最近用dede做了1年多的站惨遭黑客蹂躏!基本就打不开!占用我的vps100%的cpu资源!经过景安的专家指导,终于解决了!
问题描述:
我的vps 任务管理器中发现system idle process.exe 、lsass.exe 活动异常频繁,几乎占据整个CPU!造成VPS缓慢. 修远程连接端口,可问题依旧!
景安
| 周**
| 2012-05-30 16:20:56
| 无
| [url=]弹出复制[/url]
| 您好,很高兴为您服务,经过对您的vps服务器进行排除发现,您的一个站点使用的织梦程序导致了vps资源消耗太多,请您对您的网站程序进行排查,如果您对我们的工作存在质疑请向我们反馈,同时非常希望您能够对我们的服务做出评价。为了提高我们的服务质量,如果您有任何意见或建议请发送至 [email protected]
|
原来是织梦DEDE被黑发包的问题!最后开始DEDE排查程序文件!
在网上找到这样一篇的文章,刚好不用排查程序文件那么繁琐!
本人经过多台机器的实际检查 总结一个查找发包木马的简单办法:
一、到WIINDOWS目录下,IIS日志目录,检查今日的IIS日志。
在日志中查找: port= 就可以查到是那个进程 比去一一检查流量站点要方便的多。
比如下面这个日志:
- 2011-07-25 11:58:52 117.41.174.148 2616 203.171.235.138 80 HTTP/1.1GET/liss.php?ip=60.190.217.23&port=80&time=3600- 202 Connection_Abandoned_By_AppPool apppool010019
就是010019 这个进程下的 liss.php 文件利用80端口进行发包引起大流量
二、最后在dedecms网站include目录发现大量近期修改的文件!一一比对清楚即可!
扩展阅读:
PHP发包攻击 消耗大量带宽的解决方法
故障现象:
服务器上开通php程序支持,发现带宽异常冲高,在百M共享带宽的环境下甚至峰值可以跑到90M以上,
需要先检测是否资源文件被盗链引发,是否被网络攻击,排除以上两种原因后大多是php代码利用php权限限制不严格发包攻击导致。
解决方法:
1、在php配置文件中,对一些危险的功能函数进行屏蔽,如以下函数用逗号隔开
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,popen,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,com,readfile
以上危险函数的禁用应该结合服务器上安装的php程序的需求而定,如果限制太严格会导致部分程序功能失效。
2、考虑限制使用 sockets.dll
3、关闭 allow_url_fopen 禁止此功能会导致“淘宝TOPAPI组件”无效
4、关闭 register_globals
综上,php、asp、.net程序都可以利用服务器的权限限制不严格来引发网络攻击、消耗大量带宽资源,如果不及时发现和处理就会令服务器网络不稳定,甚至被IDC拔线处分,知道了PHP发包攻击消耗大量带宽的原因,就要逐个排除,选择最适合你的防护方式。
|
发表于 2012-5-30 17:58:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
支持
反对
发表于 2012-5-30 18:00:04
