sshがサーバーに登录する时、频繁な遅延は线を落として、ファイアウォールの上に登录して见て、ファイアウォールの外のネットの口の流量が800 M/sに达したことを発见して、検査を経て1台のサーバーの流量がとても大きいことを発见します。トラフィックのこのような大会は深刻な結果をもたらした:多くのネットワーク資源を消費したため、ウェブサイトのトップページと上のアプリケーションにアクセスする速度が遅く、リモートからサーバに頻繁にオフラインになった。直ちに処理しなければならない。

1、cat/proc/net/bonding/bond 0、サーバがeth 0とeth 1のデュアルNICバインドをしているため、まずどのNICが使用されているかをクエリーします。

2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.Capは、NIC eth 0を使用している場合は、パケットをキャプチャします。

キャプチャしたパケットを分析したところ、サーバーが1つの公網IPアドレスに大量の7000ポートのudpパケットを送信し続けていることが分かった。私たちのサーバーはDOS攻撃の「肉鶏」になり、自分のネットワークが麻痺に近いだけでなく、他の人を攻撃した。

一時的な防犯措置は、iptablesを利用してサーバがudpパケットを外部に送信することを阻止することである。次にアプリケーションを検索し、脆弱性を検索して木馬ファイルをクリアします。

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -P OUTPUT DROP

このルールはDNSが使用する53ポートを除くすべてのudpポートを阻止することです。これまで7000ポートを閉鎖しただけで、攻撃がポートを変えたことに気づきました。

サーバトラフィックが大きい場合に、ローカルに追加されたudpポートを分析します。

netstat -lpnut|grep udp

1833ポートが検出され、1833ポートに基づいて関連プロセスが検索されます。

ps -ef|grep 1833

得られたプロセスはfreebsd

次に、プロセスに基づいて対応するアプリケーションの場所を検索します。

lsof | grep -i freebsd

この時に見つけたディレクトリはtomcatの下で実行されている正常なアプリケーションです。