有一台闲置服务器配置过WEB环境,但是一直没有使用。但是在上个月的时候收到邮件由于出现较大的流量输出消耗完毕本月的500GB流量。这个就纳闷了,什么都没有用,居然有输出流量?那肯定是服务器被植入文件对外发包导致的。当时的状况就是服务器被停机Suspend,请求客服解封看看问题也不给处理,希望我们付费升级流量。
我肯定不会付费升级了,毕竟一台闲置的机器也没有用途,我主要是希望看看到底是什么问题。于是,等到这个月重新有流量之后就登录看看问题。果然今天一天就跑了300GB,看来明天看就又暂停,虽然没有什么用途,但是好歹也看看是什么问题。
第一、看看端口占用情况
这里看到几个常用端口,都比较熟悉。有一个11211端口不常用,搜索看看到底是什么问题。原来是服务器中有安装LNMP的时候安装过Memcached,默认是11211端口。曾经Memcached有过漏洞的是可以进行对外发包,所以我们需要处理这个端口问题。
第二、解决办法
可以直接在防火墙或者安全组中屏蔽这个11211端口,应该是可以解决的。但是我们并不这么做,采用"设置Memcached只允许本地访问11211解决未授权漏洞问题"解决办法来实现本地访问。
1、暂停Memcached
service memcached stop
2、修改配置
vi /etc/init.d/memcached
看到下图箭头指示。
对应位置加上"-l localhost",保存退出。
3、再次启动Memcached
service memcached start
这个时候我们再去看看端口情况。
这里已经看到11211端口只能本地访问。
最后,这样问题应该是可以解决,等了几个小时看到流量也没有明显减少。