前些天,公司的服務(wù)器,突然“大病”一場(chǎng),經(jīng)檢查后,發(fā)現(xiàn)是中了最近流行的PHP-DOS攻擊,我相信大家都對(duì)php dos有所認(rèn)識(shí)。它的表現(xiàn)方式有兩種,一種是流量不斷的流入,還有一種就是流量不斷的流出。服務(wù)器發(fā)生了問(wèn)題,我們是最著急的,客戶(hù)他們只想看到結(jié)果,自己的網(wǎng)站能夠正常的運(yùn)行,客戶(hù)是不斷的的著催慘電話(huà)。聽(tīng)到客戶(hù)的話(huà)語(yǔ)之后,這心里是又著急,又恨。無(wú)耐,只好忍,誰(shuí)讓我們是做服務(wù)業(yè)的。
服務(wù)器遭到php-dos攻擊,問(wèn)題出在PHP程序漏洞被黑客利用了,因而發(fā)動(dòng)了php-dos攻擊。服務(wù)器不斷的向外發(fā)包,流量在100M(見(jiàn)圖1)。機(jī)房直接把我的服務(wù)器凍結(jié)了,因此自己重新提次解凍申請(qǐng),經(jīng)過(guò)了幾個(gè)小時(shí)之后,解凍完成。本以為就這樣解決了,可沒(méi)想到的是遠(yuǎn)程怎么也進(jìn)不了,這時(shí)發(fā)覺(jué)自己已手忙腳亂了,原本技術(shù)不高的我,就到網(wǎng)上到處找一些成功案例。資料上都說(shuō)明要把IIS關(guān)閉,再進(jìn)遠(yuǎn)程。我就又提交關(guān)閉IIS申請(qǐng),關(guān)閉后,進(jìn)遠(yuǎn)程的確是能進(jìn)了,可進(jìn)到桌在的時(shí)候,就藍(lán)屏。心想:天哪,這不是在玩我嘛。又申請(qǐng)讓機(jī)房重啟下服務(wù)器。經(jīng)過(guò)幾番的挫折之后,遠(yuǎn)程終于進(jìn)了,進(jìn)去就直接把PHP的程序漏洞補(bǔ)上。這些漏洞的代碼,當(dāng)然不是我自己研究出來(lái)的,我只是個(gè)草根管理員,一種步驟全來(lái)自網(wǎng)上,跟我同病相連的人總結(jié)出來(lái)的處理經(jīng)驗(yàn)。哎,皇天不負(fù)有心人哪,攻擊終于被搞定了。網(wǎng)站一切都正常了。
(圖1)向外發(fā)包的數(shù)據(jù)
DOS攻擊問(wèn)題解決后,本以為是不會(huì)再發(fā)生了,可事事難料,第三天,服務(wù)器又被CC攻擊,于是我又帶著CC攻擊的問(wèn)題,直接上百度搜索。搜索結(jié)果太多了。CC攻擊,它也是屬于php-Dos攻擊里的一個(gè)小部份,原本以為很簡(jiǎn)單,經(jīng)過(guò)師兄們給的流程做下來(lái)之后,觀察了下,我服務(wù)器用的是WINDOWS2003+IIS6+PHP+mysql,w3wp是IIS的進(jìn)程,進(jìn)程度是一路狂飆,占據(jù)了CPU100%,網(wǎng)站打開(kāi)的速度是極慢。結(jié)果跳出一彈窗,內(nèi)容是英文的,翻譯出來(lái)是系統(tǒng)錯(cuò)誤信息(因?yàn)楝F(xiàn)在服務(wù)器重裝過(guò)系統(tǒng),具體什么英文我也記不清了)。看這個(gè)情況,只能重裝系統(tǒng)了,重裝系統(tǒng)并不是說(shuō)裝就裝,現(xiàn)在我們服務(wù)器需要把全部盤(pán)格式化,這樣才能把服務(wù)器內(nèi)的毒全處理完。服務(wù)器內(nèi)的網(wǎng)站,數(shù)據(jù),共總有30多個(gè)G,服務(wù)器整臺(tái)租的,并不是我們公司的,處理起來(lái)也麻煩,讓服務(wù)器總部幫我們備份下,他們說(shuō)不允許,既然我們出錢(qián),他們也跟我們說(shuō)NO。這什么世道,只要苦了自己,下載吧。反正要裝系統(tǒng)了,那就裝個(gè)迅雷吧,這樣載得快,可事實(shí)不是和我想像中進(jìn)行的,迅雷怎么裝都是顯示錯(cuò)誤。也無(wú)辦法了,就開(kāi)臺(tái)機(jī)器,用FTP載吧,打打包,載載傳傳就花了我兩天一夜的時(shí)候,苦了我在公司待了兩天一夜。
直到今天才把服務(wù)器的事情搞定,早上還發(fā)生了一點(diǎn)問(wèn)題,mysql進(jìn)程,w3wp進(jìn)程不斷的上升,CPU使用又上了100%。Mysql進(jìn)程問(wèn)題,好在網(wǎng)上有詳細(xì)指點(diǎn),我按著操作,完工。w3wp由于上次操作過(guò),就不詳提了。可就在我做完,發(fā)現(xiàn)CPU使用并沒(méi)有下降,于是我把IIS重啟,可重啟那一下,CPU使用從100%降到1%。我就想應(yīng)該是某個(gè)網(wǎng)站出了問(wèn)題,于是我就把服務(wù)器內(nèi)自認(rèn)為程序會(huì)發(fā)生問(wèn)題的幾個(gè)網(wǎng)站一個(gè)一個(gè)停止運(yùn)行,結(jié)果被我蒙對(duì)了,果然我把其中一個(gè)站停下之后,CPU使用率下降了,我開(kāi)啟時(shí),又上升。這個(gè)站是PHP程序的,數(shù)據(jù)庫(kù)發(fā)生了點(diǎn)錯(cuò)誤引起。我馬上把服務(wù)程序池重啟了下后,服務(wù)器就一切正常了。
服務(wù)器正常后,我檢查網(wǎng)站是否有被K的可能,畢竟這么多天,網(wǎng)站就沒(méi)有正常過(guò)。查過(guò)后,有意思的畫(huà)面現(xiàn)在我眼前(見(jiàn)圖2),網(wǎng)站的快照竟然回檔到2003年3月21日了,太神奇了。在03年的時(shí)候,這個(gè)站還不知道在哪呢。網(wǎng)站的排名依然健在。這種情況,我想應(yīng)該是蜘蛛來(lái)的太頻繁導(dǎo)致的。不過(guò)這種情況,沒(méi)有關(guān)系,只要更新下網(wǎng)站的內(nèi)容,只要收錄,明天就準(zhǔn)能恢復(fù)。
(圖2)
以上就是我想要跟大家分享的, 在此我在告之大家,服務(wù)器在裝PHP環(huán)境時(shí),一定要注意,安全策略一定要呀。不然出了問(wèn)題,麻煩了自己,苦了也還是自己。這樣對(duì)客戶(hù)都有得交待了,不然口碑多差呀。如果公司沒(méi)有對(duì)服務(wù)器很懂的人才在,那最好找家專(zhuān)業(yè)服務(wù)服務(wù)器行業(yè)的來(lái)維護(hù),花點(diǎn)錢(qián),我們少一份當(dāng)心。這也是值得的。不然到時(shí)后悔的還是自己。由于個(gè)人表達(dá)能力有限,但我也是盡量讓各位朋友能夠讀懂我說(shuō)的每一句話(huà),以及文章的中心。最后也希望認(rèn)識(shí)更多、更資深的從業(yè)者 作者:杭州美術(shù)培訓(xùn)( http://www.art2009.cn) SEO專(zhuān)業(yè)顧問(wèn)尚萬(wàn)。轉(zhuǎn)載請(qǐng)明細(xì)出處哦。謝謝!
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示