我们的Linux服务器频繁崩溃后,分析发现,大量指向74.125.79.118托管网站php脚本的ip的连接导致服务器崩溃。
在对文件进行深入分析后,我认为服务器上不存在任何恶意软件。
IP74.125.79.118是 Google。我在 Google 搜索后意识到,与此 IP 的连接是由网站上嵌入的 YouTube 视频生成的。
但我不明白这种行为怎么会导致服务器崩溃,而且这种情况的独特性让我认为这种情况远不能只归咎于谷歌和 Youtube。
另外我发现阻止到的连接eth0并74.125.79.118:80不能解决问题,但如果我停止到eth0互联网的 DNS 流量,到的连接就会74.125.79.118停止。
我对此真的很困惑。有什么建议吗?
答案1
我用 Clamav 进行了扫描。似乎一个糟糕的脚本导致了这个问题。解决了。谢谢。
答案2
嗯,嵌入的视频是由客户端(通常是用户浏览器)下载的。事实上你的服务器正在从 youtube 下载,这似乎表明某些脚本正在执行此操作(可能是为了缓存目的)。
您可以尝试 grepping ip 和/或 youtube.com 来找到执行此操作的脚本,如果它违反了您的 TOS,那么您可以暂停该用户/要求他删除该脚本。
顺便说一句,阻止 DNS 会阻止此行为,这表明脚本使用的是 FQDN,而不是您看到的 IP。因此,您可以从grep youtube.com看看是否有东西弹出。
编辑
抱歉,我忘了,服务器崩溃似乎表明资源使用率很高。是虚拟机还是真实的服务器?