Linux 服务器中流量跑高的案例

最新推荐文章于 2023-03-22 02:01:02 发布
最新推荐文章于 2023-03-22 02:01:02 发布
阅读量7.5k 收藏 2
点赞数
分类专栏: Accumulation 文章标签: Linux 服务器中流量跑高的案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redhat_xiaoguaishou/article/details/19042147
版权
本文介绍了两例Linux服务器流量异常的案例。第一例中,服务器流量异常升高,通过检查iptables规则和rc.local文件,发现异常进程并清理。第二例中,服务器流量80多兆向外发包,通过查看系统日志、进程和cron任务,发现恶意脚本并清除。强调了密码安全和系统维护的重要性。
摘要由CSDN通过智能技术生成

  这里就简单说说这个流量跑高。

  首先我从cacti 中监控到了一台放在机房的服务器流量异常,何为异常这里说一下:本身这台服务器交换机中限制带宽为两兆峰值,而他却可以跑到100M,按正常情况来说,当你的服务器流量跑满的时候,你的机器会很卡、远程连接会掉线或者根本连不上,所以正常流量来看,是绝对不会跑到100M的,所以这叫流量异常。下面给大家看一下图:


一、  

那么当我发现异常后,我就查资料表找出这台机器的IP地址还有系统信息等等。

  最终判定这是一台CentOS 5.4 密码为数字加大小写。以下是我查看到的一些信息:

[root@aaa ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

##  这是防火墙规则

[root@aaa ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:60003               0.0.0.0:*                   LISTEN      3552/cupsdd
tcp        0      0 0.0.0.0:5801                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:5802                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      2506/mysqld
tcp        0      0 0.0.0.0:14379               0.0.0.0:*                   LISTEN      3516/ora_d000_thdb
tcp        0      0 0.0.0.0:5803                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      0 0.0.0.0:5901                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:5902                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:5903                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      0 119.57.51.103:80            221.209.56.114:27808        SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27807        SYN_RECV    -
tcp        0      0 119.57.51.103:80            206.217.132.75:2229         SYN_RECV    -
tcp        0      0 119.57.51.103:80            121.232.7.242:51370         SYN_RECV    -
tcp        0      0 119.57.51.103:80            182.185.216.13:53534        SYN_RECV    -
tcp        0      0 119.57.51.103:80            111.161.23.92:37697         SYN_RECV    -
tcp        0      0 119.57.51.103:80            157.55.35.96:18323          SYN_RECV    -
tcp        0      0 119.57.51.103:80            125.39.163.95:30525         SYN_RECV    -
tcp        0      0 119.57.51.103:80            183.3.87.80:51903           SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27806        SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27809        SYN_RECV    -
tcp        0      0 0.0.0.0:1521                0.0.0.0:*                   LISTEN      3426/tnslsnr
tcp        0      0 0.0.0.0:6001                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:6002                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:6003                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      1 127.0.0.1:50865             127.0.0.1:1521              SYN_SENT    3494/ora_pmon_thdb
tcp        0      0 119.57.51.103:32005         202.103.178.76:10991        ESTABLISHED 3648/atdd
tcp        0      0 119.57.51.103:32007         202.103.178.76:10991        ESTABLISHED 4059/atdd
tcp        0      0 119.57.51.103:32006         202.103.178.76:10991        ESTABLISHED 3760/atdd
tcp        0      0 119.57.51.103:32008         202.103.178.76:10991        ESTABLISHED 3881/atdd
tcp        0      0 119.57.51.103:32011         202.103.178.76:10991        ESTABLISHED 4472/atdd
tcp        0      0 119.57.51.103:32012         202.103.178.76:10991        ESTABLISHED 4300/atdd
tcp        0      0 119.57.51.103:32015         202.103.178.76:10991        ESTABLISHED 4617/atdd
tcp        0      0 119.57.51.103:32014         202.103.178.76:10991        ESTABLISHED 4198/atdd
tcp        0      0 119.57.51.103:64255         121.12.110.96:10991         ESTABLISHED 3558/ksapd
tcp        0      0 119.57.51.103:64259         121.12.110.96:10991         ESTABLISHED 3832/ksapd
tcp        0      0 119.57.51.103:64258         121.12.110.96:10991         ESTABLISHED 3652/ksapd
tcp        0      0 119.57.51.103:64257         121.12.110.96:10991         ESTABLISHED 4527/ksapd
tcp        0      1 119.57.51.103:51903         112.90.252.76:10991         SYN_SENT    4544/kysapd
tcp        0      1 119.57.51.103:51902         112.90.252.76:10991         SYN_SENT    4365/kysapd
tcp        0      1 119.57.51.103:51901         112.90.252.76:10991         SYN_SENT    4291/kysapd
tcp        0      1 119.57.51.103:51900         112.90.252.76:10991         SYN_SENT    3978/kysapd
tcp        0      1 119.57.51.103:51899         112.90.252.76:10991         SYN_SENT    3878/kysapd
tcp        0      1 119.57.51.103:51898         112.90.252.76:10991         SYN_SENT    4154/kysapd
tcp        0      1 119.57.51.103:51897         112.90.252.76:10991         SYN_SENT    3709/kysapd
tcp        0      1 119.57.51.103:51896         112.90.252.76:10991         SYN_SENT    3604/kysapd
tcp        0      1 127.0.0.1:5369              127.0.0.1:6113              SYN_SENT    3426/tnslsnr
tcp        0      0 :::80                       :::*                        LISTEN      2879/httpd
tcp        0      0 :::6001                     :::*                        LISTEN      2569/Xvnc
tcp        0      0 :::6002                     :::*                        LISTEN      2613/Xvnc
tcp        0      0 :::6003                     :::*                        LISTEN      2674/Xvnc
tcp        0      0 :::22                       :::*                        LISTEN      2448/sshd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:157.55.34.74:57650   TIME_WAIT   -
tcp        0     64 ::ffff:119.57.51.103:22     ::ffff:119.57.180.130:46177 ESTABLISHED 6691/sshd: root@not
tcp        0  29866 ::ffff:119.57.51.103:80     ::ffff:157.55.32.154:24818  FIN_WAIT1   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:218.106.154.11:14554 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:218.106.154.11:13526 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:180.173.86.128:1107  TIME_WAIT   -
tcp        0   6692 ::ffff:119.57.51.103:22     ::ffff:114.250.249.21:56821 ESTABLISHED 7269/0
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:182.118.19.211:10424 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:60.190.138.140:35502 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59613 FIN_WAIT2   7271/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59615 ESTABLISHED 7506/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59614 FIN_WAIT2   7507/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59611 FIN_WAIT2   7505/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:183.60.214.28:55574  TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:182.118.19.109:46068 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:157.55.34.74:63141   TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:157.55.34.74:11155   TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:182.118.19.127:54739 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:218.106.154.11:15706 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59617 FIN_WAIT2   7509/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:221.224.14.222:59616 FIN_WAIT2   7508/httpd
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:218.106.154.11:13094 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:182.118.28.30:29387  TIME_WAIT   -
tcp        0      1 ::ffff:119.57.51.103:80     ::ffff:125.39.172.32:37149  LAST_ACK    -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:157.55.34.74:56558   TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:218.106.154.11:13315 TIME_WAIT   -
tcp        0      0 ::ffff:119.57.51.103:80     ::ffff:81.91.9.160:57503    FIN_WAIT2   -
最低0.47元/天 解锁文章
RedHat-小怪兽
关注
专栏目录
linux服务器流量异常解决记事
qq_30699381的博客
04-14 5959
这两天刚买没几天的阿里云服务器发生了一个小时近2G的流量开销,白花的银子打了水漂。百度一下,发现使用流量监控软件iftop 和nethogs可以找到发生大流量的服务。实际使用发现当时的服务只显示对端ip。如下图:再百度一下,发现iftop可以监测固定网卡,命令是iftop -i eth1  ,eth1指网卡名。实际运行发现报错了,请看下图:尝试使用命令 iftop -i eth0 后,效果直接...
linux修改其他进程内存,深入Linux | 如何在任意进程修改内存保护(含PoC)
weixin_33304896的博客
04-28 830
前言最近,我们遇到一个非常具体的问题:改变任意进程的内存区域的保护标志。这项任务看似微不足道,但是我们着实遇到了一些麻烦,在此过程也学到了关于Linux机制和内核开发相关的东西。以下是一些简要概述,其包括了当时采取的三种方案,每次也在寻求更好解决方案。 概述在现代操作系统,每个进程都有自己的虚拟地址空间(从虚拟地址映射到物理地址)。此虚拟地址空间由内存页(某些固定大小的连续内存块)组成,每个...
php木马导致服务器流出流量的排查及临时解决方法
fogwang的专栏
05-13 2182
<br />近段时间服务器上经常出现流出的流量达到百分之八九十左右,很是让人恼火。<br />对于服务器流量流出100%排查流程及方法:<br />症状:流出流量偶尔达到98%左右、并持续一段时间。停止iis或停掉80端口后就恢复正常。iis启动之后就又<br />达到98%左右。<br />原因:有的网站存在一个xxx.php文件,文件有一段加密的代码:代码如下:<br /><?php eval(gzinflate(base64_decode<br />('DZNHkqNIAADv85HpDg4tTG
linux服务器流量大,linux服务器站点流量限制方案
weixin_32251525的博客
05-02 278
技术文章#! /bin/sh# Simple bandwidth limiter -# Change this to your link bandwidth# (for cable modem, DSL links, etc. put the maximal bandwidth you can# get, not the speed of a local Ethernet link)REAL_BW...
[内核内存] [arm64] 内存回收3---kswapd内核线程回收
菁的博客
04-29 1509
文章目录1.kswapd线程初始化2.kswapd线程的唤醒3.kswapd线程源码分析3.1 kswapd函数alloc_order,reclaim_order和classzone_idx局部变量解析kswapd_try_to_sleep函数balance_pgdat函数kswapd_shrink_node函数3.kswapd执行流程总结 1.kswapd线程初始化 kswapd是linux内核一个用于在内存不足的情况下进行内存回收线程。该线程的初始化函数为kswapd_init。由下代码可知,内核会给
Linux服务器出现异常和卡顿排查思路和步骤
最新发布
DD-Blog
03-22 1万+
Linux服务器出现异常和卡顿有硬件和软件的原因,硬件没问题的情况可以通过 top命令、jps命令、 jmap分析堆内存配置信息和使用情况、 jstack分析线程的执行情况、 jstat查看各区域占堆百分比和服务日志去排查问题。
linux网络流量,linux-流量异常怎么处理
weixin_39884100的博客
05-08 1429
这里就简单说说这个流量。首先我从cacti 监控到了一台放在机房的服务器流量异常,何为异常这里说一下:本身这台服务器交换机限制带宽为两兆峰值,而他却可以到100M,按正常情况来说,当你的服务器流量满的时候,你的机器会很卡、远程连接会掉线或者根本连不上,所以正常流量来看,是绝对不会到100M的,所以这叫流量异常。下面给大家看一下图:一、那么当我发现异常后,我就查资料表找出这台机器的IP...
linux_stream_server.zip_linux stream_linux 服务器_stream_stream ser
09-19
在本案例,"linux_stream_server.zip"是一个包含关于在Linux上搭建流媒体服务器指南的压缩文件。从提供的标签来看,我们可以推测这个压缩包可能包括了与Linux操作系统、流媒体服务相关的文档或配置文件,比如...
Linux并发服务器开发---笔记4(网络编程)
weixin_38665351的博客
07-20 3669
0705Linux并发服务器开发—笔记1见Linux并发服务器开发—笔记2见Linux并发服务器开发—笔记3(多线程)视频课链接: 4.6 网络编程1 4.6 网络编程2计算机网络笔记 ②Linux简明系统编程(嵌入式公众号的课)—总课时12h 网卡是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件,又称为网络适配器或网络接口卡NIC。其拥有 MAC 地址,属于 OSI 模型的第 2 层,它使得用户可以通过或相互连接。(即网卡分为以太网卡和无线网卡)每一个网卡都有一个被称为 MAC 地址的独
配置页属性成功,但页属性未生效
CX19970的博客
06-08 359
用户对内存页配置页属性成功,但页属性未生效。 例如:对分配到的某块内存进行memset(),然后设置只读属性,再进行memset()时不触发写保护。
linux 3.10 一次softlock排查
weixin_34194702的博客
09-03 408
x86架构。一个同事分析的crash,我在他基础上再次协助分析,也没有获得进展,只是记录一下分析过程。记录是指备忘,万一有人解决过,也好给我们点帮助。 有一次软锁,大多数cpu被锁,log第一个认为被锁的cpu已经被冲掉了,直接敲入log,总共24个cpu,首先看到的是17cpu的堆栈,分析如下: [ 4588.212690] CPU: 17 PID: 9745 Comm: zte_u...
基于Linux平台下的僵尸网络病毒《比尔盖茨》
热门推荐
星焱宖
06-11 2万+
文章分析了近来的 比尔盖茨 病毒,这是一种网络僵尸病毒,它的破坏方式很巧妙也很多样,作者的能力有限,希望与大家共同探讨。
项目修炼之路(7)iftop查看耗费流量的进程
ESOO
02-22 1万+
我们知道在linux,top命令可以查看服务器资源的一些情况,cpu,内存等,还可以看到是谁在消耗内存或cpu,但是,有些时候,我们发现,cpu和内存并不吃紧,但是服务器依然很慢,这时候,我们需要多一个维度来帮助我们分析问题,就是流量的统计,今天给大家介绍一个工具iftop,希望帮助大家解决这个问题。
服务器带宽满的排查处理
weixin_33895516的博客
04-07 1396
带宽满的情况分析: 由于大部分托管商流入带宽不限,所以本文主要阐述服务器流出带宽满的情况。 流出带宽满主要有两种情况: 1、 正常业务流量满,即外部下载服务器上的资源。 2、 非正常服务流量,即可能对外攻击。 下面根据linux和windows平台阐述一下上述三种情况的检查方法: 一、Linux平台 首先可通过tcpdump抓包看查看流量详情...
服务器流量异常的原因分析和解决办法
mengyier_520的博客
08-13 7577
在使用服务器的过程,经常会碰到流量异常,时不时的流量。 遇到这样的情况,很有可能是以下几点原因: 1.服务器被暴力破解 2.服务器被攻击DD/CC 遇到这种情况,该如何分析呢? 一、首先,可以先登录服务器里面检查服务器日志,看看是否有IP多次异常登录并显示登录失败的请求,如果显示多次登录失败,说明有人正在尝试暴力破解登录你的服务器,占用了你过多的带宽资源。 解决办法:把异常请求的IP加入到防...
小白科普:10Mb独享服务器相当于多少流量?一个月3500GB流量服务器可以支持多少PV?多少IP访问?
sexrenge的博客
09-04 2747
现在很多站长朋友都用上了VPS、云服务器,通常国外的服务器大多是按照每月多少流量来进行限制,而国内通常是按照多少独享带宽来进行限制,例如阿里云和腾讯云提供的套餐常见的都是1M带宽。那么很多人就有疑惑,1M带宽相当于多少月流量呢?能支撑多少个用户访问呢?这里VPSNO.com给大家科普一下这个基础知识。 这里我们以服务器10Mb独享带宽来作为例子。单位是bit,8bit=1byte。和我们电信的ADSL的2Mb带宽是一个单位。我们的2Mb ADSL最大下载速度是256KB(byte),那么10Mb带宽最大速度
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值