旁门解决IIS拒绝服务问题
前些天单位服务器被黑客攻击, 估计是那个将要出师的黑客,把单位服务器作为把子练习了.现象为每天早上来的时候网站都无法打开,服务器一切正常,只是打开网页时长时间等待后显示无法打开.
用natstat看网络有一大堆的CLOSE_WAIT和ESTABLISHED连接,可以显示好几页。如下:
TCP 192.168.1.40:80 61.135.219.6:48208 CLOSE_WAIT
TCP 192.168.1.40:80 61.135.219.6:49903 CLOSE_WAIT
TCP 192.168.1.40:80 61.164.178.118:10268 ESTABLISHED
TCP 192.168.1.40:80 61.164.178.118:51398 ESTABLISHED
TCP 192.168.1.40:80 61.164.178.118:51677 ESTABLISHED
TCP 192.168.1.40:80 66.249.66.164:32827 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:32832 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:33115 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:33685 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:34081 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:34210 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35109 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35216 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35356 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36192 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36290 ESTABLISHED
TCP 192.168.1.40:80 66.249.66.164:36877 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36969 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:37001 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:37030 CLOSE_WAIT
上面是部分内容。
在日志中可以看出应该发生在凌晨1-3点间。
重起IIS后问题解决。
连着三天都是相同的问题,我在此也发贴问解决方法,无理想回贴,所以只好自己想法解决了,因为对安全知识了解不足,根本就不清楚这是什么原因造成的,所以也就从正路上无从着手。
即然重起IIS可以解决问题,我就想从这个方面入手,解决它。
思路是写一程序,定时(一分钟)打开本服务器的一个页面,如果5秒钟内打不开,或打开了一个错误的页面,程序将当时的网络联接状态记录下来,并重起IIS。
这是程序下载地下:[url]http://www.[/url]
使用方法:解压后双击reserv.exe文件(程序需要VB库支持),在打开的网址一和网址二中输入你的服务器网站的二个页面(二个的目的是发现有些时候网页已打不开了,但因为你打开的仍是先前的网页,它会虚假显示打开的),注意输入的网址正确,否则,程序会以为打不开而不时地重起。点击“开始”,程序会自动转入后台运行。
如果程序重起了服务器,它会记录下一个LOG文件,并且会记录一个以时间为文件名的txt文件,记录下当时的网络netstat -an的内容。
