起因:
今天忽然打開個人blog,就發現打開很慢,然後出現了下圖的反饋:服務器服務不可用!waht?刷新了幾次都不行,趕緊登陸服務器後臺查看情況。
確認***:
登陸後臺後通過netstat發現連接數極多,相對於平時來說多了好幾倍吧,趕緊通過日誌load出瘋狂訪問的ip
# cat 2016-12-16-access_log | awk '{print $1}' | sort | uniq -c | sort -rn | head -n 10
30305 191.96.249.53
29016 191.96.249.54
4275 127.0.0.1
461 139.199.66.174
14 123.126.113.79
......
接着查看這兩個ip對我網站做了什麼
發現其不斷post數據到xmlrpc.php,百度了一下xmlrpc.php發現是暴力破解***。
此***具體解析如下鏈接:
http://www.freebuf.com/articles/web/38861.html
網站癱瘓原因:
通過iostat,vmstat查看了一下,服務器的cpu,內存等資源並沒有異常,那麼我的網站怎麼崩了。我的理解是:1.我的雲服務器帶寬不高才1M,這樣的***把我的帶寬給打滿了。2.***請求把apache的服務進程全佔了。
PS:這是我自己的理解,如果有更好的解釋,歡迎大家留言。
解決方案:
通過iptable或雲服務器的安全組設置,把對應ip給封堵了。
通過.htaccess屏蔽xmlrpc.php文件的訪問。
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>