IDC中招刷流量病毒，无法访问的解决过程

7月10号晚上开始，内部研发管理系统及面向用户的网站，API均间隔的无法访问，运维是第三方托管的，无法及时到位（妹的，还不如我自己上。。）

网络服务商是电信通，（关于电信通，以后再吐槽），发现我们出口流量异常，于是乎出于安全考虑把我们端口封了

带宽20M，电信通声称出口流量达到900M!，不太可能啊。。凌乱了。难道是入口流量，DDOS攻击？

监控宝收到一堆无法访问的告警。

由于用户要访问网站，系统要运行，联系电信通开通端口

运维磨磨唧唧不愿意来。你把钱退回来！

7月11日白天一天正常，晕倒。7月12日飞行试验需要用到我们的API，想着应该好了吧。。

7月11日晚上8点，又开始收到告警。妈的还是不行。于是乎恶补了安全知识，什么DDOS，CC，清洗流量，黑洞路由，blablabla。。。。

7月12日，用虚拟化平台的工具监控了历史流量记录，发现一台物理机流量异常，然后逐个排查虚拟机，终于发现一个虚拟机流量不正常，但是也没有900M,最大80多，电信通的不认小数点？？

查进程，查CPU占用，竟然是中了淘宝刷信用刷流量的毒tbviewer，初步估计是不停的启动新的进程，而且CPU占比很大，逐步到100%，服务器重启，重启过程中网络恢复，启动后又开始发送流量，带宽占满，断网。。。

找到进程，逐个杀之，彻底删除文件，改密码，重装杀毒软件。

7月13日，运行了24小时，没有问题，保佑不会再出问题。