近兩週伺服器的運作一直出現異常的現象,由於剛好出國一週,也沒時間去監控Log,回台灣後就聽朋友說網頁連接速度很慢,等到察看Log之後,才發現又有狀況發生了。

這一次的狀況是防火牆監控到有個Process一直嘗試透過TCP的某一個Port來與外面連接,而這一組規則並不在防火牆的允許清單內,所以被阻擋下來。而幾乎每分鐘會嘗試連接個十次左右,再察看了一下CPU的使用率,已經達到百分之百,而網路頻寬流量只有40%左右,所以我懷疑是不是中毒了。

查詢了一下log,是qserver.exe這個Process一直在執行,且耗損CPU的資源。剛開始查詢資料以為是Worm或Trojan所造成的,但檢查了機碼之後,在「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」裡面並沒有發現被值入其他的資料。因此這應該不是Worm或Trojan。

再仔細搜尋這個Process,發現跟NAV有關,終於真相大白,這是Symantec Central Quarantine Server的漏洞,需要進行更新才行。這漏洞會造成CPU利用率達百分之百,這樣其他的Process就無法分配到適當的資源來運作,所以網頁載入速度當然就變慢或Timeout而斷線啦!找了半天原來是漏洞沒修補到所造成的問題。現在修補漏洞成了系統管理者的重大責任之一了。問題是漏洞永遠都補不完,而永遠都會有新病毒產生。

參考資料:
http://securityresponse.symantec.com/avcenter/security/Content/2003.07.29.html





2005-10-13  -  duncan Email  -  1417  -  資訊工程 - 讀者回應

回應管理, Pingbacks:

這篇文章還沒有 回應管理/Pingbacks ...

讀者回應:


你的Email位址將不會顯示在這個站點.

您的URL將被顯示.

允許的XHTML標記: <p, ul, ol, li, dl, dt, dd, address, blockquote, ins, del, span, bdo, br, em, strong, dfn, code, samp, kdb, var, cite, abbr, acronym, q, sub, sup, tt, i, b, big, small>
Enter this code:
authimage

(換行會被轉換為 <br /> 標記)
(將你的姓名及Email及網址記在Cookie中)
(讓使用者可以直接寫訊息給你(不會顯示你的Email).)

上一篇文章: Wedding下一篇文章: 當機事件