为什么网站服务器CPU突然飙升到百分之百?可能有人正在暴力破解你的密码!

网站服务器CPU突然飙升到百分之百

“在某天早上9点多的时候,我打开网站后台,想去更新个产品,结果页面转了十几秒都还没进去。当时我还以为是网速不好,后来,我试试连前台都打不开了。后面,我问了开发商才知道,服务器的CPU,居然从凌晨开始就一直在百分之百,跑到现在都快八个小时了😮。”

服务器CUP满了网站瘫痪打不开

一个做建材批发的老板上个月经历了这件事情。他的网站用了快两年了,一直都还挺稳定的,但是突然有一天连首页都打不开了。后来一查日志才发现,从凌晨开始就有人在疯狂尝试登录他的网站后台,一秒钟试几十次,连续试了几个小时。服务器CPU资源全部被这些恶意登录请求占满了,正常的访问请求根本处理不了,网站直接就瘫痪。

这种情况在技术上叫“暴力破解”,是目前中小企业网站最常见的攻击方式之一。今天把这个事拆开讲清楚:CPU为什么会突然飙升、怎么判断是不是被攻击了、以及该怎么防。

拆开讲清楚什么叫暴力破解

一、CPU突然飙到百分之百,服务器像发高烧一样

服务器CPU就跟人的大脑一样,平时处理正常请求,负载可能只有百分之二三十。但是,一旦被恶意攻击,CPU直接就会飙到百分之百,就像一个人,突然被逼着同时做一百道数学题,脑子直接就转不动了,其他什么事都干不了。

暴力破解后台密码是最常见的原因

大部分的企业网站,他们的后台登录地址都是默认的,比如,在域名后面加个“/admin”,攻击者用他们的脚本,开启自动扫描就能找到。当找到之后,他们就开始用密码字典库自动批量尝试登录。一秒钟试几十个密码,连续试几个小时甚至几天,服务器CPU资源全部在处理这些登录请求,正常的用户访问根本排不上队。


为什么攻击者会盯上你的网站?不是因为你得罪了谁,而是这些攻击是全自动的,到处撒网。他们用脚本批量扫描网上的网站,扫到有后台登录入口的就自动开始暴力破解。

目的可能是黑进后台挂广告、挂博彩链接,也可能是植入恶意代码把访问者引导到别的网站,甚至直接在后台加密你的数据库文件索要赎金。

网站被黑的目的

还有几种情况也会导致CPU飙升

除了暴力破解,还有几种情况也会让服务器CPU突然飙升。其中一种是网站被大量的恶意爬虫抓取,比如有竞争对手或者某些采集工具用脚本疯狂抓你网站上的产品信息和图片,短时间内发起大量请求。另一种是服务器被植入了挖矿脚本,黑客之前通过漏洞入侵了服务器,在里面跑了挖矿程序,CPU一直处于高负载状态。还有一种是网站程序本身有死循环或内存泄漏,某个功能触发了一个无限循环的代码,服务器CPU和内存也会被持续消耗。

二、怎么判断网站是不是被攻击了?

CPU飙升之后,不要第一反应就觉得是因为“服务器配置不够要升级”。我们要首先排查一下原因,否则升级了配置也还是会被攻陷的。

第一步:看服务器的监控数据

登录服务器的管理后台,查看CPU、内存、带宽等这些监控图表。如果CPU是在某个时间点突然飙升并持续高负载,而不是随着访问量慢慢涨上去的,那大概率就是异常请求导致的。

第二步:看网站访问日志

登录服务器或者网站后台,找到网站访问日志文件。重点看那些同一个IP地址短时间内请求了几十次甚至上几百次的记录,特别是大量指向登录接口的POST请求。如果你看到某个IP一秒钟请求了十几次你的后台登录地址,那基本就能确定是在暴力破解了。

第三步:看进程列表

如果发现有不认识的进程占用了大量CPU资源,特别是进程名称看起来随机或者伪装成系统进程的,很有可能是被植入了挖矿脚本或者后门程序。

三、确认被攻击了,第一时间怎么处理?

立即封掉攻击来源IP

在服务器安全组或者防火墙里把那些恶意请求的IP地址全部封掉。如果你用的是云服务器,可以直接在控制台的安全组设置里添加拒绝规则。这个操作能立刻阻断攻击流量,让服务器CPU降下来。

改掉所有和后台相关的密码

后台的管理员密码、数据库的密码、服务器的登录密码,全部都改掉。密码长度至少十二位以上,包含要大小写字母、数字和特殊符号。不要用admin、123456、公司名拼音这类容易猜到的基础密码。

检查有没有被植入后门

如果攻击者已经通过暴力破解进入了后台,他们可能在网站目录里留下了后门文件,方便下次再来。用杀毒软件或安全扫描工具扫描一遍网站目录,重点看最近被修改过的文件,特别是那些你不认识的文件名。

四、怎么提前防住暴力破解?

把后台登录地址改掉

不要用默认的“域名/admin”这种地址,改成只有你自己知道的路径。相当于把你的后台入口从大门改成一个不起眼的侧门,攻击者的自动扫描工具找不到入口,暴力破解就无从下手。

限制后台登录尝试次数

设置一个规则:同一个IP连续输错几次密码,就暂时禁止这个IP访问一段时间。这样攻击者的脚本试几次就被关在外面,无法连续暴力破解。

给后台加验证码或者二次验证

在后台登录页面加上图形验证码或者手机验证码。这层防护能挡住绝大多数自动脚本,因为它们没办法自动识别验证码。

安装基础安全防护

在服务器上安装基础防火墙或者安全软件,能自动识别并拦截常见的攻击请求。或者使用带有WAF功能的云服务,在攻击流量到达服务器之前就被拦截了,就不会消耗服务器的资源。

定期查看服务器监控和日志

养成定期登录服务器看一眼CPU和流量监控的习惯。如果发现有异常的波动,需要及时去排查,别等到网站完全打不开了才发现。

五、说点实在的

服务器CPU突然飙到百分之百,排查下来多半不是硬件配置的问题,而是安全防护没做到位。很多中小企业的网站建设时把精力全放在页面好不好看、功能多不多上,安全这块基本没考虑过。比如后台入口用默认地址、密码设置的又太简单、登录又没有任何的限制,这些看似省事的小细节,每一个都可能成为黑客攻击你的突破口。

像鑫时带科技在给客户做网站开发的时候,会把服务器安全基础配置、后台地址自定义、登录次数限制、防火墙安装这些防护措施提前做好,不给暴力破解留可乘之机。

安全防护不是出了事才去补,而是在建站阶段就应该打好的地基。花一个下午把上面的防护措施检查一遍,比服务器瘫痪了再紧急修复省心得多。别等到CPU飙到百分之百、网站打不开了,才想起来安全的事还没做。

👨‍💻

深圳鑫时带科技

专业的网站建设与小程序开发软件服务商企业,免费提供解决方案,根据您的项目类型、预算与周期,快速精准匹配需求,省去您到处找人、反复筛选的麻烦,用技术助力企业增长。