7月10号晚上开始,内部研发管理系统及面向用户的网站,API均间隔的无法访问,运维是第三方托管的,无法及时到位(妹的,还不如我自己上。。)
网络服务商是电信通,(关于电信通,以后再吐槽),发现我们出口流量异常,于是乎出于安全考虑把我们端口封了
带宽20M,电信通声称出口流量达到900M!,不太可能啊。。凌乱了。难道是入口流量,DDOS攻击?
监控宝收到一堆无法访问的告警。
由于用户要访问网站,系统要运行,联系电信通开通端口
运维磨磨唧唧不愿意来。你把钱退回来!
7月11日白天一天正常,晕倒。7月12日飞行试验需要用到我们的API,想着应该好了吧。。
7月11日晚上8点,又开始收到告警。妈的还是不行。于是乎恶补了安全知识,什么DDOS,CC,清洗流量,黑洞路由,blablabla。。。。
7月12日,用虚拟化平台的工具监控了历史流量记录,发现一台物理机流量异常,然后逐个排查虚拟机,终于发现一个虚拟机流量不正常,但是也没有900M,最大80多,电信通的不认小数点??
查进程,查CPU占用,竟然是中了淘宝刷信用刷流量的毒tbviewer,初步估计是不停的启动新的进程,而且CPU占比很大,逐步到100%,服务器重启,重启过程中网络恢复,启动后又开始发送流量,带宽占满,断网。。。
找到进程,逐个杀之,彻底删除文件,改密码,重装杀毒软件。
7月13日,运行了24小时,没有问题,保佑不会再出问题。
593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
