近兩週伺服器的運作一直出現異常的現象,由於剛好出國一週,也沒時間去監控Log,回台灣後就聽朋友說網頁連接速度很慢,等到察看Log之後,才發現又有狀況發生了。
這一次的狀況是防火牆監控到有個Process一直嘗試透過TCP的某一個Port來與外面連接,而這一組規則並不在防火牆的允許清單內,所以被阻擋下來。而幾乎每分鐘會嘗試連接個十次左右,再察看了一下CPU的使用率,已經達到百分之百,而網路頻寬流量只有40%左右,所以我懷疑是不是中毒了。
查詢了一下log,是qserver.exe這個Process一直在執行,且耗損CPU的資源。剛開始查詢資料以為是Worm或Trojan所造成的,但檢查了機碼之後,在「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」裡面並沒有發現被值入其他的資料。因此這應該不是Worm或Trojan。
再仔細搜尋這個Process,發現跟NAV有關,終於真相大白,這是Symantec Central Quarantine Server的漏洞,需要進行更新才行。這漏洞會造成CPU利用率達百分之百,這樣其他的Process就無法分配到適當的資源來運作,所以網頁載入速度當然就變慢或Timeout而斷線啦!找了半天原來是漏洞沒修補到所造成的問題。現在修補漏洞成了系統管理者的重大責任之一了。問題是漏洞永遠都補不完,而永遠都會有新病毒產生。
參考資料:
http://securityresponse.symantec.com/avcenter/security/Content/2003.07.29.html
回應管理, Pingbacks:
這篇文章還沒有 回應管理/Pingbacks ...