今天突然发现我们用的几台托管服务器速度非常慢,中午开始就变得比较慢,到了晚上就快连不上了。不得不查下具体问题的原因,这方面我也没什么经验,在多方求助后问题总算得到解决。特别记录一下过程。
1. 查找问题
首先发现的是我们的Orcale服务器非常慢,PLSQL几乎连不上。连上数据库所在的机器,发现CPU占用和本机网络占用都不高,找不到具体原因只好重启电脑,问题依旧。再试了下网络,整个机房网速速度都很慢。
我尝试用本机ping一下服务器,惊讶的发现丢包率高达30%。用服务器ping下外网也是如此。用traceroute去试了下去外网的路径,发现ping对外的网关就出现了严重丢包 。可以确定是服务器所在内网出问题了。
我尝试对可能出问题的主机进行查看当前网络流量,用watch -n 1 "/sbin/ifconfig eth0 | grep bytes"命令即可。比较悲剧的是就出问题的机器没有查。
早上来公司,有人发现有一台机器上有个我们已经不用的用户居然启动了非常多的同样进程,再一查本机的网络流量,居然非常高,总算找到问题的原因了。
2. 解决问题
我看了被启动的程序,居然是在/tmp下的一个python脚本,命令都是svcrack.py和svwar.py 。上网查了一下,这个居然是一个密码破解用的工具,我看了下程序的启动参数,居然是不断尝试破解其他主机密码。看来我们机器的用户名和密码一样,果然是被人破解密码了。
删掉被破解的用户,然后重启电脑,问题解决,网络一切正常。
3. 经验教训
不要以为用Linux就肯定安全了,密码和用户权限的管理一定要做好。对于服务器应该要限定可以访问ip范围,密码要有一定的复杂度,尽量使用小权限用户。
本文转自passover 51CTO博客,原文链接:http://blog.51cto.com/passover/473688,如需转载请自行联系原作者
