服务器被黑。。。想找发出数据的进程

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3380 天前的主题，其中的信息可能已经有所发展或是发生改变。

服务器貌似被黑了 iftop 显示

AY131206202454765300Z => 10.141.56.177 2.62Mb 2.55Mb 2.44Mb <= 38.2Mb 36.4Mb 35.8Mb

然后 netstat 显示

tcp 0 0 AY131206202454765300Z:53798 10.84.135.99:http TIME_WAIT tcp 0 0 121.199.xx.xx:http 222.80.167.72:49484 TIME_WAIT tcp 0 0 AY131206202454765300Z:16160 10.141.56.177:mysql TIME_WAIT tcp 0 0 AY131206202454765300Z:20286 10.141.56.177:mysql TIME_WAIT tcp 0 0 121.199.xx.xx:http 139.227.220.95:mpsysrmsvr ESTABLISHED tcp 0 0 121.199.xx.xx:http 223.21.232.140:26347 TIME_WAIT tcp 0 0 121.199.xx.xx:http 175.148.61.66:62296 ESTABLISHED tcp 0 0 AY131206202454765300Z:20777 10.141.56.177:mysql TIME_WAIT tcp 0 5462 121.199.xx.xx:http 155-229-105-63.east.d:53038 FIN_WAIT1 tcp 0 0 AY131206202454765300Z:13202 10.141.56.177:mysql TIME_WAIT tcp 0 0 AY131206202454765300Z:13834 10.141.56.177:mysql TIME_WAIT tcp 0 0 AY131206202454765300Z:54130 10.84.135.99:http TIME_WAIT

有什么办法能够确认这是那个进程发出的请求吗？服务器是阿里云的，问了阿里云，所这个 ip 找不到，是个本地 ip

请问大神这个大概是什么原因？

TCP

time_wait

10.141.56.177

7 条回复 2016-07-17 11:11:07 +08:00

2016-07-17 01:28:57 +08:00

ifconfig 显示,但是这个单独一台服务器，用的阿里云的 mysql 应该和这个上面的 mysql 无关. 按照我的常识，一台独立机器的 ip 应该是 127.0.0.1 而非 10.132.44.216

```
eth0 Link encap:Ethernet HWaddr xxxxxxx
inet addr:10.132.44.216 Bcast:10.132.47.255 Mask:255.255.240.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:111369052 errors:0 dropped:0 overruns:0 frame:0
TX packets:65757349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:74522608343 (69.4 GiB) TX bytes:6549181907 (6.0 GiB)
Interrupt:148
```

2016-07-17 01:40:47 +08:00

route -n 显示
```
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
xxx.xx.x.x 0.0.0.0 255.255.252.0 U 0 0 0 eth1
x.x.x.x 0.0.0.0 255.255.240.0 U 0 0 0 eth0
xx.x.x.x 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
.x.x.x.x 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
172.16.0.0 10.132.47.247 255.240.0.0 UG 0 0 0 eth0
100.64.0.0 10.132.47.247 255.192.0.0 UG 0 0 0 eth0
10.0.0.0 10.132.47.247 255.0.0.0 UG 0 0 0 eth0
0.0.0.0 121.199.27.247 0.0.0.0 UG 0 0 0 eth1
```
这个 10.132.47.247 网关是否存在问题？

skydiver

2016-07-17 02:19:00 +08:00

man netstat

-p, --program
Show the PID and name of the program to which each socket belongs.

2016-07-17 10:02:59 +08:00

现在 nginx 日志显示
应该是 106.187.97.172 这个 ip 在转发数据包,

```
117.41.145.148 - - [17/Jul/2016:10:02:20 +0800] "GET /forum.php?&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chonzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&&wangzhanbeihei&chongzhuangwangzhan&chongzhuangfuwuqi&13798 HTTP/1.1" 200 31 "http://106.187.97.172/info.php" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
```

nginx 配置为

```
valid_referers none blocked 106.187.97.172;
if ($invalid_referer) {
return 403;
}
```
貌似没法阻止？

Syc

2016-07-17 10:22:28 +08:00 via Android

备份……重装系统……设置好安全措施……还原数据

2016-07-17 10:40:24 +08:00

@Syc 现在仅仅是被 DDOS 了，本来被挂马用安全软件删掉了现在对方不死心又 DDOS 攻击，现在查到了
最开始的流量异常是数据库异常，应该是阿里内部数据库。因为他攻击的这个 url 访问了数据库，就导致大量的数据查询，往返本机和数据服务器之间，所以就是过去的流量（查询语句少）回来的流量多（数据结果）。对方现在这个 DDOS 防过来的 referer ip 就行，但是我没有想过知识储备， google 了各种配置，貌似还是防不了

Syc

2016-07-17 11:11:07 +08:00 via Android

@LT 如果你确定对方使用了同内网机器 ddos ，可以寻求阿里封禁对方机器。至于外部的 ddos ，阿里有黑洞，你看可以上高防 IP 服务和 CDN