服务器被攻击了怎么办,记一次服务器被攻击的解决方案
服务器被攻击了怎么办,记一次服务器被攻击的解决方案
今天公司有台服务器所有网站打不开,怀疑是被人攻击了,联系机房,竟然没有发现攻击。那就奇怪了。
开启IIS,所有站点马上都不能访问,服务器ping不通。
郁闷,想起用nc看看到期有什么站点是什么站点的请求在访问。
关闭IIS,执行nc -L -n -p 80监听80端口,看看客户提交了什么数据。为了方便调用,nc -L -n -p 80>>log.txt。多执行几次,供我们分析数据。
重复监听100多次,通过分析,下边的一个数据引起了我的怀疑。
GET /ccdos.php?ip=***&port=80&time=100 HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* Accept-Language: zh-cn UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322) Host: *** Connection: Keep-Alive
将ccdos.php下载到本地,访问 localhost/ccdos.php?ip=localhost&port=80&time=100,网卡流量没有变化,但是通过局域网的另一台电脑访问我的电脑的WEB站点,不能访问,ping也ping不同。改成localhost/ccdos.php?ip=192.168.99.173&port=80&time=100,网卡流量马上到达可99%。看来就是这个站点的问题,把这个站点关掉。开始IIS,服务器又正常了。