1
rainysia 2014-08-25 09:50:33 +08:00
才 5000K IP.
100%你还想肿么样 |
3
ChiChou 2014-08-25 10:46:27 +08:00 1
你的网站很有可能被黑,挂了 PHP DDOS 木马。简单说就是基于 php 的发包函数,用你的 vps 和流量对外发动攻击。
如果你能管理 php.ini 的话,建议临时禁用 socket 系列函数,然后查看日志,基本上就可以定位到木马位置。 |
6
jk2r 2014-08-25 11:19:27 +08:00
0. 还是得弄一个干净的php脚本(或者新的web),跑一个benchmark,看机器是不是不行。
1. 先看一下access_log,看有没有异常请求量很多的代码。再看一下,有没有哪些网页,request_time很长的,如果有跳到2。 2. 手工debug代码,二分法查什么地方卡了。 3. strace -vv 一下cpu多的进程都在干嘛,发log上来。 |
7
reyals OP access_log确实很异常,大量的403和404
这些请求的网站都不是我的站。 219.148.108.132 - - [17/Aug/2014:09:31:59 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:10:02:10 +0800] "GET http://www.qhdjrfw.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:10:35:39 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:11:06:21 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:11:38:00 +0800] "GET http://www.data321.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - |
8
jk2r 2014-08-25 15:11:44 +08:00 1
404这个是抓站还是爬虫吧,从你日志看都是219.148.108.132。统计一下top10,不认识的,封了先看看情况。
|
9
reyals OP |
10
jk2r 2014-08-25 19:26:17 +08:00
不停请求,你也可以理解为DOS呗。PHP跑程序,当然就慢了。
代码级,fastcgi缓存、php页面级缓存(wordpress Memcached插件),都能缓解。 程序员范儿,可以cron扫访问日志找到TOP N的垃圾请求,iptables封IP。当然也可以lua。 不是有意攻击的话,还是有很多解决方法的。 PS:你的blog有5000k,日均500w IP? |