微慑信息网

网站异常连接处理分析 - vulsee.com

网站异常连接处理分析

在整理漏洞库调优的时候,无意发现网站上传下载流量较大:

之前也发现,服务器上就挂了几个测试站,不明白为啥流量上TB了

 

同时发现mysql进行异常,长期处于100%以上:

 

通过ps -ef 未发现异常,netstat -an 也未发现有什么端倪;于是想检测到底是哪个进程消耗了流量,网上搜了下,nethogs 还行

直接

apt install nethogs

通过nethogs eth0 查看对应网卡流量即可:

通过检测,服务器一直在连接IP为69.16.231.56的地址,但流量为0;
telnet目标的80端口为开放,怀疑是中招了,微步在线查询了该IP:

更加怀疑是中招了,后续进行了后门查收,rookit检测;都没有问题;

尝试关闭了mysql,则流量正常,且该IP连接结束,

判断不应该是后门程序,后门程序不应该依赖mysql才对,于是逐个对网站进行关闭,发现一个网站关闭后,网络连接也正常;

于是再次对该目录进行扫描,依然没有问题,于是一边备份一边继续查看,在登录网站后台,看到wp-autopost的插件:

想着这个站也没有采集,于是顺手关闭了,之后发现网络连接正常了;于是打包该插件,搜索了下关键字http://

也没发现异常网址,想到把IP地址反查下域名,不查不知道,一查整明白了,该IP地址就是该插件网站之前解析的IP地址

里面应该有开启插件对URL的请求,

具体没有继续,到底告一段落;以后再遇到类似问题,可以同时检查下插件…

 

 

 

 

 

 

 

 

 

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 网站异常连接处理分析 - vulsee.com

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册