服务器带宽跑满了怎么办

造成服务器带宽跑满的原因有很多，大致可以归结为以下几类：

病毒

Windows 系统服务器中病毒或站点挂马，导致服务器内部有对外发包的文件。

建议在服务器上安装杀毒软件，进行杀毒。可以通过任务管理器中查看是否异常进程。当前阿里云暂时没有提供杀毒软件，您可以登陆服务器根据自己的日常使用的杀毒软件进行安装即可。

网络攻击

服务器或站点遭受 DDOS 攻击或 CC 攻击等，短期内产生大量的访问需求。

可以登陆阿里云管理控制台，查看云盾中的防护 DDOS 攻击是否调整好阈值，并核实是否开启CC防护。

目前CC防护有自己默认的阈值，由于安全问题此阈值暂时不对外公开。如果攻击没有触发到阈值，云盾没有清洗，可以提交工单到售后请手工协助开起清洗，后期该调整阈值的功能会对外放。

存在耗资源进程

服务器内部有耗资源进程。

Windows Server 2003 系统无法直接查看到，但可以借助第三方软件查看;

Windows Server 2008 系统可以启动 任务管理器>性能>资源监控器>网络>查看 发送(字节/秒) 占用较多的进程。如果不是常用进程，说明可能是病毒或异常文件;如果是常用进程，说明该进程当前有异常，需要针对该进程对应的服务进行一下分析。

根据以往经验，曾发现过因搜狗拼音的更新，以及疑似上传本地词库导致的出网带宽跑高。

爬虫

正常网站所消耗的带宽较多，此类情况建议通过访问的日志来分析，如果日志中过多的 baiduspider 或 googlebot 。说明网页被爬虫抓取，大量来自搜索引擎的链接也容易跑高带宽，例如:

windows-cmd 下找到 iis的日志，可以使用命令 type log | find “baidu “ 等。

Linux 的 Apache 和 nginx 可以检查 cat accesslog | grep baidu 等。

同时检查站点是否存有 MP3，flv，swf 等大文件被频繁访问下载，如果此类文件较多，建议减少这些文件，可搭配使用 OSS、CDN 服务。

网站规模大

网站规模较大(比如门户网站、商城等)，即网站本身访问量需求大，查看网站的 Page View 值、Hits 值、日流量都很高，建议升级带宽 。

造成流量大的原因主要有：

网站页面设计不合理；

页面中包含大或音频、视频文件等文件，导致网站页面太大；

网站提供mp3,rar,zipexe等文件的下载，或网站提供视频、音频文件的播放；

如果网站规模较大，网站的点击率很高，建议减少音频、视频文件。如果还不能满足要求，可以升级带宽。

平时运营商所提供给我们的宽带产品(如1M、2M、3M、5M等），其单位的完整名称叫“Mbps”。即2M就是2Mbps，即运营商产品带宽是以Bps为基本单位
而我们电脑里的文件(、MP3等等所有的东西）大小，都是以Byte为基本单位。
Mbps与MByte的换算：
1MByte=8Mbps
这就是我们的宽带为什么总是达不到产品的理论值的最基本原因。

模拟系统出现这个问题的应该是环通出现了问题，检查你的DVR硬盘录像机的环通。数字系统主要应该是延时这种无法避免，属于平台问题，解码器不会有这种问题，你要检查一下码流，数据优先级，还有交换机，如果系统比较大，这些也会导致这种问题。尤其大系统的刀片式服务器很容易因为交换机互相间通信处理延迟导致数据等待，所以这也是数字摄像机让人头疼的地方，如果你这个问题很严重建议寻求厂家尤其是后端厂家技术支持

如果是联通宽带用户，可登陆网上营业厅>一、服务器出去的带宽会跑高这个是中毒的一个特征。
因为服务器中毒之后被别人拿去利用，常见的就是拿去当肉鸡攻击别人。另外的就是拿你的数据之类的。所以服务器带宽方面需要注意下，如果服务器出去的带宽跑很高，那肯定有些异常，需要及时检查一下
2
二、系统里会产生多余的不明的用户
中毒或者被入侵之后会导致系统里产生一些不明用户或者登陆日志，所以这方面的检查也是可以看出一些异常的。
3
三、开机是否启动一些不明服务和crond任务里是否有一些来历不明的任务？
因为中毒会随系统的启动而启动的，所以一般会开机启动，检查一下启动的服务或者文件是否有异常，一般会在/etc/rclocal 和 crondtab -l 显示出来。所以要注意检查一下，以上三点都是比较常见的特征，还会有些不明显的特征需要留意下。
END
实例讲解中毒的Linux系统解决过程
1
在工作中碰到一次客户反馈系统经常卡，而且有时候远程连接不上。于是我就跟进这位客户，从本地以及远程检查一下他的系统，他也发现有不明的系统进程。我脑子里初步判断就是可能中毒了。
2
首先，我在监控里检查一下这服务器的带宽，发现服务器出去的带宽跑很高，所以才会导致他远程不上的，这是一个原因。为什么服务器出去的带宽这么高且超出了开通的带宽值？这个原因只能进入服务器系统里检查了。
3
其次，我向客户询问了系统的账号密码，远程进入系统里检查了下，也看到了客户所说的不明进程。 ps -aux 命令可以查看到 ，客户反馈不是他的游戏进程，然后我使用命令进行关闭。
4
再接着，我检查一下开机启动项 chkconfig --list | grep 3:on
服务器启动级别是3的，我检查一下了开机启动项，没有特别明显的服务。然后检查了一下开机启动的一个文件，more /etc/rclocal
看到这个文件里被添加了很多项，询问客户，并非是他添加的，所以我也注释了它。如下图
5
在远程的时候，我觉得还是有些卡，检查了一下系统的计划任务crond，使用crondtab -l 命令进行查看，看到很多注释行，再认真查看，也有添加的计划任务与/etc/rclocal的内容差不多。如下图，不是显示全部
与客户沟通，也不是客户添加的，客户说他也不会这些。所以后来我备份了一个这个内容，就删除了，然后停止crond任务，并chkconfig crond off 禁用它开机启动。
6
最后为了彻底清除危害，我检查了一下系统的登陆日志，看到除了root用户还有其它的用户登陆过。检查了一下/etc/passwd ，看到有不明的用户，询问客户并非他添加，然后使用
usermod -L XXX 禁用这些用户。 然后更新了下系统的复杂密码，然后通知客户。附一些相关
END
如何保障linux系统的安全
一、从以上碰到的实例来分析，密码太简单是一个错
用户名默认，密码太简单是最容易被入侵的对象，所以切忌不要使用太过于简单的密码，先前碰到的那位客户就是使用了太简单的且规则的密码 1q2w3e4r5t， 这种密码在扫描的软件里是通用的，所以很容易被别人扫描出来的。
2
二、不要使用默认的远程端口，避免被扫描到
扫描的人都是根据端口扫描，然后再进行密码扫描，默认的端口往往就是扫描器的对象，他们扫描一个大的IP 段，哪些开放22端口的认为是ssh服务的linux系统，所以才会猜这机器的密码。更改远程端口也是安全的一个措施
3
三、使用一些安全策略进行保护系统开放的端口
可以使用到iptables或者简单的文件安全配置 /etc/hostsdeny 、/etc/hostsallow等文件进行配置。经常维护也是必须的

---