作為伺服器的管理者,每當伺服器宕機無法訪問時,就需要檢查故障,儘快使伺服器恢復運行。造成伺服器無法訪問的原因有很多,簡單一點的系統故障,一般重啟一就恢復,而複雜一點的比如系統或應用程式崩潰,就要爭取備份數據,重裝系統和程序;而更為麻煩的病毒入侵造成伺服器無法訪問,如果實在無法爭奪伺服器權限或者阻止數據洩露,就只能儘快重裝系統,重新設置防火牆。最麻煩的就是被DDOS或CC這一類的流量攻擊,如果機房沒有防禦,那只能等攻擊停止,伺服器才會恢復正常。那麼當確定伺服器被攻擊而無法訪問時,要如何區分攻擊類型呢?一般被攻擊之後,伺服器會有以下幾種情況。
1、伺服器連接正常,但網站或程序無法打開。
如果伺服器連接正常,則不會是被大流量CC攻擊。此時,可以查看伺服器的任務管理器,查看伺服器的CPU使用情況和網絡帶寬使用情況。
如果W3wp.exe進程佔用大量CPU,則可以立即確認被CC攻擊。w3wp.exe是IIS的進程,如果是ASP/PHP等動態站點,受到CC攻擊時,w3wp.exe進程可能會大量使用CPU到達伺服器CPU承受不住。這樣網站當然打不開了。
對於靜態站點,w3wp.exe不太使用CPU。此時,您可以查看伺服器的網絡帶寬使用情況。這是因為靜態站點不需要處理就可以直接返回給訪問者,所以不太使用CPU。當然,當受到CC攻擊時,需要返回大量靜態頁面,這時會佔用伺服器的上行帶寬,當受到大量CC攻擊時,上行帶寬可以達到99-100%。
如果服務中出現這兩種症狀之一,則可能會嘗試先停止伺服器的IIS。如果CPU或網絡帶寬使用量立即減少,則在啟動IIS後可能會立即飆升,被CC攻擊。當然,前提是伺服器被攻擊之後還能進入管理,如果遠程無法登入伺服器,還可以通過KVM工具登入。
2、伺服器無法連接,網站或程序無法打開。
如果伺服器突然訪問,網站或程序也無法連接,也可以聯繫機房詢問原因。機房的監控系統能夠顯示所有伺服器的帶寬佔用情況,如果被大流量攻擊,機房就會發現流量異常,如果伺服器沒有防禦,為了保障機房網絡的穩定,機房會在一段時間內屏蔽伺服器的IP。這時候可以聯繫機房,要求在受到攻擊時提供流量截圖,這樣就可以知道伺服器遭受哪種攻擊,有多大攻擊流量。
3、伺服器無法登入,網站或程序可以打開,但顯示異常。
如果網站或程序能夠打開,但是顯示出現異常,伺服器能夠連通,但無法遠程登入,這時候很大可能被病毒攻擊。黑客通過病毒奪取權限,竊取伺服器數據,對系統和網站程序大肆破壞,如果不及時處理,就會給伺服器造成不可逆轉的損害,只能重裝系統。一般的木馬病毒重啟之後就可以清除,但如果是網站程序本身的漏洞,如果不能修復,就算重裝系統,重新設置安全防火牆,也很難阻止下一次入侵。