公司有个VPS,放了个DedeCMS(V5.7SP1)的企业站,DiscuzX,没什么访问量。几次出现响应慢的现象,网站打不开,管家婆也不响应。ping测试,丢包挺多,不丢包的响应还是挺快的。简单说啊!
先用的IIS6,相关的两个进程w3wp.exe,lsass.exe占资源一半多,不了解IIS,换成Apache,还是这样。响应慢呀,远程桌面也进不去。联系IDC给重启,给暂时关掉Apache,确定是Apache。以为是写的PHP有bug,死循环了什么的,这可怎么查找呀,我写的代码也不多,就有大问题?
随便的自然的使几个解数,看看访问日志,看到个/include/Explrer.php,这是什么东西,单词还拼错了,往下看不少这样的,看看!代码开始就是assert($_POST['Z']),这,这是被黑了呀。第一回被黑,还不大相信,还是淡定的,服务器上也没重要数据。
打包留个纪念。有个PHP,访问,密码是1,登录后可以干很多事,批量挂马、清马、执行SHELL,实行SQL。另外各种名称的都是,接收一个请求,包含目标主机、端口、持续时间、重复次数的。就两种,都是源代码。有一个不是源代码的,gzzip自己循环加密了不知多少次,(这个可以研究下,没什么用处)
FileZilla,同步浏览,打开比较,挨个目录找,去掉肉鸡程序。
使用.htaccess文件限制执行PHP,
RewriteEngine on
RewriteCond %{REQUEST_URI} "\.php"
RewriteCond %{REQUEST_URI} "^(?!/index\.php|/plus/|/dede/|/include/)"
RewriteRule ^.*$ - [F]
本来只留/index.php,/dede/可以执行PHP的,include目录中有验证码图片、后台发布需要一个PHP,也留了执行权限
现在服务器正常运行了。
那些肉鸡文件名字见图片
总结:
1.没试着找出怎么挂上去的,罢了,希望有热情的PHPer明示
2.学了两个函数assert, ignor_user_abort
3.服务器挂了,被黑了也可以淡定
4.DedeCMS还是限制下执行、读写权限。可写的目录不给执行PHP权限,可执行PHP权限的不给写权限,别小瞧这个。
5.ping网速测试,如果有几个丢包,通了的速度挺快,可能是服务器CPU满了不响应了
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
