早上一上班打开邮件就收到了外网出带宽使用率 >95%的警告。打开网站或者ssh登录服务器非常的慢。花了2个小时排查和分析问题。

外网出带宽使用率 >95%

    查了一下这个的意思说人话大概就是：服务器正在不停的向外部发送数据，你当前服务器的带宽快占满了。可能造成的原因是服务器有木马正在上传数据或者网站上有下载功能，正在正常发送数据

iftop

iftop是一个网络工具，可以查看服务器上的网卡的流量情况。

yum install iftop  //安装程序
iftop  //执行程序

执行截图如下：

明确可以看到当前112.17.96.99这个IP正在大量的发送数据。

查看IP的归属地

看看这个IP是不是国外的IP.访问 https://ip138.com/。查询结果为 中国浙江杭州。 不是国外，感觉木马的可能性降低了。

lsof命令 确定是哪一个进程

通过上图可以看到这是httpd进程，是一个正常的进程。进一步降低了木马的可能性。

使用PS命令 定位进程文件

ps -ef|grep (上一步获得的PID)

通过上面的命令，我们可以确定是httpd的问题了。

查看apache的日志，确定哪一个请求出现问题

打开网站日志，搜索上面的IP,看到如下信息：

在上面，可以看到，这是一个正常的请求，他想下载Joomla4.2.3这个文档。这是一个30M的文档。至此问题已经明确了。是因为网站的下载功能导致站点 出网带宽被占用。

解决方案

1，临时增加网站的带宽（需要钱）

2，暂停网站的下载功能，将下载资源放到CDN上面。