내 인스턴스가 일부 웹 사이트로 많은 양의 데이터를 전송한다는 경고를 AWS로부터 받았습니다. 한 달에 10TB 이상.
이 ec2에 워드 프레스와 아파치가 설치되어 있습니다.
나는 이 대답 iftop에서 달렸다 .
나는이 결과를 얻는다
ip-xx-xxx-x-xx.xx-xxx-x.compute.xxxxx => xxx.xx.xx.x 4.33kb 48.2kb 59.6kb <= 141kb 3.45Mb 4.18Mb
ip-xx-xxx-x-xx.xx-xxx-x.compute.xxxxx => yyy.yyy.yy.yyy 20.7kb 23.9kb 9.22kb
nethogs를 실행하면 얻을
? root my-ec2-ipaddress:randomportnumber-externalipaddress:80 0.021 0.182 KB/sec
? root my-ec2-ipaddress:randomportnumber-externalipaddress:80 0.021 0.12 KB/sec
? root my-ec2-ipaddress:randomportnumber-externalipaddress:80 0.021 0.185 KB/sec
? root my-ec2-ipaddress:randomportnumber-externalipaddress:80 0.021 0.152 KB/sec
문제가되는 프로그램은 어떻게 찾습니까?
/ usr / bin / host는 모든 데이터를 전송합니다
—
Siddharth
어떤 사용자가 해당 프로세스를 실행하고 있습니까? :이 같은 공격의 경우 수 있습니다처럼 보이는 nixtree.com/blog/...
—
Comadrin 매덕
netstat -tupn해당 포트를 사용하는 프로그램의 이름 / pid를 얻으려면을 사용하십시오 . 그런 다음ps faux해당 프로세스가 다른 프로세스에 의해 생성되었는지 확인하는 데 사용될 수 있습니다.