2008/06/24

該死的 sosospider

正在做例行的伺服器維護時,突然系統變得超慢,用 vmstat 一看

procs memory page disk faults cpu
r b w avm fre flt re pi po fr sr ad0 in sy cs us sy id
136 29 0 1767964 30084 75528 6449 344 1952 19101 3716299 54 83147 0 120759 53 47 0
132 16 0 1690556 30944 39779 3063 309 224 9382 932991 30 71882 0 112895 53 47 0
153 20 0 1716916 41504 70373 6371 313 2848 20009 3229680 51 157679 0 277140 41 59 0


哇!正在跑的 process 竟然飆到 130 以上,難怪系統超慢。追查之後發現是從 124.115.0.xxx 與 124.115.4.xxx 來的 http request 把伺服器搞掛。Google 一下這幾個 IP,原來正是惡名昭彰的騰訊 sosospider。因此二話不說,直接把這兩個網段 ban 掉


ipfw add 100 deny tcp from 124.115.0.1/24 to any
ipfw add 100 deny tcp from 124.115.4.1/24 to any


再用 vmstat 觀察一下,馬上就恢復正常了

procs memory page disk faults cpu
r b w avm fre flt re pi po fr sr ad0 in sy cs us sy id
156 18 0 1721036 31456 44789 4409 340 736 6014 1109953 36 90724 0 157802 43 57 0
144 22 0 1738760 29972 50467 4974 437 1600 10285 1768221 57 81266 0 136508 46 54 0
39 34 0 1762924 33188 54962 2551 958 704 19168 971608 62 58070 0 92074 52 48 0
4 7 0 1650664 59108 23262 481 285 0 18632 0 50 17862 0 33268 39 61 0
0 1 0 1628484 65848 3535 10 98 0 4956 0 75 781 0 1926 27 58 15
0 1 0 1619168 69368 1420 18 0 0 1384 0 2 614 0 694 11 30 59


之後看一下封鎖的狀況: ipfw show

00100 165903 9944820 deny tcp from 124.115.0.0/24 to any
00100 59700 3579864 deny tcp from 124.115.4.0/24 to any

總共 try 了二十幾萬次,真是惡質...

沒有留言:

張貼留言