none
server一直被攻擊 RRS feed

  • 問題

  • 最近伺服器一直被攻擊,

    開機幾天網頁就會在出現service unavailable,系統幾乎無法回應,勉強可以進入選擇重新啟動,有時連動都動不了,只好直接關電源再重開,

    重開機後一開機系統就會出現為什關機,

     

    查看事件檢視器,有下列情形

     

    先出現一

    1、伺服應用程式集區 'DefaultAppPool' 的處理序已意外中止了。處理序識別碼為 '2484'。處理序結束碼為 '0x80'。

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

     

    再出現二

    2、正在自動停止應用程式集區 'DefaultAppPool',因為在伺服該應用程式集區的處理序中發生許多失敗。

     

    最後一直出現3

    3、由登記啟動的 I/O 操作永久失敗。 登記無法讀入、寫出或清除包含登記系統影像檔之一。

     

     

    請問這種情形該如何解決呢。

     

     

    2008年1月9日 上午 11:11

解答

  •  

    1的狀況,不太清楚。

     

    2的狀況,像是IIS6啟動Rapid Fail Protection保護機制。

    參考連結:

    http://blog.darkthread.net/blogs/darkthreadtw/archive/2007/07/20/kb-rapid-fail-protection-of-iis-6.aspx

     

    3的狀況,像是你的HD有問題。

    有啟動IIS Log嗎?預設在C:\WINDOWS\system32\LogFiles

    參考連結:

    http://forums.microsoft.com/TechNet-CHT/ShowPost.aspx?PostID=1646825&SiteID=23

    EVENT ID 333 若沒有2019或2020,就不像是防毒軟體造成的。

    http://www.eventid.net/display.asp?eventid=333&eventno=5757&source=Application%20Popup&phase=1
    2008年1月10日 上午 03:29
  • 發生狀況的時間前後有沒有安裝升級防毒軟體或是其他程式?

    移除之後測一段時間試試看。

     

    因為我也曾碰過IIS有類似的靈異現象,

    就算重啟服務也無法任何異常訊息,

    但IIS就是沒辦法提供服務

    而且該網站也僅在公司內部提供服務而已,

    總不可能是被攻擊導致掛掉吧

    最後找出兇手軟體後就一切正常了

    2008年1月10日 下午 12:49
    版主
  • 不知道你的網站有哪些網頁系統?

     

    靜態的檔案,如 html / js / vbs / css / gif / png / jpg 不會造成應用程式集區失敗。

     

    動態的網頁 aspx 應該除了上述事件外,會有其它錯誤事件自動被紀錄。

     

    動態的 asp 紀錄的比較少,建議你以 asp 系列的網頁為主,純 asp 的網頁可以被系統自動放掉,建議檢查有呼叫到 ActiveX DLL / ActiveX EXE 的部分,也就是有用到 CreateObject 之類的網頁。

     

    網站瀏覽紀錄最後幾筆請多注意,並統計來源,很多攻擊會發動 POST 動作,也請針對異常 POST 做檢視,若網頁主機上游有比較好的 L3 Switch 或是 netflow ,建議針對網頁這台開啟紀錄,以利事後追蹤。

     

    你提供的資訊不足以判斷可能的問題。

    2008年1月10日 下午 03:38

所有回覆

  •  

    1的狀況,不太清楚。

     

    2的狀況,像是IIS6啟動Rapid Fail Protection保護機制。

    參考連結:

    http://blog.darkthread.net/blogs/darkthreadtw/archive/2007/07/20/kb-rapid-fail-protection-of-iis-6.aspx

     

    3的狀況,像是你的HD有問題。

    有啟動IIS Log嗎?預設在C:\WINDOWS\system32\LogFiles

    參考連結:

    http://forums.microsoft.com/TechNet-CHT/ShowPost.aspx?PostID=1646825&SiteID=23

    EVENT ID 333 若沒有2019或2020,就不像是防毒軟體造成的。

    http://www.eventid.net/display.asp?eventid=333&eventno=5757&source=Application%20Popup&phase=1
    2008年1月10日 上午 03:29
  • log檔有去看,不過看不出狀況,因為在出現上述事件時就沒有log檔寫入了。

     

    我的直覺是有人利用瞬間很多的網頁連線造成記憶体不足,讓系統沒有回應。

    只是不知如何反制這個問題,連線數已經有設定了,可是還是如此。

     

     

     

    2008年1月10日 上午 03:41
  • 我有個不是辦法的辦法。

     

    找到問題原因並解決前,每天在離峰時間排程跑 IISRESET。
    2008年1月10日 上午 03:51
  •  

    當發生問題我有重新啟動iis也是無用,只有重新啟動系統才可以。

    現在只有當發生時去重開機,若太晚重開會無法登入,動都動不了,只有直接關電源的份,

     

    如果早一點,操作雖然慢一點但還可以選重新啟動。

     

    不過不管是直接關電源或進入系統選重新啟動,重開機完後都會出現像停電的警訊。

    2008年1月10日 上午 04:02
  • 發生狀況的時間前後有沒有安裝升級防毒軟體或是其他程式?

    移除之後測一段時間試試看。

     

    因為我也曾碰過IIS有類似的靈異現象,

    就算重啟服務也無法任何異常訊息,

    但IIS就是沒辦法提供服務

    而且該網站也僅在公司內部提供服務而已,

    總不可能是被攻擊導致掛掉吧

    最後找出兇手軟體後就一切正常了

    2008年1月10日 下午 12:49
    版主
  • 沒有安裝升級防毒程式或其他程式

    而且不只一台伺服器如此

    常發生的有四台

    大約三四天一次

    2008年1月10日 下午 02:52
  • 不知道你的網站有哪些網頁系統?

     

    靜態的檔案,如 html / js / vbs / css / gif / png / jpg 不會造成應用程式集區失敗。

     

    動態的網頁 aspx 應該除了上述事件外,會有其它錯誤事件自動被紀錄。

     

    動態的 asp 紀錄的比較少,建議你以 asp 系列的網頁為主,純 asp 的網頁可以被系統自動放掉,建議檢查有呼叫到 ActiveX DLL / ActiveX EXE 的部分,也就是有用到 CreateObject 之類的網頁。

     

    網站瀏覽紀錄最後幾筆請多注意,並統計來源,很多攻擊會發動 POST 動作,也請針對異常 POST 做檢視,若網頁主機上游有比較好的 L3 Switch 或是 netflow ,建議針對網頁這台開啟紀錄,以利事後追蹤。

     

    你提供的資訊不足以判斷可能的問題。

    2008年1月10日 下午 03:38