目前我在客户那边部署一台centos7的服务器,最近那边的深信服检测出了我的服务器总是攻击别人,客户那边需要我解释一下,但是攻击的IP在我的服务里应该没有访问,我目前没有什么解决的思路,请问有人可以帮帮我嘛,可以有偿的!
检查下自己的连接数,攻击发生时抓下自己服务器的包。
1、让客户告知下你这个服务器攻击的服务器的IP地址是什么?
2、确认IP地址是否与你的系统有交互?
3、你的服务器的防火墙上禁止访问该IP地址,让客户检查攻击是否还在持续?
另外同步排查机器异常:
#netstat -an |grep -E 'TIME_WAIT|ESTABLISHED' |awk '{print $5}' |sort
#如上命令查看服务器连接信息排序,看看连接数量多的地址。
#netstat -tnpa |grep "x.x.x.x"
#过滤连接数量异常高的地址的连接信息,最后一列为进程ID
#ps -ef |grep "进程ID"查看进程是否为你自己服务进程
#ll /proc/xxxx xxxx为进程ID,查看进程执行的路径,找到任务是否为你自己创建的,不是的话就改考虑停止进程,查杀