下午快下班时发现天台之窗无法访问了,同服务器别的网站却正常。登录到服务器查看没发现异常,可访问时提示:http 错误 500.13 WEB服务器太忙。会不会有什么进程堵塞了,重启了IIS,可故障诊旧,天台之窗仍不能访问,其他同服务器的网站正常。怪了,难道有什么进程居然连IIS重启了还不能释放?于是重启服务器,还是没解决问题。在网上查对应错误的解释,提示可能是网络攻击。于是检查服务器日志,日志比平时要大一倍,日志文件太大已无法打开。查看服务器上安装的服务器医生,在重启IIS后,前几秒钟正常,过后立即堵塞,死进程不断出现,网站无法访问。好不容易打开了服务器医生,提示其中的一个网站的一个网页不停地被访问,地址一直在屏幕上滚动,后从日志中查出,确实有人在攻击服务器,且每秒钟达1600次攻击,服务器的资源被攻击者用尽,正常的访问已无法进行。为解急,先停止了那个网页,改换一个地址。
查日志得知,攻击服务器的IP地址是变化的,说明是用肉机攻击,对这种攻击,能骗过防火墙,无法防止。
这个现象不知道算是什么类型,有什么防止良策。
2009-12-1
经仔细研究LOG,这种攻击是CC攻击,1号晚上又攻击其他网页,以致网站时断时通,极不稳定。2号继续受到攻击,尤其是2号晚上6点左右,攻击达到高峰,CPU100%负载,束手无策。求助机房管理人员,建议让我把服务器搬到有防御集群功能的地址段下,于是一边请他们更换,一边重新解析域名的DNS参数,半小时后,新的解析逐步开始生效,服务器也正常了。
2009-12-3
连续三天,到下午下班时,在上海众生的服务器就会无法访问,CPU100%使用,无法知道是哪里出了毛病,SQL服务进程占大部分CPU资源。无法确定是受到CC攻击还是网站代码有毛病。为了查清原因,昨天晚上又买了一个服务器医生的授权,安装好后一看,原来是又受到CC攻击。联系机房帮助解决,他们帮我做了安全策略,但是没有作用,要么正常访问也不能进行,要么一点也不能防攻击。只好自己想办法,修改了网站代码,终于攻击堵住了。
2009-12-10