发表于 2024年7月19日1年前 小公司没有运维,我是后端所以兼顾的服务器的事,现在问题有点超纲了,想咨询一下大佬们。早上服务器响应突然变的特表卡,通过监控面板发现流出流量,cup 等开始突然急增。紧接着收到一条腾讯的站内信,内容是:“云服务存在对外攻击行为的违规通知,存在对其他服务器端口( TCP:37215 )的攻击行为”。1 通过 top 命令发现有非常多重复的进程:20 0 228 64 0 S 1.0 0.0 1:43.45 /var/Sofia 20 0 228 64 0 S 1.0 0.0 1:08.61 /var/Sofia。。。2 通过 ps 命令后发现有几百个/var/Sofia 4498 0.6 0.0 228 64 ? S 10:33 0:47 /var/Sofia。。。3 检查一些启动脚本,文件目录没有发现可疑问题。/var/Sofia 不是一个目录。想用查看父进程的方式,但是发现一个套一个查不完。4 使用 strace 跟踪进程发现,确实是在不停的调用方法对外请求。但没有其他发现。最终没能发现是哪里启动的的/var/Sofia 。先使用 pkill -f /var/Sofia ,杀掉了全部的/var/Sofia 。发现他们的父进程一致了6354 1016 0 06:19 ? 00:02:46 [/var/Sofia] <defunct>再对 1016 进行查询,发现是 nacos 服务ps -f -p 1016/usr/lib/jvm/java-1.8.0-openjdk/bin/java -Xms1g -Xmx1g -Xmn512m -Dnacos.standalone=true -Dnacos.server.=======================================================以上结论不知道对不对,现在只能猜测到这一步。解决方法也只是杀掉了进程后,释放资源,目前服务器正常。但没有找到根本原因和根本的解决方案。希望站里的老哥指点一下。
早上服务器响应突然变的特表卡,通过监控面板发现流出流量,cup 等开始突然急增。紧接着收到一条腾讯的站内信,内容是:“云服务存在对外攻击行为的违规通知,存在对其他服务器端口( TCP:37215 )的攻击行为”。
1 通过 top 命令发现有非常多重复的进程:
20 0 228 64 0 S 1.0 0.0 1:43.45 /var/Sofia 20 0 228 64 0 S 1.0 0.0 1:08.61 /var/Sofia
。。。
2 通过 ps 命令后发现有几百个/var/Sofia
4498 0.6 0.0 228 64 ? S 10:33 0:47 /var/Sofia
。。。
3 检查一些启动脚本,文件目录没有发现可疑问题。/var/Sofia 不是一个目录。
想用查看父进程的方式,但是发现一个套一个查不完。
4 使用 strace 跟踪进程发现,确实是在不停的调用方法对外请求。但没有其他发现。
最终没能发现是哪里启动的的/var/Sofia 。
先使用 pkill -f /var/Sofia ,杀掉了全部的/var/Sofia 。发现他们的父进程一致了
6354 1016 0 06:19 ? 00:02:46 [/var/Sofia] <defunct>
再对 1016 进行查询,发现是 nacos 服务
ps -f -p 1016
/usr/lib/jvm/java-1.8.0-openjdk/bin/java -Xms1g -Xmx1g -Xmn512m -Dnacos.standalone=true -Dnacos.server.
=======================================================
以上结论不知道对不对,现在只能猜测到这一步。
解决方法也只是杀掉了进程后,释放资源,目前服务器正常。但没有找到根本原因和根本的解决方案。
希望站里的老哥指点一下。