Linux 服务器有大量出站流量 不低于 50M/s 有没有办法查到哪个进程在搞乱

不科学，用root两个看到的应该匹配。

@ultimate010 所以来这里求帮助 还有没有其它的办法看到进程 查了一下IP都是福建那边的IP

福建莆田的垃圾信息团队么？

lsof

NetHogs version 0.8.0

PID USER PROGRAM DEV SENT RECEIVED
3368 root /etc/scsi_eh_1 eth0 0.054 0.092 KB/sec
2903 root sshd: root@pts/0 eth0 0.147 0.047 KB/sec
3593 root sshd: root@pts/1 eth0 0.652 0.047 KB/sec
? root 106.186.27.187:80-49.65.129.69:62729 0.011 0.023 KB/sec
? root 106.186.27.187:10755-117.27.248.5:7000 0.205 0.000 KB/sec
? root 106.186.27.187:10754-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10753-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10752-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10751-117.27.248.5:7000 0.203 0.000 KB/sec
? root 106.186.27.187:10750-117.27.248.5:7000 0.203 0.000 KB/sec
? root 106.186.27.187:10749-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10748-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10747-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10746-117.27.248.5:7000 0.201 0.000 KB/sec
? root 106.186.27.187:10745-117.27.248.5:7000 0.201 0.000 KB/sec


这是NetHogs的输出 pid都是?不知道为什么
@molinxx
@rrfeng

看端口都是连续的 难道是在扫描端口？

我昨天被人扫端口扫了156M带宽.....IP封了一晚....

iftop或iptraf看看是tcp还是udp

感觉是arp吧

你试试tcpdump -c 100 看看

端口扫描这么吊啊，有没有简单的防范软件。@qiuai

我把福建省的ip都block了

不是有 ufw 么

@webflier 福州的中枪
不过很多开垃圾评论器的都是莆田的动态 IP

@sanddudu 而且是n个并发一起来，实在是吃不消啊～
我本来只封了莆田，但是后来发现福州，厦门也有很多ip过来，所以。。。。。

@webflier 我被吃掉了几百 G 的流量

前两天也发现一个南宁的ip扫描我22端口，iptables block后，又换了个邻近的ip，现在22端口绝不能开

@20150517 用iptables杀不干净的
1.换端口，换个自己记得住，并且10000+的端口很有效
2.禁止使用密码登录，改用证书登录，特别是root用户。或者干脆禁了root通过ssh登录，要用的时候使用别的账户su进去

iptraf

@ultimate010 杀IP.也没别的好办法...

被黑了就备份数据，重装系统。。删掉一个文件接着用？lz真是勇士