IIS 6 遭遇攻击导致CPU占用异常

昨天因为出差在郊区开会没有上网,回家后看CPU负载图,壮观~~~ 这是大海么?我想吐….
点击查看全图

点击查看全图

在C:WINDOWSsystem32LogFilesHTTPERR目录下检查日志,发现大量Timer_MinBytesPerSecond异常


2009-05-09 04:39:09 222.71.20.14- – – – – Timer_MinBytesPerSecond –
2009-05-09 04:39:49 222.240.160.114 – – – – – Timer_ConnectionIdle –
2009-05-09 04:40:19 222.71.20.14 – – – – – Timer_ConnectionIdle –
2009-05-09 04:40:24 222.71.20.14 – – – – – Timer_ConnectionIdle –
2009-05-09 04:40:29 61.153.156.18 – – – – – Timer_ConnectionIdle –
2009-05-09 04:40:34 222.71.20.14 – – – – – Timer_MinBytesPerSecond –



IP:220.181.61.224一天就有1200多次日志内容


2009-05-01 16:03:08 220.181.61.224 HTTP/1.1 GET /robots.txt 400 – Hostname –
2009-05-01 16:03:47 220.181.61.224 HTTP/1.1 GET /forum/viewthread.php?tid=589 400 – Hostname –



从日志来看,首先是没有主机头,也就是用IP地址直接发起的URL请求,IIS不能分辨属于哪个主机,所以有”400 -Hostname“的标识。
该IP的地址最后追踪到重庆师范大学图书馆
点击查看全图

在GOOGLE上搜索这个IP,发现别人也有同样的遭遇


svctag-3k3r22x(*.*.*.*):http(80) 220.181.61.224:40520 TIME_WAIT
svctag-3k3r22x(*.*.*.*):http(80) 220.181.61.224:36543 TIME_WAIT
svctag-3k3r22x(*.*.*.*):http(80) 220.181.61.224:44492 TIME_WAIT
svctag-3k3r22x(*.*.*.*):http(80) 220.181.61.224:64536 TIME_WAIT



微软对于该异常的解释:http://support.microsoft.com/kb/919797/en-us
于是我编辑了 C:Windowssystem32inetsrvMetaBase.xml 文件,搜索" MinFileBytesPerSec ", MinFileBytesPerSec 设置从 240 更改为 0。 " ConnectionTimeout "减少为30,保存后重新启动IIS。
再一回想重庆师范大学图书馆那个IP实在恶心,这几天光它的日志就有28,562行,占到日志总量4.5 % 。
还发那么多垃圾请求,要么是傀儡机要么是恶意攻击,直接把IP屏蔽!!!

发表您的评论

您的电子邮箱地址不会被公开。

*

code