2016.10.7日刚过完国庆节，返程之后接到短信和邮箱的预警。

一、表现症状：
1.网站打开慢，会有504的状况。
2.机房流量超过阈值
3.远程登录服务器时，很难登录，登录之后莫名掉线

二、走的弯路：
第一感觉可能流量ddos攻击，要找到流量攻击的攻击源。
查看日志，发现并没有较大的日志，那就去找可能造成的流量异常的项目，估计是图床或者被盗链（服务器已经做了防盗链）。

三、解决办法：
1.确定流量过大的服务器，让机房断开服务器的公网网线，使用局域网的服务器登录ssh。

2.因为服务器中还有好几个项目在跑，首先关闭疑似的A项目。服务器正常则确定问题出自A项目。

3.确定疑似的项目之后，再打开关闭某一个域名，期间让机房的人插拔了几次网线来确认。

4.出现问题之后查找日志：
174.139.82.226 – – [08/Oct/2016:16:09:57 +0800] “GET http://123.com/images/lurd/list.php?act=attack&att_type=udp&port=80&ip=43.249.80.203&exec_time=600&att_size=20000&pass=faxl_999 HTTP/1.0” 499 0 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”

造成整个宽带800M/s流量。

禁掉174.139.82.226IP
删除木马文件。
检查rsync同步是否正常，将项目纳入文件主从同步规则中。
实现不行关闭该项目。

四、问题原因：
由于项目采用开源的代码造成被注入。

五、思考：
谨慎使用开源代码，定期更新漏洞，查找漏洞，检查服务器异常文件。

rsync同步并没有将文件同步掉，需要检查rsync是否正常。
/images/lurd/list.php

从发现到解决项目停了将近12小时，如果是重要的项目后果将不可设想。
机房搭建kvm，搭建之后发现本地并不能使用。插上网线遭受攻击之后，对服务器失去管理权，向机房反馈以及操作也消耗一定时间。