本文共 683 字，大约阅读时间需要 2 分钟。

1.先使用 iftop 软件分析出问题所在，找出到底是哪些ip在疯狂的访问

1.1.如果发现本机向某些 ip 疯狂的发送数据，那么先把当前的 ip 给封掉

iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP

1.2.如果把这些ip封了之后依然无法解决问题得话，就需要分析一下当前系统是不是存在异常进程，如果找到异常进程就直接把它kill掉

2.查看当前的系统用户，看有没有异常的用户出现

iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP

1.流量分析（查找异常流量）

1.1.使用 iftop 软件分析哪些流量是异常的 1.2.发现有异常流量直接关闭掉 iptables -A OUTPUT -s 10.0.15.171 -d 162.218.53.0/24 -j DROP 意思就是 把来自 10.0.15.171 的包，和发送到 162.218.53.0/24 包都丢弃。

2.进程分析（查找异常进程）

2.1. ps 找出进程中是不是有飞正常的进程，比如稀奇古怪的进程名称 2.2.找出那种进程文件在飞正常位置的进程，比如 kk 进程位置显示kk文件存放在 tomcat/bin/目录下，这个文件正常是没有的，所以它很可能是有问题的文件

3.用户分析（查找异常用户）

查看当前的系统用户有没有异常的用户存在，如果有吧他用户名修改掉

4.命令分析（history命令分析）

通过 hsitory 查看有没有异常命令被执行

转载地址：https://blog.csdn.net/tengdazhang770960436/article/details/53104678 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！