伺服器怎麼查看外發包

1. 如何排查linux伺服器上的惡意發包行為

Linux下使用iftop工具結合iptables服務來解決帶寬資源被惡意請求滿的問題，主要通過2個步驟來實現；1. 使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元兇
2. 找出耗帶寬的IP地址或者段，分析是out方向還是in方向，使用iptables規則來進行控制

具體的詳細操作方法如下；
一但出現帶寬被惡意請求，在帶寬被請滿的情況下基本上很難通過網路登入到伺服器上進行操作跟維護，這時我們需要通過阿里雲提供的「連接管理終端」服務來登入系統
一般建議在主機正常的時候直接在伺服器內部安裝好iftop工具，這樣出現惡意請求的時候直接可以使用該工具來進行排查，下面介紹下iftop的2中安裝方法
1.使用yum 安裝iftop工具
使用yum安裝的話比較簡單，只要直接執行 yum install iftop –y命令即可，如果沒問題的話系統就會自動執行安裝，但是有使用yum可能安裝不了，這時就需要使用編譯安裝了
2.編譯安裝iftop工具

2. 如何排查Linux伺服器上的惡意發包行為

以下幾種方法檢測linux伺服器是否被攻擊：1、檢查系統密碼文件首先從明顯的入手，查看一下passwd文件，ls–l/etc/passwd查看文件修改的日期。2、查看一下進程，看看有沒有奇怪的進程重點查看進程：ps–aef|grepinetdinetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果看到輸出了一個類似inetd–s/tmp/.xxx之類的進程，著重看inetd–s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中也僅僅是inetd–s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了系統，並且以root許可權起了一個簡單的後門。3、檢查系統守護進程檢查/etc/inetd.conf文件，輸入：cat/etc/inetd.conf|grep–v「^#」，輸出的信息就是這台機器所開啟的遠程服務。一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。4、檢查網路連接和監聽埠輸入netstat-an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。輸入netstat–rn，查看本機的路由、網關設置是否正確。輸入ifconfig–a，查看網卡設置。5、檢查系統日誌命令last|more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。在linux下輸入ls–al/var/log檢查wtmputmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。6、檢查系統中的core文件通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說並不能100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find/-namecore–execls–l{}\;依據core所在的目錄、查詢core文件來判斷是否有入侵行為。7、檢查系統文件完整性檢查文件的完整性有多種方法，通常通過輸入ls–l文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm–V`rpm–qf文件名`來查詢，查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以manrpm來獲得的格式。

3. 伺服器對外發包 如何查看哪個網站對外發包怎麼解決

採用排除法

1. 一次停止伺服器上一半的網站

2. 可以按字母順序排列好

3. 如果沒有影響還繼續發包，那就接著停止剩下的一半

4. 以此類推，很快就能排查到問題網站。

4. 如何知道伺服器是否向外發包

一般伺服器所在的機房都會有網維對伺服器狀態進行監控的，正規的機房都會配網維技術監控大網，發包技術會第一時間通知到伺服器使用者，不需要自己監控的。平常做好殺毒、補好伺服器的漏洞、不用的伺服器埠盡量關掉，保持伺服器在良好的運行狀態就行。

5. 伺服器大量往外發包，怎麼辦

暫停web服務先，然後再開啟相應的檢測工具跟蹤下

或者整站下載到本地使用webshell工具進行掃描下，去除下發包的文件

6. 如何對一台linux伺服器進行發包監控啊

監控的話可以用wireshark, tcpmp
監管的話可以用iptables