用iftop可以看到是几个IP的7000跟7023端口在跑，但是netstat看不到这几个端口 很是奇怪 是不是被黑了
不科学，用root两个看到的应该匹配。

所以来这里求帮助 还有没有其它的办法看到进程 查了一下IP都是福建那边的IP

福建莆田的垃圾信息团队么？

lsof

NetHogs version 0.8.0
PID USER PROGRAM DEV SENT RECEIVED
3368 root /etc/scsi_eh_1 eth0 0.054 0.092 KB/sec
2903 root sshd: [emailð0 0.147 0.047 KB/sec
3593 root sshd: [emailð0 0.652 0.047 KB/sec
? root 106.186.27.187:80-49.65.129.69:62729 0.011 0.023 KB/sec
? root 106.186.27.187:10755-117.27.248.5:7000 0.205 0.000 KB/sec
? root 106.186.27.187:10754-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10753-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10752-117.27.248.5:7000 0.204 0.000 KB/sec
? root 106.186.27.187:10751-117.27.248.5:7000 0.203 0.000 KB/sec
? root 106.186.27.187:10750-117.27.248.5:7000 0.203 0.000 KB/sec
? root 106.186.27.187:10749-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10748-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10747-117.27.248.5:7000 0.202 0.000 KB/sec
? root 106.186.27.187:10746-117.27.248.5:7000 0.201 0.000 KB/sec
? root 106.186.27.187:10745-117.27.248.5:7000 0.201 0.000 KB/sec

这是NetHogs的输出 pid都是?不知道为什么

@rrfeng

看端口都是连续的 难道是在扫描端口？

我昨天被人扫端口扫了156M带宽.....IP封了一晚....

iftop或iptraf看看是tcp还是udp

感觉是arp吧
你试试tcpdump -c 100 看看

端口扫描这么吊啊，有没有简单的防范软件。@qiuai

我把福建省的ip都block了

不是有 ufw 么

福州的中枪
不过很多开垃圾评论器的都是莆田的动态 IP

而且是n个并发一起来，实在是吃不消啊～
我本来只封了莆田，但是后来发现福州，厦门也有很多ip过来，所以。。。。。

我被吃掉了几百 G 的流量

前两天也发现一个南宁的ip扫描我22端口，iptables block后，又换了个邻近的ip，现在22端口绝不能开

用iptables杀不干净的
1.换端口，换个自己记得住，并且10000+的端口很有效
2.禁止使用密码登录，改用证书登录，特别是root用户。或者干脆禁了root通过ssh登录，要用的时候使用别的账户su进去

iptraf

杀IP.也没别的好办法...

被黑了就备份数据，重装系统。。删掉一个文件接着用？lz真是勇士

LZ真是懒人才对

一直有那边的IP在这边机器发帖