据上次PHP漏洞发DDOS包事件后,今天有客户反映说网站很慢,主要特征是PHP的程序,纯静态和ASP的程序没有影响。
刚开始还以为是上次PHP的文件导致,所以搜索最近2日内更新的PHP页面,针对搜查出来的页面进行查看代码并没有异常,特排除PHP漏洞;
接着,打开任务管理器,发现W3WP程序站内存100%(如下图),才恍然大悟,因为任何ASP,PHP,.NET程序只要有死循环语句都可以导致这种现象,而这种问题当然就会出现开头说的问题。所以现在要解决问题就需要找到引起CPU 100%的网站,停止掉。
利用一些查看IIS的小工具进行查看,发现应用程序池APPOOL1025002的CPU利用率为100%,所以有问题的网站肯定在这个里面,然后对该进程池中的站点进行拆分查看,一下就暴露出来了,如图:
于是,关闭掉happy520life这个网站,问题顺利解决。