两天前我开始遇到互联网问题。我的台式机和另一台计算机(Web 服务器)通过路由器连接到互联网。在服务器上的 munin 监视器中,除了高防火墙吞吐量外,我没有发现任何有趣的东西。从屏幕截图中可以看出,即使在晚上,它仍然很高。
这会造成这种情况吗?我认为可能是某些攻击者所为,但我在 netstat 中没有发现任何人。
- Ubuntu 服务器 10.04.1
- Apache 2.2
- php5.3
最大服务器负载约为 60-75%
答案1
至少你的 munin 统计数据是新的。但在几天的监控内,可以看到过去两天的变化。
我假设你的电脑在晚上是关闭的——唯一的活动设备就是你的防火墙。
请检查防火墙是否感染了rootkit_hunter:http://www.rootkit.nl/projects/rootkit_hunter.html
我认为您的防火墙是新的,您应该检查更新。
请从互联网端检查开放了哪些端口:http://www.yougetsignal.com/tools/open-ports/
答案2
您的路由器是否能够显示已连接的 IP?其中有没有显示大量奇怪活动?
TCPdump 可能会显示连接中正在发生的事情。您可以将流量从路由器路由到虚拟机,然后从那里转发,这样您就可以嗅探到拦截的流量并查看连接中正在发生的事情。
任何机器的日志中有什么异常吗?
您的机器上的网络接口统计信息怎么样?重置统计信息并查看那里发生了什么。
如果您的机器在一段时间内与网络断开连接,您的路由器是否仍显示出高水平的活动?
您的路由器是否显示与其连接的工作站,或者如果您使用无线网络,您是否可以嗅探网络上的 MAC 地址和/或恶意 IP?
您是否在所有机器上运行了病毒/恶意软件扫描,请记住,它们只能告诉您是否被感染,而不能告诉您是否没有被感染(换句话说,它不是 100% 可靠的,因为恶意软件如果聪明的话可以隐藏自己)?
我认为最好的办法是让网络中的另一台机器嗅探网络流量并寻找异常。如果我正确读取了您的流量统计数据,您将获得大量的传入流量,而传出流量不多,因此要么有人正在下载大量内容,要么您受到了某种探测或攻击。如果您无法缩小网络范围,请联系您的 ISP,看看他们是否能从他们那边看到进入您连接的内容;他们应该能够更好地判断您是否受到了拒绝服务攻击。检查您的路由器,使用数据包嗅探器检查,使用干净的 VM 检查并使用 ARP 中毒重定向所有流量,看看您是否可以检测到活动的来源。
如果您有无线网络,请尝试关闭它以确定您的网络上是否有其他人(如果您没有路由器/AP 来告诉您连接的工作站的 MAC 地址)。
答案3
你的某台机器可能被感染了,而且你的机器攻击他人。
答案4
尝试使用 iptraf 来监控连接活动。如果有连接占用了带宽,你会看到它。
此外,如果这是由非开放端口上的连接引起的,则使用 netstat 不会看到它(仅列出开放套接字上的连接)。尝试使用 netfilter 和/或 tcpdump 进行记录。