阿里云服务器流量异常

日期:2018-4-25 11:41 | 标签: | 阅读:177

最近几天突然发现流量徒增,基本上是一块钱一天的节奏,我想着以前一年也用不了几块钱啊,于是去流量控制台看了看,结果显示基本上是平均每个小时耗掉我 3 分钱,还蛮有节奏,后来打开服务器,使用命令

dstat -nf

分析了下,结果显示 eth1 每秒输出 10+kB 左右,算了下 ,一个小时得耗上 30+ MB,而阿里云的流量差不多是按照 1元/G 计费,算下来还真是这个价格,那个这个流量是怎么出来的呢,使用这个命令可以查看对应进程的带宽占用情况

nethogs

发现阿里云的某个进程 usr/local/cloudMonitor/java/jra 表现不正常,后来一查是阿里云的某个插件,直接卸载了,

rd/s/q C:\"Program Files (x86)"\Alibaba\cloudmonitor

官方文档: 云监控插件安装指南
然而杀掉之后,网络带宽占用还在继续,这时候有点慌了,nethogs 的确也没有检测出什么异常的进程啊。

netstat

由于没有什么结果,只能换换其它命令试试了,听说 netstat 也可以查看端口和 ip 连接建立状态,可以和 iptraf 结合使用,iptraf 可以查看流量发送最大的端口,而 netstat 可以找到端口对应的进程,示例如下

iptraf-ng   
netstat -tunp | grep 22

注意: 使用 yum install iptraf 安装之后,并不能直接使用 iptraf命令,而需要使用这个 iptraf-ng, 在配置中开启 service-name 显示后发现,sunrpc 进程在诡秘的与某个美国 ip 通讯,而且有多个 ip 并发访问,于是乎,直接查找 sunrpc 进程

[yipeng@iZ284y5ls40Z sbin]# ps -ef|grep rpc|grep -v grep
rpc      32349     1  0  2017 ?        00:40:58 /sbin/rpcbind -w

然后找机会杀死他

kill -9 32349

然后神奇的复活了,看来是有守护进程,网上说这个 rpc 进程常用来进行蠕虫攻击啥的,还有就是这个进程或许有用,于是乎,还是想着屏蔽掉恶意 ip 算哒,直接在阿里云安全组中配置规则,拒绝掉相关 ip 的访问,好吧,至此,暂时清静了!

iftop

也试了下以下这个命令,可以看出 2s 内对应的端口与 ip 的流量 io 情况,

 iftop -P  -o 2s

监控脚本

参考 https://www.cnblogs.com/yangjig/p/6085417.html
这个脚本统计的应该足够详尽了!

命令参考

https://www.zhihu.com/question/19862245

版权声明: 署名-非商业性使用-禁止演绎 4.0 国际(CC BY-NC-ND 4.0
Copyright ©2013-2017 | 粤ICP备14081691号 | yipeng手工打造 | 联系方式