出现 lsass.exe 占用CPU过高,也不算太高,而且过了一段时间又会恢复正常,CPU过高直接造成网站打开很慢,周而反复。
在CPU跑高的时候,伴随着一个现像就是网络的浮动,有时候上传居然达到了30M 90M/s,对外攻击,第一时间就想到有可能是这个原因,那具体怎么查呢?
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
常见的对外文件,这东西网上搜一下就能找到。
复制代码代码如下: $max_time){break;}$fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5);if($fp){fwrite($fp, $out);fclose($fp);}}elsewhile(1){$packets++;if(time() > $max_time){break;}$fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5);if($fp){fwrite($fp, $out);fclose($fp);}}?>
那要如何定位到是哪个站呢?你可以打开日志C:WindowsSystem32LogFilesHTTPERRhttperr...log,打开今天时间的文件,里面有类似这样的记录:
复制代码代码如下:2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1最后三项 783 Disabled 30_FreeHost_1783就是这个站在IIS中的ID30_FreeHost_1就是所在池
解决办法:
找到这个站点,接下来想要解决就好办了,如果条件允许,可以直接禁用掉fsockopen这个函数,当然这个大部份情况下是不适用的。那就去这个站点的根止录下找找吧。
复制代码代码如下:$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);可以借助一些工具,查找上面这句话,或是查找$fp = fsockopen,这样其本上攻击文件就无所遁形了,当然不要删除了正常的邮件发送文件,最后重启下服务,嗯,不卡了。
