1.先使用 iftop 软件分析出问题所在,找出到底是哪些ip在疯狂的访问
1.1.如果发现本机向某些 ip 疯狂的发送数据,那么先把当前的 ip 给封掉
iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP
1.2.如果把这些ip封了之后依然无法解决问题得话,就需要分析一下当前系统是不是存在异常进程,如果找到异常进程就直接把它kill掉
新老阿里云账户均可领取!可用于购买阿里云服务器ECS、云数据库RDS、虚拟主机、安骑士、DDoS高防IP等100多云计算产品。 代金券自领取之日起,有效期是7天,请及时使用。
2.查看当前的系统用户,看有没有异常的用户出现
iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP
1.流量分析(查找异常流量)
1.1.使用 iftop 软件分析哪些流量是异常的
1.2.发现有异常流量直接关闭掉
iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP
意思就是 把来自 10.0.15.171 的包,和发送到 162.218.53.0/24 包都丢弃。
2.进程分析(查找异常进程)
2.1. ps 找出进程中是不是有飞正常的进程,比如稀奇古怪的进程名称
2.2.找出那种进程文件在飞正常位置的进程,比如 kk 进程位置显示kk文件存放在 tomcat/bin/目录下,这个文件正常是没有的,所以它很可能是有问题的文件
3.用户分析(查找异常用户)
查看当前的系统用户有没有异常的用户存在,如果有吧他用户名修改掉
4.命令分析(history命令分析)
通过 hsitory 查看有没有异常命令被执行。
