網站流量被劫持,說實話以前只是一個簡單概念,現在真切能感受到。客戶端發來的請求被劫持後進行篡改再次發出,進而導致一些問題。在綠盟科技人員的參與下,很快有了一些結論。
排查第一步:確認是否有規律
經過大量測試發現,確實有一定的規律,會在系統請求網址根目錄下增加一個8位字符串,具體表現是:http://IP:7007/ffff8b57 ,這八位字符串前四位是固定的,後四位則是隨機變化的。
排查第二步:確定代碼是否有問題
把正式生產環境中的系統安裝包全部拷貝到新服務器上(同樣的配置及操作系統),在同樣版本IIS下部署後,進行了1000次訪問操作模擬,藉助谷歌瀏覽器的網絡記錄功能,詳細記錄每次請求及服務器響應情況。經過實際測試後發現新服務器上沒有問題。同理排除了代碼的問題;
排查第三步:電腦病毒(木馬)排查
在服務器上安裝了安全狗、火絨後,進行了全面掃描,因爲文件比較多,持續時間都分別超過了2小時,經過掃描發現了php.webshell病毒及一個宏病毒,感染了1200多個文件。但是經過覈查,這些病毒對請求地址沒有篡改的能力,故暫且放棄處理。
排查第四步:網絡問題排查
這塊分了兩塊,在服務器本機上訪問系統,經過近2000餘次的訪問請求測試,沒有任何異常。但是一旦跨網段(由192.27.89段訪問服務器192.27.88段)就又會出現地址唄篡改現象。
通過以上四個步驟,基本就確認了是網絡這塊得問題,排除代碼和病毒的問題後,其網絡問題就只能交給機房網絡運維人員處理。 說實話以上四個步驟也是明確責任問題,也是能夠清晰向客戶領導彙報的內容。每次測試完畢後都會及時留存相應的截圖及大概的結論,並與相關人員進行確認。這樣反饋給客戶的內容是經得起質問,同時也重要是幫助自己能儘快梳理出問題的核心所在。