昨天中午,公司的网站突然无法打开,所有人都在叫:怎么回事?不能访问公司网站了。客户无法购买产品了。作为IT运维人员,立马上线查找原因。
打开网络监控平台,发现防火墙的外网口已经被堵死了。从外网的访问已经无法打开公司在线购物的网站了。这是赶紧压力山大。怎么办?如何找出问题原因?我和几个兄弟一起找。时间一点点过去,慢慢抽丝剥茧。
首先发现流量都是发送的,接受的流量很少。所以公司内部员工上网不受影响。既然是内部发送,那是DMZ区的服务器还是内部局域网的服务器发送的呢?此时发现防火墙外网口流量一直保持在90Mb,内网口保持在50Mb。看样子应该是内部服务器的问题。
既然确定的方向,就顺藤摸瓜。查看每个交换机端口流量。时间一秒一秒的流逝,内心的焦急一点点增加。根据交换机端口流量,查找到一台服务器流量很大。登陆这台服务器,查看所有的服务,没有发现可疑服务器或进程。怎么办?抓包吧,看看向哪里发送数据。这是发现一个流量不正常,向一个IP发送大量的数据包。由于急着解决问题, 在我还没有准备的情况下,同事直接重启服务器了。这时发现网络速度一下子下来了。恢复平静了。一个紧绷的心放松了下来。但这个服务器有很重要的作用,不能关机。重新启动服务器后,还好,流量没有重新爆发。
问题是解决了。但是什么原因导致的呢?
查了半天,没有什么结果,都是猜测。这时我范了一个错误,没有找到问题原因的情况,就回家了。作为运维人员,在没有找到问题原因之前就回家了,正是不负责任的做法。希望同行的兄弟姐妹不要学我。否则会被老板骂死。
还好,今天早上上班,继续处理这个问题,在很多人的讨论中,灵光一闪,根据昨天解决问题时抓包获取的信息,找到了一直向往发包的目的IP地址。这个地址是谁呢?登陆www.whois.com,输入IP地址进行反向查询,得到如下信息。
根据公司名称,在百度中查询到这个公司:
第一感觉就是坏了,被植入肉鸡程序了。赶紧安排小伙子差服务器。1个小时,功夫不负有心人,找到了肉鸡程序:
Liutao.war就是它。奶奶的!害的我被老板骂。还有一个进程是noteJW.
后来分析原因,为什么他能***植入肉鸡?原因是我们把一台短信服务器发布到外网了,本来是内部使用的,由于特殊原因,临时发布到外网,但网络关闭了。这台服务器的web采用tom-cat,大家要心了,Linux的Tom-cat也不安全啊。对于我们这些普通的IT人来说,正是极好的教训。***无处不在。
转载于:https://blog.51cto.com/swenzhao/1401061