Fw: [問題] 安裝套件後不斷送出流量(300G)到中國

看板Linux作者 (Jasper)時間5年前 (2018/08/22 15:11), 編輯推噓1(1012)
留言13則, 5人參與, 5年前最新討論串1/1
※ [本文轉錄自 Python 看板 #1RVGY8-p ] 作者: rich197088 (Jasper) 看板: Python 標題: [問題] 安裝套件後不斷送出流量(300G)到中國 時間: Wed Aug 22 14:53:57 2018 大家好 如題 最近已經弄爆了好多個GCP的帳號額度 原本以為是被人攻擊,後來裝了iftop和vnstat監控 發現都是流量流出到大陸那邊,封了一個他換一個,抓了三個IP如下: 43.240.158.165 122.246.16.22 203.107.32.245 確定都是大陸那邊的,直接Google了一下發現都是高防伺服器(?)的IP 但在環境(Ubuntu 16.04 LTS)是乾淨的時候都沒有這種問題 所以猜測大概是裝了某些套件不乾淨所以虛擬機被當殭屍電腦 裝的套件太多了,但主要裝的就是Django、MySQL、uWSGI、Channels之類的主流套件 於是我先暫時用iptables先只允許台灣IP和微信、CloudFlare的流進流出 可是這不是長久之計,因為之後還是得上線 而且如果沒有開放其他地方的IP連線,WebSocket不知道為什麼沒辦法連線 就會在每次 Handshaking 後直接 Disconnect 想請問一下大家有沒有其他方法可以追蹤根源? 或是能夠檢測套件安全性的工具? Safety似乎沒辦法找到有問題的套件 因為比較少接觸Linux,所以想請教有經驗的版友們 感謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.36.195.43 ※ 文章網址: https://www.ptt.cc/bbs/Python/M.1534920840.A.FB3.html ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: rich197088 (114.36.195.43), 08/22/2018 15:11:40
08/22 16:31, 5年前 , 1F
netstat -bt 取得 tcp連線發起者
08/22 16:31, 1F
08/22 17:08, 5年前 , 2F
查了一下發現沒有 -bt這個指令
08/22 17:08, 2F
08/22 17:12, 5年前 , 3F
用了netstat -t -u 都沒有發現奇怪的連線
08/22 17:12, 3F
08/22 18:13, 5年前 , 4F
netstat -anp | grep "可疑IP" 看啥在連大陸
08/22 18:13, 4F
08/22 18:13, 5年前 , 5F
你除了裝套件 還有啥動作?
08/22 18:13, 5F
08/22 18:15, 5年前 , 6F
google rkhunter
08/22 18:15, 6F
08/22 19:12, 5年前 , 7F
我碰到的是中國一直scan/try,光是404/ssh login fail就能累
08/22 19:12, 7F
08/22 19:12, 5年前 , 8F
積蠻驚人的流量
08/22 19:12, 8F
08/22 19:14, 5年前 , 9F
我是直接幹掉所有中國的網段(ipset,drop)反正使用者不在那邊
08/22 19:14, 9F
08/22 19:28, 5年前 , 10F
ipset,drop中國+1
08/22 19:28, 10F
08/23 10:35, 5年前 , 11F
是說你知道有哪個IP有問題時,用tcpdump抓那個IP一陣子
08/23 10:35, 11F
08/23 10:36, 5年前 , 12F
就可以知道對方在幹嘛了
08/23 10:36, 12F
08/24 15:00, 5年前 , 13F
瞭解,謝謝版友們的幫忙
08/24 15:00, 13F
更多 rich197088 的文章
文章代碼(AID): #1RVGojXF (Linux)