存档在 2011年4月

最近服务器被攻击与不正常分析报告

2011年4月7日

1、服务器被攻击,流量达到GB级别,IP被封,并没过几天连续再次被封
2、开始服务器总是远程连接不上,重启动又好了,有时候一天,有时候两天,有几个几个小时
3、反复沟通过一些合作伙伴,说有可能是系统的问题,不得不的了个的士去重装了系统(因为系统做的raid1,忘记带驱动了,还让主板销售那儿去重装了,以为好了,结果回来的当晚睡得很香,第二天早上还没睡醒就又接到客户电话说网站不行了,晕(好景不长在,好梦不长有…)… …)
4、想来想去也想不出什么问题,想了一个能ping通,说明网络应当是正常的,但远程连接不上有可能是系统问题,但系统也重装了,跟朋友沟通后想有可能是网卡的问题,就让公司技术员带了网卡过去,结果网卡装不上,哈哈1U的机箱… … 他带了USB网卡,让他先装上用… …
5、第二天果然好了很多,只是有些慢… 又打的过去看,想买个PCI转换卡将网卡横插,去就近的电脑城找,结果整个电脑城都没有,然后就去太平洋附近找,找到一个,打的回去装,刚一装上只插上电源就冒烟了(后来才发现,我买的D-LINK网卡是两个插槽,正着插或反着插都能行,没想到居然给插反了,开始还在想网卡口在机箱里面了怎么接线,是后来再去买的时候多备用了一张TP-link的网卡才发现这个低级错误的… …)… …晕,赶紧将电源给关了!!!然后再装上USB继续使用,再去电脑城找这类主板,想将主机换了,结果没有货… … 不得不再买了几个转换卡与多买了一张TP-link的网卡,回来试来想去的为了安全起见,还是直接装了TP-link的网卡(虽然机盖装不上,有一点高,将机箱背板给折来整去的,最后还是装上了),调了一天,跟机房的工作人员沟通了一天,最后发现是超流量导致(虚拟主机平台一打开就整个服务器瘫痪,确定是这个站的问题,然后给虚拟主机平台商,经他沟通后将账号密码发给他查看,发现有外部搜索引擎一直在访问站上的一个MP3… 小妹妹.mp3,晕倒了!!!!)的… … 才想起过年的时候放了黄英的“小妹妹.mp3”在上面听… 做自己的博客背景音乐!!!!!!晕了,一移开果然OK,没想到MP3再次在我做服务器的时候害了我一次… … 怎么也没想到,原来流量大了也会影响到发展!!!!!!机房的工作人员是这样说的“在中国,流量是钱呀,特别是在中国……”看样子中国的硬件基础应当更加强了… … 现在服务器一切基本正常!!!!!!

W3SVC警告

2011年4月5日

事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 1011
日期: 2011-4-5
事件: 14:48:46
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
为应用程序池 ‘AppPool_net1.1’ 提供服务的进程在与 World Wide Web Publishing 服务通信时遇到致命错误。进程 ID 为 ‘3192’。数据字段包含错误号。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 6d 00 07 80 m..€

TermServDevices跟后台打印程序系统服务通讯时出现错误

2011年4月5日

事件类型: 警告
事件来源: TermServDevices
事件种类: 无
事件 ID: 1114
日期: 2011-4-5
事件: 15:28:37
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 00 00 00 00 bc 02 00 00 ….¼…

W3SVC错误

2011年4月5日

事件类型: 错误
事件来源: W3SVC
事件种类: 无
事件 ID: 1003
日期: 2011-4-5
事件: 15:44:12
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
不能为站点 ‘785783667’ 注册 URL 前缀 ‘http://http://xyq.cbg.163.com-uyg.tk/:80:124.172.234.198/’。URL 可能无效。此站点被解除活动状态。数据字段包含错误号。

此错属于绑定的时候多增加了一个”http://”

Service Control Manager

2011年4月5日

事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7036
日期: 2011-4-5
事件: 17:40:04
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
WMI Performance Adapter 服务处于 停止 状态。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

Removable Storage Service

2011年4月5日

事件类型: 信息
事件来源: Removable Storage Service
事件种类: 无
事件 ID: 98
日期: 2011-4-5
事件: 19:34:37
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
RSM 被终止。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

Service Control Manager

2011年4月5日

事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7035
日期: 2011-4-5
事件: 19:46:34
用户: ASD-CO4CMGA9J69\Administrator
计算机: ASD-CO4CMGA9J69
描述:
FinalWire EVEREST Kernel Driver 服务成功发送一个 开始 控件。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

TermService

2011年4月5日

事件类型: 错误
事件来源: TermService
事件种类: 无
事件 ID: 1006
日期: 2011-4-5
事件: 23:20:14
用户: N/A
计算机: ASD-CO4CMGA9J69
描述:
终端服务器收到大量没有完成的连接。系统可能受到攻击。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: dc a4 90 ca ܤÊ

Ntfs

2011年4月5日

磁盘上的文件系统结构已损坏,不能使用。 请在卷 \Device\HarddiskVolume1 上运行 chkdsk 实用程序。

阵列“Array_0000”的状态从“正在初始化”更改为“无活动迁移”

2011年4月5日

阵列“Array_0000”的状态从“正在初始化”更改为“无活动迁移”。
系统报告:-
英特尔 RAID 控制器:Intel(R) ICH7R/DH SATA RAID Controller
串行 ATA 端口数目:4

RAID Option ROM 版本:5.6.2.1002
驱动程序版本:8.0.0.1039
RAID 插件版本:8.0.0.1039
RAID 插件语言资源版本:找不到文件
创建卷向导版本:8.0.0.1039
创建卷向导语言资源版本:找不到文件
从现有硬驱创建卷向导版本:8.0.0.1039
从现有硬驱创建卷向导语言资源版本:找不到文件
修改卷向导版本:8.0.0.1039
修改卷向导语言资源版本:找不到文件
删除卷向导版本:8.0.0.1039
删除卷向导语言资源版本:找不到文件
ISDI 库版本:8.0.0.1039
事件监视器用户通知工具版本:8.0.0.1039
事件监视器用户通知工具语言资源版本:找不到文件
事件监视器版本:8.0.0.1039

Array_0000
状态:无活动迁移
硬驱数据高速缓存已启用:是
大小:1397.2 GB
可用空间:0 GB
硬驱数目:2
硬驱成员 1:ST3750330NS
硬驱成员 2:ST3750330NS
卷数目:1
卷成员 1:raide1

raide1
状态:正常
系统卷:否
卷回写高速缓存已启用:是
RAID 级别:RAID 1(镜像)
大小:698.6 GB
物理扇区大小:512 字节
逻辑扇区大小:512 字节
硬驱数目:2
硬驱成员 1:ST3750330NS
硬驱成员 2:ST3750330NS
父阵列:Array_0000

硬驱 0
用途:非 RAID 硬驱
状态:正常
设备端口:0
设备端口位置:内部
当前串行 ATA 传输模式:第 2 代
型号:ST31000528AS
序列号:6VPAT32C
固件:CC44
本地命令排队支持:是
系统硬驱:是
大小:931.5 GB
物理扇区大小:512 字节
逻辑扇区大小:512 字节

硬驱 1
用途:阵列成员
状态:正常
设备端口:1
设备端口位置:内部
当前串行 ATA 传输模式:第 2 代
型号:ST3750330NS
序列号:5QK0F6BB
固件:SN16
本地命令排队支持:是
硬驱数据高速缓存已启用:是
大小:698.6 GB
物理扇区大小:512 字节
逻辑扇区大小:512 字节
卷数目:1
卷成员 1:raide1
父阵列:Array_0000

硬驱 2
用途:阵列成员
状态:正常
设备端口:3
设备端口位置:内部
当前串行 ATA 传输模式:第 1 代
型号:ST3750330NS
序列号:9QK1TLKL
固件:SN06
本地命令排队支持:是
硬驱数据高速缓存已启用:是
大小:698.6 GB
物理扇区大小:512 字节
逻辑扇区大小:512 字节
卷数目:1
卷成员 1:raide1
父阵列:Array_0000

未使用的端口 0
设备端口:2
设备端口位置:内部

Alexa排名查询 PR值查询 百度指数查询