，而今天在流量没有明显增加的情况下增加到5M带宽还是被占满，肯定出现状况了。
那么Linux/Centos服务器带宽异常跑满的情况怎么排查呢？
首先需要确定是哪一张网卡的带宽跑满
可以通过sar -n DEV 1 5命令来获取网卡级别的流量图，命令中 1 5 表示每一秒钟取 1 次值，一共取 5 次。
命令执行后会列出每个网卡这 5 次取值的平均数据，根据实际情况来确定带宽跑满的网卡名称，因为我用的是阿里云服务器，默认情况下 eth0 为内网网卡，eth1 为外网网卡。
如上图所示，发现确实是eth1也就是外网网卡占用了绝大部分的流量。
接下来使用 iftop 工具排查具体占用流量的IP和端口
1、服务器内部安装 iftop 流量监控工具：
yum install iftop -y
2、.服务器外网带宽被占满时，如果通过远程无法登陆，可通过阿里云终端管理进入到服务器内部，运行下面命令查看流量占用情况：
iftop -i eth1 -P
注：-P 参数会将请求服务的端口显示出来，也就是说是通过服务器哪个端口建立的连接，看内网流量执行 iftop -i eth0 -P 命令。
如上图所示，可以清楚的查看到占用较大带宽的IP与端口，本地的端口。我当时的情况是有两个美国的IP通过多个端口反复的请求我的网站下载资源，找到这两个IP之后接下来要做的是要封掉IP。
最后使用iptables封禁相关IP
使用下面的命令即可封禁IP：
iptables -I INPUT -s ***.***.***.*** -j DROP
你也可以使用下面的命令解封IP：
iptables -D INPUT -s ***.***.***.*** -j DROP
或者通过下面的命令查看封禁列表：
iptables --list
到这里，Linux/Centos服务器带宽异常跑满的问题已经被解决，阿里云流量监控恢复正常。
48小时最热
本类最热新闻
零五科技，分享IT知识，国内顶级IT知识门户网站。
Copyright (C) , All Rights Reserved.
版权所有 辽ICP备号-1服务器带宽跑满的排查处理
带宽跑满的情况分析：
由于大部分托管商流入带宽不限，所以本文主要阐述服务器流出带宽跑满的情况。
流出带宽跑满主要有两种情况：
正常业务流量跑满，即外部下载服务器上的资源。
非正常服务流量，即可能对外攻击。
版权声明：本文内容由互联网用户自发贡献，版权归作者所有，本社区不拥有所有权，也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件至： 进行举报，并提供相关证据，一经查实，本社区将立刻删除涉嫌侵权内容。
用云栖社区APP，舒服~
【云栖快讯】中办国办印发《推进互联网协议第六版（IPv6）规模部署行动计划》加快推进基于 IPv6 的下一代互联网规模部署，计划指出2025年末中国 IPv6 规模要达到世界第一,阿里云也第一时间宣布了将全面提供IPv6服务，那么在全面部署 IPV6 前，你需要了解都在这儿&&
system这个跑量最高，怎么做？
共享带宽提供地域级带宽共享和复用功能，支持同地域下所有弹性公网IP共享带宽，进而让绑定弹性公网IP的云服务器EC...
由轻量级Agent和云端组成，集云盾威胁情报于一体，通过Agent和云端大数据的联动，为您提供网站后门查杀、通用...
服务底层使用经国家密码管理局检测认证的硬件密码机，通过虚拟化技术，帮助用户满足数据安全方面的监管合规要求，保护云...
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本...
社区之星年度评选，投票可抽奖
Loading...}