×

微信扫一扫,快捷登录!

服务器惊心动魄那时刻...

标签: 服务器
[p=30,2,left]学习资料:IT运维管理社区专家讲堂直播300期视频回放


[p=30,2,center] 114132sb5mfd57mm0mv55d.png.thumb.jpg




本来一切都如湖面上的水波一样很平静,但是不知道何时,我的生活充满了刺激的挑战!请看尧子真情为你讲诉服务器遇到问题如何处理的惊心动魄72小时。让你体验服务器遇到问题如何排错的思路!
主角:尧子
1、黑链初起
2013年10月21日下午4点左右,我在给一台服务器做检查的时候,发现服务器上的网站有黑链接,然后我就删除了,我又查看了一下,发现别的网站也有黑链接代码。不一会儿就发现10几网站都有,正当我疑惑的时候。SEO的主管和客户部的经理都说网站有黑链接。当时我一想完了,是不是服务器中病毒了。不过还好优先处理了比较重要的网站,但是一想,这服务器600多个网站,不会都被挂了黑链接吧!不过想一想也明白了,既然这么多都被挂了,不用想了。猜都猜出来了。然后,我就开始进入删除网站黑链接的工作中,600多个网站啊!况且还不是一个页面,想用软件删是不可能了,因为我服务器上就装了文本替换软件,只能是删一句或者两句的代码。多了就不行了。所以没办法,狠心的静下心来删。不过在删除黑链接的同时,我又注意到。只要是被挂黑链接的网站。它的源文件中,必定有一个带点的文件夹。麻烦事来了...............

2、可恶的带点文件夹
2013年10月21日晚上11点左右。我在删网站黑链接的时候,偶然发现每个被挂上黑链接的网站的源文件里面必定有一个带点的文件夹,比如“aa.”这样的文件夹。这个文件夹的奇特之处是:删不掉,移不走,并且重命名也不行。我就足够的肯定这个文件夹有问题了,或许这个带点的文件夹和代码有密切的联系。然后我首先想到的是删除,当然我不知道怎么删除,第一反映当然是搜索引擎。于是我就到百度和谷歌的搜索引擎里面搜“怎么能删除服务器上带点的文件夹”。搜出来的结果基本为:cmd命令下用RD加上路径和文件名并且还说带点的文件夹的名称一般是“aa../”要在带点的文件夹后面再加一个点和一个斜杠。才是带点文件夹的真正的文件名称。我当时也不明白这个命令的具体意思,不过我又想到咱们51CTO或许有答案。于是,当即我就快速的在休闲专区发了一个帖子。名为:“求助删除带点文件”,前面还加了一个急字,但是等了5分钟没人回复,当时真的很急。幸好慧慧和服务器板块的版主帮了我的忙,让这个帖子到适合的位置,并且加亮了。等了大概5分钟的时候,就看见有人回复了,基本是说这个RD的命令。还有火箭也说了,我也基本上明白了。所以,我决定去试了试,我用这个命令试过之后,却不行。然后,没办法,我又继续找。找到一条命令,跟上面那条命令不同的是:比上面那条命令多了两个字母:/q/s。例如:rd/q/sc:\aa../\s还看见上面有人说了一句话:说这个命令是终极绝招,一定可以删掉.但是用这个命令后,却显示无法删除。然后我当时也没注意桌面。然后就用360保险箱扫描了一下系统,却发现评分只有5.然后说是有黑客程序,或克洛伊木马程序。然后我点了一下清除。当我清除之后。我才注意到桌面上和开始菜单的程序选项里。桌面上就剩我的电脑和回收站。而开始菜单里面的程序和管理工具一个也没有,是空白的,IIS快捷方式也找不到了,SQL数据库的快捷方式也找不到了,MYSQL也是,还有FTP以及serv-U也不见了。而且管理工具里面的东西也没有了,而且C盘的东西都没了。当时我就懵了........
3、网站还能运行?
2013年10月22日凌晨1点钟,在我执行RD命令和360扫描清除之后,发现桌面上,就剩下“我的电脑”和“回收站”,并且开始菜单里面的程序全部都没有了,连重要的IIS管理器和SQL数据库的管理器都消失了,当时吓了一跳。这个服务器上可是有600多个网站啊!并且还有两个是公司的主站,还有公司的资源站,客户的优化站,我可真吓到了。大概犹豫了1分钟左右,马上调节好状态。重要的是看看网站停止服务没。于是,我首先想到的是,打开这个服务器上的网站域名,看是否停止服务了。但是,IIS的管理器都没了,如何查看。不过我马上想到,我以前导出过一份IIS的域名列表。于是,在本机上找到了这份域名列表。随便复制了一个域名。打开CMD,在里面PING了一下,发现能PING通,于是快速的打开IE浏览器,输入刚刚PING通的域名。幸运的事发生了,网站能正常打开,并且还在运行中,顿时松了一口气。又继续查看别的域名是否能正常打开,欣慰的是都可以。但是不幸运的事同样也发生了,当我点击网站里面的新闻页面时,却发现打不开。并且报错,是数据库的错误。想到SQL数据库的快捷方式没有了。虽然数据库的文件还在。但是数据库的管理器找不到,这可怎么办,无奈的我马上想到的是到“百度”和“谷歌”里面搜索"如何打开SQL的快捷方式"。大部分解释跟这个情况都不同。但是我没有放弃,却继续的搜索,不过好在我终于在网页上找到办法了。网页上说只需要找到数据库里面的一个程序就可以了。我按照上面的提示一步步的操作。终于找到上面所说的一个程序,只要打开这个程序就可以了。然后我打开那个程序:SqlWb.exe,但是,却发现连不上SQL数据库,账号和密码是对的,可是就是连不上。然后,又想到是不是SQL的服务没开。于是打**务,发现有个SQL的服务没启动。把服务启动之后,一下子就连上了数据库,而且数据库的数据没有丢失。当我再次点开网站的新闻页面的时候,就没有报数据库的错误信息了。虽然电脑的桌面上只剩“我的电脑”和“回收站”,虽然开始菜单的“程序”和“管理工具”一个都没有了,虽然软件都没有了,但是IIS和数据库正常运行就可以了。然后我有用在网上查找打开IIS管理器的命令,IIS的管理器也找回来了,域名一个也没少。正当庆幸自己可以睡个好觉的时候,却出现了新的问题。IIS突然自己掉了,服务启动不了,数据库紧接著失去连接了。600个网站瞬间关闭了.....
4、被入侵了?
2013年10月22凌晨4点钟,服务器的网站和数据库自动断开连接,当时想睡觉的欲望一下子破灭了。有些无奈的我,顿时心情压抑起来。不过光看着也不行,马上想到的是连接IIS和数据库,保证网站能正常运作,但是我却怎么连也连不上了。我想可能是服务被关了吧!当我打**务管理器,却看到IIS最重要的几个服务被关闭了。我马上想到的是开启这些服务,但是老天就是这么折磨人,当我开启服务的时候。却发现开启不了,并且报错。错误大概是:“无法在本地开启服务。”试了几遍都不行。但是马上又想到服务器除了装360安全卫士。还装了McAfee杀毒软件。McAfee有一个功能,那就是会禁止你开始任何服务。除非禁止它的这个功能,否则无法开启这些服务。当我点击右下角的McAfee的管理器。准备关闭这个功能的时候,突然想到这台服务器上的McAfee软件的密码是上一个IDC操作人员设定的,我前几天还打算破解这个软件的密码,今天就出这样的事情。不过想想也罢,还是要破解,但是却不知道如何破解。据说这个软件很强,即使被卸载,它也还在你机器上留着。只要你不禁止它的服务再卸载,很难能卸载完毕。在百度和谷歌上搜索关于卸载McAfee这个软件的办法。第一种办法就是到机房的服务器上,进安全模式里面修改注册表里面的三个键值。但是以现在的时间很难到机房进行这个办法,并且到服务器上进安全模式看来是不可能。第二种办法就是禁它的服务,然后在卸载,最后清除注册表里面的键值。但是现在是禁止不了它的服务,因为密码我不知道。最后我自己想出了一个办法:就是先卸载,后重装,覆盖掉里面的数据。这步做的竟然成功了。但是无奈的是服务还是开启不了。或许是McAfee太强大了吧!没办法,然后就找一下是不是别的原因。接着我打开C盘一看。发现C盘占了40几G的空间。我一想,不可能啊!C盘都只有系统文件,哪能占那么大的空间。我点开C盘里面的文件一个个的查,却发现有几个可疑的ASP文件和文本文档。最可疑的是C盘Download里面竟然有个CMD的应用程序。学过黑客攻防的,首先想到的是可能是服务器被入侵了。然后就查看C盘里面的好多文件都是我没看到过的,于是清除这些文件。在清除的时候,我发现这里面也有带点的文件。顿时,一下子明白了,可能服务器被入侵了。不然不可能600多个网站,每个都被挂上黑链接。而且带点的文件,可疑的ASP文件和CMD的应用程序,正当我处于清醒与疑惑之间,服务器突然断开连接了.......

5、危险的RD命令!
2013年10月22早上6点左右,服务器自动断开连接,怎么连都连不上。无奈的我马上准备好工具,想去机房看看,实在不行就只有重装了。但是重装又很麻烦,磁盘做了RAID1+0,如果重装了,还不知道数据会不会丢。但是现在没有什么办法了,只有孤注一掷了,于是跟经理写了封邮件,直奔机房去了。当我去了机房之后,然后就开始重装,但是无奈的是,怎么重装都装不上。真的是气死我了,但是一次次的尝试。我并没有放弃,意外而又高兴的事情发生了。居然无意中,把系统给装上了。心急火燎的我,马上打开其他的磁盘,看看数据有没有丢失。我却发现居然没有丢失。心情愉快啊!当时高兴了半天,但随之而来的却是苦难啊!当把系统装好之后,就开始打补丁。然后装IIS,一步步的装下各种必需的软件。最后困难的是IIS的域名都不在IIS上了,要重新建立600多个网站,并且还要配置各种权限,无奈的我真是苦恼。真的好累,但是却不能休息,于是,立马奔回公司,开始展开网站的修复工作。但是在回去的途中,突然想到,公司装了一个后台软件,有修复网站的功能。于是,我等上软件开始修复,虽然是一个个的修复,但是我并没有感觉到疲惫。因为此时在重要的是打开网站。毕竟有些网站是做排名、做优化的。一个一个的修复。到了下午的时候已经修复了大部分的重要网站了。其他的网站也就可以慢慢的修复了。我马上想到网站源码文件不是还有带点的文件夹吗?所以,我又打开一个网站的源码,却发现带点的文件还在,顿时心情一下子坏了。怎么可能还在呢?我的第一反映就是要赶快删掉,因为我不想重复上一次的遭遇。所以,又去查了一下,到底哪个命令可以删。可是查来查去,还是那个RD命令。又想到,上次的事,肯定是360删除的,这次应该不会出现错误吧!却没有想到备份,因为做任何事之前要先考虑到备份。但是,由于我心情激动、加上身体的原因,没考虑。于是在CMD命令模式下输入了RD的命令,开始执行了删除,但是又报出了错误,访问被拒绝。于是我立马关闭了CMD的窗口。因为上次用这个命令的时候,也是出现这样的情况。只是当时我没有关而已。可是我不祥的预感又冒上来了。我怀着颤抖的心,看了下桌面。发现了惊奇的情况,桌面上的东西都没有。我的第二反映就是打开开始菜单,看管理工具里面软件还有没有,但是看了之后,心一下子凉到谷底。居然和上次一模一样,什么都没有了,空白一片......
6、归于平静.....却旧伤复发....

2013年10月22上午8点左右,当我再一次的使用RD命令时,服务器又出现了上一次的问题。使我明白了原来就是使用了这条命令才会出现这样的问题。于是新的问题出来的,但是我来不及去想多的,只有先把网站修复好在说。于是我心急如焚的又一次奔向了机房。但是我却没有重新安装系统,因为着急,所以没重装,只是重装了IIS和Macfee软件。后然设定一些常用的快捷方式,按照上次出现的情况把SQL的快捷图标找出来了,然后回到公司用公司购买安装在服务器上的软件,执行了批量修复网站的工作。因为上一次出现问题的时候,没有来得及考虑,忘记了公司的这款软件的功能。不过这次用上了。把网站一次性的修复好了之后。然后给网站配置权限,因为有的是手动创建的网站必须重新配置网站的权限和策略。当网站正常打开之后,我心里却一点也不高兴。因为本质的问题还是存在着,很多问题现在还是不能直接的去解决!可以列出来最根本的有3个大问题:1、系统好像有些组件有问题。2、带点文件的长期困扰。3、网站经常会产生错误。自己对这三个问题头都想大了,一直没有解决。

时间回到现在2014年1月12晚上,今天看到自己写的这篇帖子迟迟没有更新,说真的很对不起大家,因为在写这篇帖子的时候,我也预料不到结果,所以迟迟没有完结。不过现在我想是该开始完结的时候了,不过后续的更新还是有的。服务器的问题一直到现在还是那样,也没有什么大问题。不过最近今天频繁的网站错误。让我不得不开始想到重装了。不过重装之前,我还是想把问题给弄清楚。就比如带点文件的删除方法,如果删除不了,至少我要研究是怎么建立的。所以这几天就是要搭建一个真实的环境,测试带点文件删除和建立。好好的研究一下。另外还会写出服务器的安全配置。而且是针对入侵的措施。希望大家继续关注。

E8.ITSM在运维服务方面积累了丰富的行业经验,杜绝在日常运维过程中当“消防员似的救火”方式,让我们的运维变得更轻松自如。






上一篇:【北京】PRINCE2 Foundation & Practitioner开班啦(5月22-25)
下一篇:热烈祝贺北京ISO 20000 Auditor全部通过考试!
E8software

写了 60 篇文章,拥有财富 1649,被 4 人关注

致力于中国式流程管理领域 E8软件||ITSM解决方案||E8.Bank新资本协议下银行信贷服务平台||E8.NET工作流架构||
您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies

成为第一个吐槽的人

Powered by IT 运维管理
返回顶部