今天下午3点多的时候，突然间收到了机房发来的通知，服务器遭受DDoS攻击，下午2点50分左右开始，持续时间大约15分钟，峰值为933.97Mbps，为了保护主要线路，已经断开外部网络接口。

今天又在外头，然后赶快回来，看看日志到底是怎么回事。

cat /var/log/messages

从日志看到，遭受DDoS的时候，pptpd正在被使用，并且流量十分巨大。

cat /var/log/syslog

发现了Client的踪迹，IP：218.XXX.XXX.XXX，更加确定问题是出在这里了。然后使用last列出之前的登陆日志，看看是哪个账号再搞鬼。

找到账号，果断删除，然后开启网络。

分析结果:滥用资源。直接禁。