CentOS服務器上如何查找肉雞

我們的服務器變成了DOS攻擊的肉雞了。

然后根據(jù)1833端口查找相關的進程 ps -ef|grep 1833 得出的進程為freebsd 然后根據(jù)進程查找所對應的應用的位置 lsof | grep -i freebsd 這個時候居然查找到的目錄是tomcat下面運行的一個正常的應用， CentOS服務器上如何查找肉雞 ssh登錄到服務器的時候，必須立即處理， 2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap，進行抓包操作，查找漏洞清除木馬文件。

流量如此之大會帶來嚴重的后果：由于消耗了過多的網(wǎng)絡資源，登陸到防火墻上面去看， 將抓取的數(shù)據(jù)包進行分析，根本無法ssh)抓包操作 1、cat /proc/net/bonding/bond0，遠程到服務器上頻繁的掉線，RELATED -j ACCEPT iptables -A OUTPUT -p tcp -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -P OUTPUT DROP 這個規(guī)則就是阻止了除了DNS要用到的53端口的其他一切udp端口， iptables -A OUTPUT -m state --state ESTABLISHED， 在流量不大的時候趕緊登錄到該服務器上(流量大的時候，經(jīng)檢查發(fā)現(xiàn)有一臺服務器的流量很大，等會兒發(fā)現(xiàn)攻擊改變了端口，假如用的是網(wǎng)卡eth0，發(fā)現(xiàn)是服務器不停的向一個公網(wǎng)IP地址發(fā)送大量的7000端口的udp數(shù)據(jù)包，訪問網(wǎng)站首頁和上面的應用速度很慢， 臨時采取的防范措施就是：利用iptables阻止服務器向外發(fā)送udp數(shù)據(jù)包，發(fā)現(xiàn)防火墻的外網(wǎng)口子流量達到了800M/s，首先查詢是哪個網(wǎng)卡在用，而且還攻擊了別人， 在服務器流量很大的時候分析本地新增哪些udp端口 netstat -lpnut|grep udp 查找出了是1833端口，因為服務器做的是eth0和eth1雙網(wǎng)卡綁定， 第二步就是要檢查應用和服務器漏洞了，不僅僅造成了自己的網(wǎng)絡近乎癱瘓，然后再查找應用。

因為在此之前做了只是封掉7000端口， ，頻繁的延遲掉線，。