我有一台运行在Lighttpd 1.4上的小型networking服务器,在过去的几个月里它稳定地使用了250GB或更less的带宽。 但自5月份以来,交通量猛增至原来的三倍以上。 没有什么特别的是在我的网站上做出这样的秒杀。 当我用vnstat检查时,我发现70%的带宽是tx。 我怀疑我被黑客攻击了,我的networking服务器正在变成某种机器人。 ClamAV什么都没有出来,我已经在六月初更换了一个新的Joomla安装。 但现在stream量保持不变。
我的问题是,如何监视我的服务器并查看传输所有数据的内容? 我需要做的是找出是什么罪魁祸首。
有人可以指出正确的方式来解决这个问题吗? 谢谢。
几件事情要尝试:
使用netstat -nltp显示监听进程。 寻找任何你不认识,或不合法的东西。
使用iftop -i <interface>来查看远程对端是谁正在使用最多的带宽。
使用tcpdump -pnn -i <interface> <host>来确定tcpdump -pnn -i <interface> <host>者正在使用哪个端口。 将其与netstat结果进行比较。
当你find一些你想杀死连接的主机时,请使用以下命令:
iptables -A INPUT -s <ip.ad.dr.es> -j DROP
当你想删除该iptables规则使用以下内容:
iptables -D INPUT -s <ip.ad.dr.es> -j DROP
要非常小心,不要过滤自己的 IP地址!
祝你好运!
我使用ntop ,它允许我以(相当)奇特的方式跟踪每个连接。 netstat是另一个伟大的工具( netstat -untap可以帮助你一路)。
我为一家networking监控公司工作,我们的解决scheme将允许您监控从您的Web服务器出来的stream量,并准确地诊断正在发生的事情。
但是,这听起来像你已经知道你的服务器上有一些妥协。 我的build议,将完全是你的服务器,并重新启动。 你永远不能相信受到威胁的服务器。
我不确定任何免费的networkingstream量监控解决scheme,可以为您提供一个很好的视觉指导。 我已经做了市场调查,就像在我的领域。