[gophper]阿里云服务器异常排查
早上通过手机访问博客失败,dig解析域名正常,ssh登录失败,telnet ssh端口正常,ping正常。登录阿里云管理后发现有一封欠费通知。 此时可视化管理控制端无法打开。。。
问题排查
查看阿里云流量报表,发现从11月5号开始的出口流量都是4M,直接跑满。服务器只做web网站和树莓派反向代理,没有大流量应用。 续费登陆后,top发现named 进程cpu占用比较高。DNS 是前一阵开启做测试使用,开启了递归解析。。。首先把DNS关闭。通过tcpdump 抓包发现有大量请求,请求同一个域名,查询类型为any。是DNS攻击查询。。。
抓包命令
tcpdump -i eth0 -vvnn udp port 53
抓包结果
问题处理
- 由于是测试服务器可以直接关闭,并关闭防火墙53端口。
- 如果需要使用,将DNS递归解析关闭。