概览
CentOS 6.5转Windows Server 2008
阿里云CES
运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5)
部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql
部署方式:由于IIS与Apache均需要使用80端口,所以,将部署在IIS上的服务绑定其他端口,Apache使用Porxy进行代理转发
事件概述
问题1:Apache与IIS均无法正常访问
服务刚部署上去时,IIS与Apache上的服务,均很难访问(防火墙已添加80端口准入),以为是服务器部署的问题
解决方案
1、IIS上部署的服务,全部使用127.0.0.1,Apache的Proxy指向127.0.0.1,这样可以减少一步解析
2、Apache调优
httpd.conf中使用httpd-default.conf 、conf/exrtra/http-mpm.conf
(在httpd.conf中去掉Include conf/extra/httpd-default.conf、conf/exrtra/http-mpm.conf的#号)
httpd-default.conf
KeepAlive On (开启可以提高性能,因为一个页面一般会有多个请求)
MaxKeepAliveRequests 50 (这个数目自己根据网页内容调节)
KeepAliveTimeout 5 (这个小于Timeout就行)
Timeout 15 (连接超时缺省为300,太大了,缩小会减少同时连接数,即上面占用的实际线程数)httpd-default.conf
<IfModule mpm_winnt_module>
ThreadsPerChild 350
ThreadLimit 350
MaxRequestsPerChild 10000
</IfModule>问题2:SQL连接本地数据库
Apache进行调优后,部署在Apache上的服务能够正常访问了,但是IIS上的服务依旧无法访问,有时候甚至会弹出502Proxy Error(这是因为Apache代理设置了超时,IIS长时间无响应,Apache拒绝服务),IIS上的网站打开时,TTFB很高,意识到应该是服务器的问题
解决方案
怀疑是SQL的连接非本地,于是将SQL的连接改为本地连接,改了之后,依旧是IIS上的服务访问很不稳定。
问题3:CPU占用率100%–挖矿木马
此时,看到cpu占用率100%,在资源管理器中,查看cpu占用情况,看到一个’处理器空闲时间百分百‘,
解决方案
3.1:异常进程:s.exe
使用windows资源管理器进行监控,很奇怪的是,资源管理器一打开,cpu使用率就会立马下降,根本无法找到到底是哪个进程消耗了大量cpu资源,一点点看进程内有什么特别异常的进程,发现一个名为’s.exe’的进程,不是windows自带的进程,杀掉。
3.2:CPU占用率依旧过高,资源管理器自动关闭
杀掉后,退出远程连接,再次访问网站发现访问正常了。于是就放着不理,过一段时间后,查看cpu使用率,依然是100%。使用资源管理器进行监控,大概5分钟后,资源管理器会自动关闭,然后cpu使用率飙升。
于是,在资源管理器中找到云盾报的那个执行文件(lsass.exe),杀掉,然后服务器就关机了。
3.3:找到挖矿木马,删除
1、在资源管理器中找到lsass.exe,右键,查找地址,找到目录在C:\Windows\Fonts中
2、但是使用文件管理器窗口无法访问,于是在cmd中使用dir/a:h查看隐藏文件,
共找到5个文件,
其中有2个文件是在我服务器更换操作系统的当天生成的(wininit.exe,svchost.exe),
有1个是服务器重启时生成的(lsass.exe)
3、于是删除3个异常文件 del /s /q /f /ah lsass.exe wininit.exe svchost.exe,期间,报错拒绝访问,使用Cacls attrib等命令折腾一番文件权限,发现不行。于是在资源管理器中,将上述3个文件的进程杀掉,再删除即可
4、发现他们用windows自带的服务名来命名挖矿程序
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
