老实说,我在服务器管理方面很差,但我的老板向我寻求帮助。他的服务器有 2GB/天的有限带宽,今天他收到公司的警告,说他超过了它并使用了……24GB。
由于不可能,因为他是方式,他问我是否可以追踪问题。我不知道从哪里开始或做什么。
任何信息都会有帮助,我如何才能找出问题所在。
机器在 Ubuntu 12.04 上运行。最奇怪的是,根据从主机收到的图表,只使用了传出传输。
编辑
感谢您的建议,我将运行 tcpdump 并尝试检查结果
mgo*_*ven 20
对于即时监控,您可以使用iftop。这将向您显示当前活动的连接以及它们使用的带宽。确定高流量连接后,查找本地端口号并用于netstat查找该连接属于哪个进程。
sudo netstat -tpn | grep 12345
对于长期监控,我建议使用类似darkstat 的方法。这可以为您提供每个主机和端口的细分,这可能使您能够弄清楚流量与什么相关。
我建议安装ntop。
将其放在主机网关/路由器位置并观察一天/一周的流量。Ntop 提供了一个 Web UI,您可以在其中按 IP/端口/协议进行细分。
最好的工具可能是iftop,并且很容易通过 sudo apt-get install iftop apt-get'able。它将根据罪魁祸首 IP/主机名显示输出:
191Mb 381Mb 572Mb 763Mb 954Mb
?????????????????????????????????????????????????????????????????????????????????
box4.local => box-2.local 91.0Mb 27.0Mb 15.1Mb
<= 1.59Mb 761kb 452kb
box4.local => box.local 560b 26.8kb 27.7kb
<= 880b 31.3kb 32.1kb
box4.local => userify.com 0b 11.4kb 8.01kb
<= 1.17kb 2.39kb 1.75kb
box4.local => b.resolvers.Level3.net 0b 58b 168b
<= 0b 83b 288b
box4.local => stackoverflow.com 0b 42b 21b
<= 0b 42b 21b
box4.local => 224.0.0.251 0b 0b 179b
<= 0b 0b 0b
224.0.0.251 => box-2.local 0b 0b 0b
<= 0b 0b 36b
224.0.0.251 => box.local 0b 0b 0b
<= 0b 0b 35b
?????????????????????????????????????????????????????????????????????????????????
TX: cum: 37.9MB peak: 91.0Mb rates: 91.0Mb 27.1Mb 15.2Mb
RX: 1.19MB 1.89Mb 1.59Mb 795kb 486kb
TOTAL: 39.1MB 92.6Mb 92.6Mb 27.9Mb 15.6Mb
不要忘记旧 *nix 上经典而强大的 sar 和 netstat 实用程序!
另一个很棒的工具是nload,这是一个很棒的实时监控带宽的工具,可以使用 sudo apt-get install nload 轻松安装在 Ubuntu 或 Debian 中。
Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:
. ...|
# ####|
.. |#| ... #####. .. Curr: 2.07 MBit/s
###.### #### #######|. . ## | Avg: 1.41 MBit/s
########|#########################. ### Min: 1.12 kBit/s
........ ################################### .### Max: 4.49 MBit/s
.##########. |###################################|##### Ttl: 1.94 GByte
Outgoing:
########## ########### ###########################
########## ########### ###########################
##########. ########### .###########################
########### ########### #############################
########### ###########..#############################
############ ##########################################
############ ##########################################
############ ########################################## Curr: 63.88 MBit/s
############ ########################################## Avg: 32.04 MBit/s
############ ########################################## Min: 0.00 Bit/s
############ ########################################## Max: 93.23 MBit/s
############## ########################################## Ttl: 2.49 GByte
经过一段时间的搜索后(几天内带宽超过 60GB)我发现我的服务器是 DDOS 攻击源。
首先,我尝试在其上安装Oracle DB,因此我创建了oracle用户。黑客以某种方式设法突破了该用户的通行证(我想我应该让它变得更难:( ),他们在 Oracle 主目录下创建了一个隐藏目录,其中有一个 crontab,它手动运行一些淹没目标服务器的守护进程。
此外,黑客在我的服务器上创建了 2 个新用户:avahi 和 colord。我该怎么办?我用谷歌搜索了一下,似乎同名的软件并不危险,但我删除了这些用户(还有甲骨文)。
此外,我还删除了整个 Oracle 主目录,以及其中的所有内容。
我想我需要加强我的服务器的安全,因为它可能会再次受到攻击,谢谢大家的帮助!
| 归档时间: |
|
| 查看次数: |
54008 次 |
| 最近记录: |