CentOS伺服器上如何尋找肉雞

 　　CentOS伺服器上如何尋找肉雞

           ssh登入到伺服器的時候，頻繁的延遲掉線，登陸到防火牆上面去看，發現防火牆的外網口子流量達到了800M/s，經檢查發現有一台伺服器的流量很大。流量如此之大會帶來嚴重的後果：由於消耗了過多的網路資源，訪問網站首頁和上面的應用速度很慢，遠程到伺服器上頻繁的掉線。必須立即處理。

　　在流量不大的時候趕緊登入到該伺服器上(流量大的時候，根本無法ssh)抓包操作

　　1、cat /proc/net/bonding/bond0，首先查詢是哪個網卡在用，因為伺服器做的是eth0和eth1雙網卡綁定。

　　2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap，假如用的是網卡eth0，進行抓包操作。

　　將抓取的資料包進行分析，發現是伺服器不停的向一個公網IP地址發送大量的7000連接埠的udp資料包，我們的伺服器變成了DOS攻擊的“肉雞”了，不僅僅造成了自己的網路近乎癱瘓，而且還攻擊了別人。

　　臨時採取的防範措施就是：利用iptables阻止伺服器向外發送udp資料包。然後再尋找應用，尋找漏洞清除木馬檔案。

　　iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -A OUTPUT -p tcp -j ACCEPT

　　iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

　　iptables -P OUTPUT DROP

　　這個規則就是阻止了除了DNS要用到的53連接埠的其他一切udp連接埠，因為在此之前做了只是封掉7000連接埠，等會兒發現攻擊改變了連接埠。

　　第二步就是要檢查應用和伺服器漏洞了。

　　在伺服器流量很大的時候分析本地新增哪些udp連接埠

　　netstat -lpnut|grep udp

　　尋找出了是1833連接埠，然後根據1833連接埠尋找相關的進程

　　ps -ef|grep 1833

　　得出的進程為freebsd

　　然後根據進程尋找所對應的應用的位置

　　lsof | grep -i freebsd

　　這個時候居然尋找到的目錄是tomcat下面啟動並執行一個正常的應用。