网站异常连接处理分析

在整理漏洞库调优的时候,无意发现网站上传下载流量较大：

之前也发现，服务器上就挂了几个测试站，不明白为啥流量上TB了

同时发现mysql进行异常，长期处于100%以上：

通过ps -ef 未发现异常，netstat -an 也未发现有什么端倪；于是想检测到底是哪个进程消耗了流量，网上搜了下，nethogs 还行

直接

apt install nethogs

通过nethogs eth0 查看对应网卡流量即可：

通过检测，服务器一直在连接IP为69.16.231.56的地址，但流量为0；
telnet目标的80端口为开放，怀疑是中招了，微步在线查询了该IP：

更加怀疑是中招了，后续进行了后门查收，rookit检测；都没有问题；

尝试关闭了mysql，则流量正常，且该IP连接结束，

判断不应该是后门程序，后门程序不应该依赖mysql才对，于是逐个对网站进行关闭，发现一个网站关闭后，网络连接也正常；

于是再次对该目录进行扫描，依然没有问题，于是一边备份一边继续查看，在登录网站后台，看到wp-autopost的插件：

想着这个站也没有采集，于是顺手关闭了，之后发现网络连接正常了；于是打包该插件，搜索了下关键字http://

也没发现异常网址，想到把IP地址反查下域名，不查不知道，一查整明白了，该IP地址就是该插件网站之前解析的IP地址

里面应该有开启插件对URL的请求，

具体没有继续，到底告一段落；以后再遇到类似问题，可以同时检查下插件…