经过我们的Linux服务器的频繁崩溃,分析发现,服务器被导致崩溃的IP 74.125.79.118从托pipe网站的PHP脚本离开的大量连接。
在深入分析这些文件之后,我不相信服务器上有任何恶意软件。
IP是74.125.79.118是Google。 谷歌search后,我知道这个IP的连接是由YouTube网站上的embedded式video生成的。
但是我不明白这种行为是如何导致服务器崩溃的,这种情况的独特性使我认为这种情况远不能仅归因于Google和Youtube。
此外,我发现阻断从eth0到74.125.79.118:80连接并不能解决问题,但是如果我阻止从eth0到internet的DNS通信,到74.125.79.118连接将停止。
我对此很困惑。 任何build议?
我已经用Clamav进行了一次扫描。看起来糟糕的脚本导致了这个头痛。 解决了。 谢谢。
那么,embedded式video是由客户端(通常是用户浏览器)下载的。 您的服务器从YouTube下载的事实似乎表明,某些脚本正在做(可能是为了caching目的)。
您可以尝试使用ip和/或youtube.com来查找执行此操作的脚本,如果它违反了您的TOS,则可以暂停用户/请求他删除该脚本。
顺便说一句,阻止DNS的事实停止这种行为表明,脚本使用FQDN而不是你看到的IP。 所以你可以从一个grep youtube.com开始,看看是否有东西popup。
编辑
对不起,我忘了,服务器崩溃的事实似乎表明,使用的资源非常高。 它是一个虚拟机或一个真正的服务器?