昨天日常打开网站看看(虽然什么东西都没),但加载半天都没加载出来,过了一会儿直接502,意思是服务器没法对你的请求及时做出响应,我这破站没任何收录,域名也没发出去过,应该不是dos,而且有cdn,真实IP应该也查不到。
ssh连接上服务器,top发现cpu被php-frm一直占满,先killall进程,又去看了看日志,最近的内容全是
2016/10/14 16:31:25 [crit] 585#0: *23253 connect() to unix:/tmp/php-cgi.sock failed (2: No such file or directory) while connecting to upstream, client: 191.96.249.54, server: www.pinea.cc, request: "POST /xmlrpc.php HTTP/1.0", upstream: "fastcgi://unix:/tmp/php-cgi.sock:", host: "172.247.XXX.XXX"
可以看出191.96.249.54这个IP一直在post请求xmlrpc.php这个来进行暴力密码破解,最简单的方法就是直接删除这个文件,毕竟你现在即使把IP封禁了,鬼知道以后会不会又有人来淦你。
COMMENTS | 2 条评论
我的网站都没你这么高访问啊…我心累
@COFFEE
仁兄,你需要知道,这些访问都是cdn的抓取罢了