我的网络托管商通知我,我的 Fedora 服务器是针对某人的出站 DDoS 攻击的来源。网络托管商没有提供任何其他信息。我如何才能找出发起攻击的进程,以便阻止它?我知道这很模糊,但我认为如果我能以某种方式查看出站流量,我可能能够找到发送它的进程。
我知道一旦我阻止了攻击,我就需要找到入口点,并且可能需要使用更新重新映像服务器。
提前致谢。
答案1
您可以使用 iptraf 之类的工具(可在您附近的仓库中找到)。这会告诉您系统上正在使用哪些端口以及使用率是多少。一旦您知道正在使用哪些端口,您就可以使用 netstat 查找连接到每个端口的进程。因此,如果您确定端口 6666 处于活动状态,则可以使用
netstat -tunp | grep 6666
tcp 0 77352 192.168.254.188:56405 192.168.254.181:6666 ESTABLISHED 30072/nc
正如您在该演示中看到的,pid 30072 正在使用该端口。
答案2
请注意,您可能什么也找不到。您的系统可能已被入侵,您使用的工具无法提供应有的正确答案。即使使用系统进行进一步分析也可能导致更多问题,例如,如果有后门并且您正在输入密码。
唯一的解决方案是关闭服务器并认为它已被入侵。如果你想以安全的方式找到源头,你必须在隔离环境中检查系统。