作者rich197088 (Jasper)
看板Python
标题[问题] 安装套件後不断送出流量(300G)到中国
时间Wed Aug 22 14:53:57 2018
大家好
如题
最近已经弄爆了好多个GCP的帐号额度
原本以为是被人攻击,後来装了iftop和vnstat监控
发现都是流量流出到大陆那边,封了一个他换一个,抓了三个IP如下:
43.240.158.165
122.246.16.22
203.107.32.245
确定都是大陆那边的,直接Google了一下发现都是高防伺服器(?)的IP
但在环境(Ubuntu 16.04 LTS)是乾净的时候都没有这种问题
所以猜测大概是装了某些套件不乾净所以虚拟机被当殭屍电脑
装的套件太多了,但主要装的就是Django、MySQL、uWSGI、Channels之类的主流套件
於是我先暂时用iptables先只允许台湾IP和微信、CloudFlare的流进流出
可是这不是长久之计,因为之後还是得上线
而且如果没有开放其他地方的IP连线,WebSocket不知道为什麽没办法连线
就会在每次 Handshaking 後直接 Disconnect
想请问一下大家有没有其他方法可以追踪根源?
或是能够检测套件安全性的工具? Safety似乎没办法找到有问题的套件
因为比较少接触Linux,所以想请教有经验的版友们
感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.36.195.43
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Python/M.1534920840.A.FB3.html
1F:推 Sunal: 应该无法 先列出你装了哪些 08/22 16:06
真的太多了,有些是GCP刚装系统就会装的
aioredis==1.1.0 asgiref==2.3.2 async-timeout==2.0.1
attrs==18.1.0 autobahn==18.7.1 Automat==0.7.0
blinker==1.3 boto==2.38.0 channels==2.1.2
channels-redis==2.2.1 chardet==2.3.0 click==6.7
cloud-init==18.2 command-not-found==0.3 configobj==5.0.6
constantly==15.1.0 cryptography==1.2.3 daphne==2.2.1
Django==2.1 django-mysql==2.4.0 django-redis==4.9.0
django-user-agents==0.3.2 dparse==0.4.1 google-compute-engine==2.8.2
hiredis==0.2.0 hyperlink==18.0.0 idna==2.7
incremental==17.5.0 Jinja2==2.8 jsonpatch==1.10
jsonpointer==1.9 language-selector==0.1 lxml==4.2.4
MarkupSafe==0.23 msgpack==0.5.6 mysqlclient==1.3.13
oauthlib==1.0.3 packaging==17.1 Pillow==5.2.0
prettytable==0.7.2 pyasn1==0.1.9 prettytable==0.7.2
pyasn1==0.1.9 pycurl==7.43.0 pygobject==3.20.0
PyHamcrest==1.9.0 PyJWT==1.3.0 pyparsing==2.2.0
pyserial==3.0.1 python-apt==1.1.0b1+ubuntu0.16.4.2 python-debian==0.1.27
python-systemd==231 pytz==2018.5 PyYAML==3.11
redis==2.10.6 requests==2.9.1 safety==1.8.4
six==1.10.0 ssh-import-id==5.5 Twisted==18.7.0
txaio==18.7.1 ua-parser==0.8.0 ufw==0.35
unattended-upgrades==0.1 urllib3==1.13.1 user-agents==1.1.0
uWSGI==2.0.17.1
※ 编辑: rich197088 (114.36.195.43), 08/22/2018 16:24:57
2F:→ dododavid006: 说来流量确定是从 python 发出来的? 08/22 16:32
3F:→ dododavid006: 因为我以前常发生的是 reverse proxy 没设定好被人 08/22 16:33
4F:→ dododavid006: 当 proxy 用 08/22 16:33
5F:→ rich197088: 用iftop没办法抓是哪个程式发的 所以也是苦手的地方 08/22 16:33
6F:→ rich197088: 但还没装python套件前都没事 一装就爆了 整个超卡 08/22 16:34
7F:→ rich197088: 去看gcp billing details才发现爆炸 08/22 16:35
8F:→ rich197088: 而且流出的速度是用好用满的 每秒400MB 隔天就收到 08/22 16:36
9F:→ rich197088: Google的警告 08/22 16:36
10F:→ djshen: 有其他可以看哪个process的工具吧 08/22 16:55
12F:→ s860134: 能下 ss 嘛? 08/22 21:38
13F:→ s860134: 有流量的时候下 ss 应该可以看到有流量的 port 08/22 21:39
14F:→ s860134: 再用 port 查 pid 去追哪个 process 发的 08/22 21:39
16F:→ s860134: 如果你怀疑套建安装不乾净,你可以尝试先打包你 local 端 08/22 21:43
18F:→ s860134: 直接安装你包出来的版本不用 pip 去载线上的 08/22 21:43
19F:→ rich197088: 好,最近没有被流出,过几天再看看,谢谢 08/24 15:01