我有一个小型网络服务器,运行在 Lighttpd 1.4 上,过去几个月一直使用 250GB 或更少的带宽。但自 5 月以来,流量激增至原来的三倍多。我的网站上没有特别之处导致流量激增。当我使用 vnstat 检查时,我发现 70% 的带宽是 tx。我怀疑我被黑客入侵了,我的网络服务器正在变成某种机器人。ClamAV 没有出现任何问题,我已经在 6 月初用新安装的 Joomla 替换了它。但现在流量保持不变。
我的问题是,我如何监控我的服务器并查看是什么在传输所有数据?我需要做的是查明罪魁祸首是什么。
有人能指出解决这个问题的正确方法吗?谢谢。
答案1
可以尝试以下几件事:
用于netstat -nltp显示聆听过程。查找任何您不认识或不合法的内容。
用于iftop -i <interface>查看使用最多带宽的远程对等点是谁。
用于tcpdump -pnn -i <interface> <host>确定攻击者正在使用哪个端口。将其与netstat结果进行比较。
当您发现某些主机想要终止连接时,请使用以下命令:
iptables -A INPUT -s <ip.ad.dr.es> -j DROP
当您想要删除该 iptables 规则时,请使用以下命令:
iptables -D INPUT -s <ip.ad.dr.es> -j DROP
要非常小心,不要过滤你的自己的IP地址!
祝你好运!
答案2
我使用过它ntop,它允许我以一种(相当)奇特的方式跟踪每个连接。netstat是另一个很棒的工具(netstat -untap可以帮助您)。
答案3
我在一家网络监控公司工作,我们的解决方案可以让您监控来自网络服务器的流量并准确诊断正在发生的事情。
但是,听起来你已经知道你的服务器受到了攻击。我的建议是彻底摧毁你的服务器,然后重新开始。你永远不能相信一个受到攻击的服务器。
我不确定是否有任何免费的网络流量监控解决方案可以为您提供有关正在发生的事情的良好视觉指南。我已经在我的领域进行了市场调查。