Linux 服务器中流量跑高的案例

最新推荐文章于 2023-03-22 02:01:02 发布
最新推荐文章于 2023-03-22 02:01:02 发布
阅读量7.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Accumulation 文章标签: Linux 服务器中流量跑高的案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/redhat_xiaoguaishou/article/details/19042147
本文介绍了两例Linux服务器流量异常的案例。第一例中,服务器流量异常升高,通过检查iptables规则和rc.local文件,发现异常进程并清理。第二例中,服务器流量80多兆向外发包,通过查看系统日志、进程和cron任务,发现恶意脚本并清除。强调了密码安全和系统维护的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  这里就简单说说这个流量跑高。

  首先我从cacti 中监控到了一台放在机房的服务器流量异常,何为异常这里说一下:本身这台服务器交换机中限制带宽为两兆峰值,而他却可以跑到100M,按正常情况来说,当你的服务器流量跑满的时候,你的机器会很卡、远程连接会掉线或者根本连不上,所以正常流量来看,是绝对不会跑到100M的,所以这叫流量异常。下面给大家看一下图:


一、  

那么当我发现异常后,我就查资料表找出这台机器的IP地址还有系统信息等等。

  最终判定这是一台CentOS 5.4 密码为数字加大小写。以下是我查看到的一些信息:

[root@aaa ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

##  这是防火墙规则

[root@aaa ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:60003               0.0.0.0:*                   LISTEN      3552/cupsdd
tcp        0      0 0.0.0.0:5801                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:5802                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      2506/mysqld
tcp        0      0 0.0.0.0:14379               0.0.0.0:*                   LISTEN      3516/ora_d000_thdb
tcp        0      0 0.0.0.0:5803                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      0 0.0.0.0:5901                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:5902                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:5903                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      0 119.57.51.103:80            221.209.56.114:27808        SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27807        SYN_RECV    -
tcp        0      0 119.57.51.103:80            206.217.132.75:2229         SYN_RECV    -
tcp        0      0 119.57.51.103:80            121.232.7.242:51370         SYN_RECV    -
tcp        0      0 119.57.51.103:80            182.185.216.13:53534        SYN_RECV    -
tcp        0      0 119.57.51.103:80            111.161.23.92:37697         SYN_RECV    -
tcp        0      0 119.57.51.103:80            157.55.35.96:18323          SYN_RECV    -
tcp        0      0 119.57.51.103:80            125.39.163.95:30525         SYN_RECV    -
tcp        0      0 119.57.51.103:80            183.3.87.80:51903           SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27806        SYN_RECV    -
tcp        0      0 119.57.51.103:80            221.209.56.114:27809        SYN_RECV    -
tcp        0      0 0.0.0.0:1521                0.0.0.0:*                   LISTEN      3426/tnslsnr
tcp        0      0 0.0.0.0:6001                0.0.0.0:*                   LISTEN      2569/Xvnc
tcp        0      0 0.0.0.0:6002                0.0.0.0:*                   LISTEN      2613/Xvnc
tcp        0      0 0.0.0.0:6003                0.0.0.0:*                   LISTEN      2674/Xvnc
tcp        0      1 127.0.0.1:50865             127.0.0.1:1521              SYN_SENT    3494/ora_pmon_thdb
tcp        0      0 119.57.51.103:32005         202.103.178.76:10991        ESTABLISHED 3648/atdd
tcp        0      0 119.57.51.103:32007         202.103.178.76:10991        ESTABLISHED 4059/atdd
tcp        0      0 119.57.51.103:32006         202.103.178.76:10991        ESTABLISHED 3760/atdd
tcp        0      0 119.57.51.103:32008         202.103.178.76:10991        ESTABLISHED 3881/atdd
tcp        0      0 119.57.51.103:32011         202.103.178.76:10991        ESTABLISHED 4472/atdd
tcp        0      0 119.57.51.103:32012         202.103.178.76:10991        ESTABLISHED 4300/atdd
tcp        0      0 119.57.51.103:32015         202.103.178.76:10991        ESTABLISHED 4617/atdd
tcp        0      0 119.57.51.103:32014         202.103.178.76:10991        ESTABLISHED 4198/atdd
tcp        0      0 119.57.51.103:64255         121.12.110.96:10991         ESTABLISHED 3558/ksapd
tcp        0      0 119.57.51.103:64259         121.12.110.96:10991         ESTABLISHED 3832/ksapd
tcp        0      0 119.57.51.103:64258         121.12.110.96:10991         ESTABLISHED 3652/ksapd
tcp        0      0 119.57.51.103:64257         121.12.110.96:10991         ESTABLISHED 4527/ksapd
tcp        0      1 119.57.51.103:51903         112.90.252.76:10991         SYN_SENT    4544/kysapd
tcp        0      1 119.57.51.103:51902         112.90.252.76:10991         SYN_SENT    4365/kysapd
tcp        0      1 119.57.51.103:51901         112.90.252.76:10991         SYN_SENT    4291/kysapd
tcp        0      1 119.57.51.103:51900         112.90.252.76:10991         SYN_SENT    3978/kysapd
tcp        0      1 119.57.51.103:51899         112.90.252.76:10991         SYN_SENT    3878/kysapd
tcp        0      1 119.57.51.103:51898         112.90.252.76:10991         SYN_SENT    4154/kysapd
tcp        0      1 119.57.51.103:51897         112.90.252.76:10991         SYN_SENT    3709/kysapd
tcp        0      1 119.57.51.103:51896         112.90.252.76:10991         SYN_SENT    3604/kysapd
tcp        0      1 127.0.0.1:5369              127.0.0.1:6113              SYN_SENT    3426/tnslsnr
tcp        0      0 :::80                       :::*                        LISTEN      2879/httpd
tcp        0      0 :::6001                     :::*                        LISTEN      2569/Xvnc
tcp        0      0 :::6002                     :::*                        LISTEN      2613/Xvnc
t
最低0.47元/天 解锁文章

200万优质内容无限畅学
linux服务器流量异常解决记事
qq_30699381的博客
04-14 6219
这两天刚买没几天的阿里云服务器发生了一个小时近2G的流量开销,白花的银子打了水漂。百度一下,发现使用流量监控软件iftop 和nethogs可以找到发生大流量的服务。实际使用发现当时的服务只显示对端ip。如下图:再百度一下,发现iftop可以监测固定网卡,命令是iftop -i eth1  ,eth1指网卡名。实际运行发现报错了,请看下图:尝试使用命令 iftop -i eth0 后,效果直接...
linux网络流量,linux-流量异常怎么处理
weixin_39884100的博客
05-08 1565
这里就简单说说这个流量。首先我从cacti 中监控到了一台放在机房的服务器流量异常,何为异常这里说一下:本身这台服务器交换机中限制带宽为两兆峰值,而他却可以到100M,按正常情况来说,当你的服务器流量满的时候,你的机器会很卡、远程连接会掉线或者根本连不上,所以正常流量来看,是绝对不会到100M的,所以这叫流量异常。下面给大家看一下图:一、那么当我发现异常后,我就查资料表找出这台机器的IP...
php木马导致服务器流出流量的排查及临时解决方法
fogwang的专栏
05-13 2297
<br />近段时间服务器上经常出现流出的流量达到百分之八九十左右,很是让人恼火。<br />对于服务器流量流出100%排查流程及方法:<br />症状:流出流量偶尔达到98%左右、并持续一段时间。停止iis或停掉80端口后就恢复正常。iis启动之后就又<br />达到98%左右。<br />原因:有的网站中存在一个xxx.php文件,文件中有一段加密的代码:代码如下:<br /><?php eval(gzinflate(base64_decode<br />('DZNHkqNIAADv85HpDg4tTG
linux服务器流量大,linux服务器站点流量限制方案
weixin_32251525的博客
05-02 315
技术文章#! /bin/sh# Simple bandwidth limiter -# Change this to your link bandwidth# (for cable modem, DSL links, etc. put the maximal bandwidth you can# get, not the speed of a local Ethernet link)REAL_BW...
[内核内存] [arm64] 内存回收3---kswapd内核线程回收
菁的博客
04-29 1841
文章目录1.kswapd线程初始化2.kswapd线程的唤醒3.kswapd线程源码分析3.1 kswapd函数alloc_order,reclaim_order和classzone_idx局部变量解析kswapd_try_to_sleep函数balance_pgdat函数kswapd_shrink_node函数3.kswapd执行流程总结 1.kswapd线程初始化 kswapd是linux内核中一个用于在内存不足的情况下进行内存回收线程。该线程的初始化函数为kswapd_init。由下代码可知,内核会给
kswapd0进程对于CPU占有率的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
子冉冰清的博客
03-30 7504
kswapd0进程对于CPU占有率的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合 第一回合 最开始大概是半个月前,我突然发现我的百度云服务器上的MySQL连接不上。 但是前一晚还用了。因此可以确定不是账号密码,以及服务器上设置的问题。 于是乎,就登陆到云服务器上,准备去查看一下mysql的运行情况。然后突然敲命令也很卡,感觉可能系统响应太慢了,用toptoptop指令去看下 (上面这个图是我第三回合排查的时候截的图,前面两个回合都没有注意,所以没有截图。) 当我看到这个的时候,吓了一跳。怎么突然
性能Linux服务器构建实战:运维监控、性能调优与集群应用.pdf
最新发布
09-22
Linux服务器作为性能的网络架构基础,其运维监控、性能调优以及集群应用对于保障企业业务连续性和稳定性至关重要。本书《性能Linux服务器构建实战:运维监控、性能调优与集群应用.pdf》深入探讨了这些核心主题,...
linux_stream_server.zip_linux stream_linux 服务器_stream_stream ser
09-19
在本案例中,"linux_stream_server.zip"是一个包含关于在Linux上搭建流媒体服务器指南的压缩文件。从提供的标签来看,我们可以推测这个压缩包可能包括了与Linux操作系统、流媒体服务相关的文档或配置文件,比如...
Linux服务器出现异常和卡顿排查思路和步骤
DD-Blog
03-22 1万+
Linux服务器出现异常和卡顿有硬件和软件的原因,硬件没问题的情况可以通过 top命令、jps命令、 jmap分析堆内存配置信息和使用情况、 jstack分析线程的执行情况、 jstat查看各区域占堆百分比和服务日志去排查问题。
linux修改其他进程内存,深入Linux | 如何在任意进程中修改内存保护(含PoC)
weixin_33304896的博客
04-28 906
前言最近,我们遇到一个非常具体的问题:改变任意进程的内存区域的保护标志。这项任务看似微不足道,但是我们着实遇到了一些麻烦,在此过程中也学到了关于Linux机制和内核开发相关的东西。以下是一些简要概述,其中包括了当时采取的三种方案,每次也在寻求更好解决方案。 概述在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址映射到物理地址)。此虚拟地址空间由内存页(某些固定大小的连续内存块)组成,每个...
linux 3.10 一次softlock排查
weixin_34194702的博客
09-03 462
x86架构。一个同事分析的crash,我在他基础上再次协助分析,也没有获得进展,只是记录一下分析过程。记录是指备忘,万一有人解决过,也好给我们点帮助。 有一次软锁,大多数cpu被锁,log中第一个认为被锁的cpu已经被冲掉了,直接敲入log,总共24个cpu,首先看到的是17cpu的堆栈,分析如下: [ 4588.212690] CPU: 17 PID: 9745 Comm: zte_u...
项目修炼之路(7)iftop查看耗费流量的进程
热门推荐
ESOO
02-22 1万+
我们知道在linux中,top命令可以查看服务器中资源的一些情况,cpu,内存等,还可以看到是谁在消耗内存或cpu,但是,有些时候,我们发现,cpu和内存并不吃紧,但是服务器依然很慢,这时候,我们需要多一个维度来帮助我们分析问题,就是流量的统计,今天给大家介绍一个工具iftop,希望帮助大家解决这个问题。
服务器带宽满的排查处理
weixin_33895516的博客
04-07 1542
带宽满的情况分析: 由于大部分托管商流入带宽不限,所以本文主要阐述服务器流出带宽满的情况。 流出带宽满主要有两种情况: 1、 正常业务流量满,即外部下载服务器上的资源。 2、 非正常服务流量,即可能对外攻击。 下面根据linux和windows平台阐述一下上述三种情况的检查方法: 一、Linux平台 首先可通过tcpdump抓包看查看流量详情...
服务器流量异常的原因分析和解决办法
mengyier_520的博客
08-13 8279
在使用服务器的过程中,经常会碰到流量异常,时不时的流量。 遇到这样的情况,很有可能是以下几点原因: 1.服务器被暴力破解 2.服务器被攻击DD/CC 遇到这种情况,该如何分析呢? 一、首先,可以先登录服务器里面检查服务器日志,看看是否有IP多次异常登录并显示登录失败的请求,如果显示多次登录失败,说明有人正在尝试暴力破解登录你的服务器,占用了你过多的带宽资源。 解决办法:把异常请求的IP加入到防...
小白科普:10Mb独享服务器相当于多少流量?一个月3500GB流量服务器可以支持多少PV?多少IP访问?
sexrenge的博客
09-04 3025
现在很多站长朋友都用上了VPS、云服务器,通常国外的服务器大多是按照每月多少流量来进行限制,而国内通常是按照多少独享带宽来进行限制,例如阿里云和腾讯云提供的套餐常见的都是1M带宽。那么很多人就有疑惑,1M带宽相当于多少月流量呢?能支撑多少个用户访问呢?这里VPSNO.com给大家科普一下这个基础知识。 这里我们以服务器10Mb独享带宽来作为例子。单位是bit,8bit=1byte。和我们电信的ADSL的2Mb带宽是一个单位。我们的2Mb ADSL最大下载速度是256KB(byte),那么10Mb带宽最大速度
Linux流量查看工具ifstat,nload,iftop(谁在偷偷使用流量
白衣不染尘的博客
12-20 3263
1、ifstat 是一个网络流量监测程序。能查看网卡的流出和流入的字节。是一个统计网络接口活动状态的工具。 安装方法:yum install -y ifstat 选项: -a 监测能检测到的所有网络接口的状态信息。 -i 指定要监测的接口,后面跟网络接口名 -S 在同一行保持状态更新(不滚动不换行)注:如果不喜欢屏幕滚动则此项非常方便,与bmon的显示方式类似 2、nload ...
Linux性能检查命令总结
weixin_33682719的博客
05-22 276
为什么80%的码农都做不了架构师?>>> ...
Linux级路由与流量控制实用指南
Linux级路由和流量控制是网络管理中的级功能,它允许管理员对数据包的路径和流量进行精细控制。以下将对标题和描述中提到的“linux级路由和流量控制HOWTO 中英文版”这一主题进行深入解析。 ### 标题知识点 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值