网络安全
通过漏洞和共享进行传播的蠕虫病毒Win32/IRCBot.EP。
Win32/IRCBot.EP病毒描述:
冠群金辰提醒您注意通过漏洞和共享进行传播的蠕虫病毒Win32/IRCBot.EP。
Win32/IRCBot.EP 通过Microsoft Windows LSASS buffer overflow vulnerability (MS04-011)漏洞进行传播。这是一个老的系统漏洞,但是仍然有用户没有安装此漏洞补丁,造成感染病毒的危害。没有安装此漏洞补丁的用户,请到以下站点下载微软MS04-011漏洞补丁:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Win32/IRCBot.EP 还会在所有可利用的网络共享中都会生成一个病毒副本,并在所有可移动驱动器上生成"autorunme.exe"病毒副本。同时还会生成"autorun.inf"文件,当下一次访问驱动器时,自动运行蠕虫。
Win32/IRCBot.EP病毒危害:
Win32/IRCBot.EP 能够打开一个后门进行监听,并从远程计算机获取命令。
Win32/IRCBot.EP通过将病毒文件加入到Windows 防火墙的可信任软件中,规避Windows 防火墙。
关于此病毒的详细信息,请访问以下站点介绍:
http://www.kill.com.cn/vir/ruchong/middle/5343.asp
建议:
及时安装微软MS04-011漏洞补丁;
不要随意运行exe文件;
设置强壮的管理员帐号;
及时升级杀毒软件进行扫描。
“KILL”提示大家:
1.不要随意运行邮件的附件,尤其是英文邮件。
2.最好及时升级病毒代码库。
3.建议企业级用户使用网关型产品。
4.关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
Win32/IRCBot.EP病毒描述:
冠群金辰提醒您注意通过漏洞和共享进行传播的蠕虫病毒Win32/IRCBot.EP。
Win32/IRCBot.EP 通过Microsoft Windows LSASS buffer overflow vulnerability (MS04-011)漏洞进行传播。这是一个老的系统漏洞,但是仍然有用户没有安装此漏洞补丁,造成感染病毒的危害。没有安装此漏洞补丁的用户,请到以下站点下载微软MS04-011漏洞补丁:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Win32/IRCBot.EP 还会在所有可利用的网络共享中都会生成一个病毒副本,并在所有可移动驱动器上生成"autorunme.exe"病毒副本。同时还会生成"autorun.inf"文件,当下一次访问驱动器时,自动运行蠕虫。
Win32/IRCBot.EP病毒危害:
Win32/IRCBot.EP 能够打开一个后门进行监听,并从远程计算机获取命令。
Win32/IRCBot.EP通过将病毒文件加入到Windows 防火墙的可信任软件中,规避Windows 防火墙。
关于此病毒的详细信息,请访问以下站点介绍:
http://www.kill.com.cn/vir/ruchong/middle/5343.asp
建议:
及时安装微软MS04-011漏洞补丁;
不要随意运行exe文件;
设置强壮的管理员帐号;
及时升级杀毒软件进行扫描。
“KILL”提示大家:
1.不要随意运行邮件的附件,尤其是英文邮件。
2.最好及时升级病毒代码库。
3.建议企业级用户使用网关型产品。
4.关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
微软又有新补丁了,天天补天天缝。我新买的盗版系统都有20多个补丁要打,拿出我两年前的系统盘装过后,有二百个补丁要打,真多啊!自然微软都出了补丁,咱也别例外了打上吧,别搞黑屏就中!
瑞星被屏蔽了。看看是不是中了rsvv.pif病毒。可以在DOS状态下C:盘根目录下面查看隐藏文件,如果发现有rsvv.pifsvs.pif之类的文件就是了,其它盘D:、E:、F:依次查看。
a)这个病毒会屏蔽注册表、KAV、RAV、RISING和病毒防火墙,一旦执行相应的文件,就会被强行关闭或者是提示文件正在被使用。
b)会在C:\Documents and Settings\All Users目录下产生如2.pif、8.pif、10.pif、c.pif等之类的文件。
c)会改写各盘下的autorun.inf文件,双击打开各盘后自动执行rsvv.pif,使系统再次感染病毒,所以在杀病毒过程中切不可做其它操作,让计算机杀毒完后再做其它操作。
d)RSVV.PIF病毒还更改了注册表项,使用户在双击打开硬盘的时候执行rsvv.pif文件。
e)RSVV.PIF病毒的顽固性在于,计算机不能进入安全模式,所以和一般的病毒有很大区别。
f)更改系统时钟,使病毒程序启动后会误认为注册码失效或与授权时间不符而拒绝工作。
一、杀毒:新建一个文件夹,将Kaspersky (本例以卡巴斯基为例,如果装有其它杀毒软件,办法也一样的)avp.exe文件拷到里面。然后改名为a.com,再将kav内的所有文件一起拷贝过来。(这样做的目的是,病毒改变了Kaspersky 目录的属性,不允许在Kaspersky 目录下作任何增删改的操作,所以只有把原文件拷贝出来改名,将其它DLL文件及病毒库文件也拷过来一起执行)。有意思的是,卡巴斯基不认为rsvv.pif、svs.pif是病毒。。。。但是会找出隐藏在system32及windows目录下的其它变种。
二、手工查杀:进入DOS状态,再进入各盘根目录。
1、dir /a *.pif (显示所以扩展名为pif的文件)
2、attrib -s -h -a -r rsvv.pif (去掉文件的保护属性)
3、del rsvv.pif (删除文件)
4、重复2、3步骤,删除其它pif文件,svs.pif
5、在DOS状态下转换入D:、E:、F:。。。。重复1~4步骤。
三、好了,现在差不多了。打算整理注册表的话,将windows目录下的regedit.exe文件拷贝出来,改名为reg.com,然后执行。展开key_current_user/software/microsoft/windows/explorer/mountpoint2将里面所有的autorun里面值为rsvv.pif的删掉就行了。
四、待杀毒软件完全查杀后重启一下,再次进入DOS状态查看是否还有RSVV.PIF文件,如果没有就证明OK。
a)这个病毒会屏蔽注册表、KAV、RAV、RISING和病毒防火墙,一旦执行相应的文件,就会被强行关闭或者是提示文件正在被使用。
b)会在C:\Documents and Settings\All Users目录下产生如2.pif、8.pif、10.pif、c.pif等之类的文件。
c)会改写各盘下的autorun.inf文件,双击打开各盘后自动执行rsvv.pif,使系统再次感染病毒,所以在杀病毒过程中切不可做其它操作,让计算机杀毒完后再做其它操作。
d)RSVV.PIF病毒还更改了注册表项,使用户在双击打开硬盘的时候执行rsvv.pif文件。
e)RSVV.PIF病毒的顽固性在于,计算机不能进入安全模式,所以和一般的病毒有很大区别。
f)更改系统时钟,使病毒程序启动后会误认为注册码失效或与授权时间不符而拒绝工作。
一、杀毒:新建一个文件夹,将Kaspersky (本例以卡巴斯基为例,如果装有其它杀毒软件,办法也一样的)avp.exe文件拷到里面。然后改名为a.com,再将kav内的所有文件一起拷贝过来。(这样做的目的是,病毒改变了Kaspersky 目录的属性,不允许在Kaspersky 目录下作任何增删改的操作,所以只有把原文件拷贝出来改名,将其它DLL文件及病毒库文件也拷过来一起执行)。有意思的是,卡巴斯基不认为rsvv.pif、svs.pif是病毒。。。。但是会找出隐藏在system32及windows目录下的其它变种。
二、手工查杀:进入DOS状态,再进入各盘根目录。
1、dir /a *.pif (显示所以扩展名为pif的文件)
2、attrib -s -h -a -r rsvv.pif (去掉文件的保护属性)
3、del rsvv.pif (删除文件)
4、重复2、3步骤,删除其它pif文件,svs.pif
5、在DOS状态下转换入D:、E:、F:。。。。重复1~4步骤。
三、好了,现在差不多了。打算整理注册表的话,将windows目录下的regedit.exe文件拷贝出来,改名为reg.com,然后执行。展开key_current_user/software/microsoft/windows/explorer/mountpoint2将里面所有的autorun里面值为rsvv.pif的删掉就行了。
四、待杀毒软件完全查杀后重启一下,再次进入DOS状态查看是否还有RSVV.PIF文件,如果没有就证明OK。
到 http://faq.comsenz.com 搜索此错误的解决方案
错误类型:MySQL
错误编号:2003
错误信息:Can't connect to MySQL server on 'localhost'
现象及解决方案:
问题分析:
MySQL 服务没有启动,一般是在异常的情况下 MySQL 无法启动导致的,比如无可用的磁盘空间,my.ini 里 MySQL 的 basedir 路径设置错误等。
解决方法:
1.检查磁盘空间是否还有剩余可用空间,尽量保持有足够的磁盘空间可用。
2.检查 my.ini 里的 basedir 等参数设置是否正确,然后重新启动下 MySQL 服务。
用户信息反馈
Discuz! info: Can not connect to MySQL server
Time: 2007-11-13 6:25pm
Script: /bbs/index.php
Error: Can't connect to MySQL server on 'localhost' (10061)
Errno.: 2003
Similar error report has beed dispatched to administrator before.
正常情况下原因如下:
网站论坛访问量过大,数据库连接超过最大连接数.MYSQL数据库服务停止了.
解决方法(针对WIN系统):
1, 首先到系统服务里面找到MYSQL服务并启动MYSQL服务.
2, 到MYSQL安装目录找到MY.INI文件,打开MY.INI查找max_connections 修改连接数为1000 重启IIS与MYSQL服务.
最近公司服务器总出现CPU100%占用情况,服务器配置为双核Xeon3.0x2,2G ECC内存。发现是w3wp.exe长时间占用大量CPU.出现这种情况应该是网站程序存在死循环等问题所致。在找到问题以前可以暂时采取限制w3wp进程CPU使用率的方法保证网站可以将就着工作: 我的设置如下:
首先是对CPU的限制:在启用cpu监视后,我设置该应用程序池最大的cpu使用率为50%。设置刷新cpu时间为1分钟,设置操作为“关闭”。最大工作进程数设置为1。这个意思是,IIS刷新检测该独立池的CPU使用情况时间为1分钟,如果超过设置的cpu限制50%,就会发出关闭池的指令,要求池在指定的时间内关闭。如果池成功在这个时间内关闭,IIS会重启动一个新池,此段时间很短,一般不会有什么感觉,池就重新开启了,对于访问网站的人基本是不会有感觉的。但如果池没有在指定时间内关闭,IIS就会强行关闭它一个刷新CPU时间。在这个停止的时间内,网站无法访问,提示“Service Unavaliable”。
关闭时间和启动时间间隔设置:设短一些比如10秒,这样当您的网站程序大量占用系统资源时IIS自动快速回收进程并且快速启动进程,您的网站暂时还可以将就着工作。
对内存的限制及进程回收时间的设置:我设置为内存占用超过800M就自动回收内存,虚拟内存没有做限制。进程回收时间我保持默认没有修改。各位可以根据自己的情况设置更短的时间。对应用程序池最大虚拟内存也可以在此进行设置,超过了设置的最大虚拟内存,该池会就被回收。
最后综合落伍wlmmc的一些经验,总结一些需要注意的问题:
1、 要限制一个站点的CPU使用,必须将该站点设置为独立应用程序池,共用应用程序池是无法限制单个站点的。IIS独立应用程序池,就需要独立的进程,非常消耗内存。独立池越多,就有越多的W3WP进程。对于每个站点均要独立应用程序池的服务器,在一般的普通P43.0 2G内存的普通服务器上,建议不要超过50个站点,最好30以内,不然服务器压力非常大。在配置上,我一般把资源消耗较大的网站独立一个池,一般普通BBS或者生成HTML的系统大概5个站一个池。普通网站以及一些企业站点均共用一个池。
2、根据wlmmc的经验,在服务器硬件允许的情况下,一般不要限制站点内存使用,这样能够保证网站运行,不会出现用户掉线情况。需要限制某站的最大虚拟内存不要小于64M,不然可能出现一些未知的错误。
3、这些都不是根本解决办法,它的根本问题是网站程序有问题,要解决根本问题还要从程序查起。根据本文开头提到的方法查到具体的应用程序池,找到使用此应用程序池的网站,解决网站程序存在的问题,如死循环之类。
4、除了w3wp.exe, 在调用数据库进行大量查询操作的时候,也会大量占用CPU资源,这是难免的(数据库方面的语句及结构优化不在本文讨论范围之内)。个人认为,只要不是CPU长时间占用100%, 一般在75%左右都是正常的。
引用:
在IIS6下,经常出现w3wp.exe的内存及CPU占用不能及时释放,从而导致服务器响应速度很慢。
解决CPU占用过多:
1、在IIS中对每个网站进行单独的应用程序池配置。即互相之间不影响。
2、设置应用程序池的CPU监视,不超过25%(服务器为4CPU),每分钟刷新,超过限制时关闭。
根据w3wp取得是哪一个应用程序池:
1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid
2、在命令提示符下运行iisapp -a。注意,第一次运行,会提示没有js支持,点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池。(iisapp实际上是存放在 C:\windows\system32目录下的一个VBS脚本,全名为iisapp.vbs,如果你和我一样,也禁止了Vbs默认关联程序,那么就需要手动到该目录,先择打开方式,然后选“Microsoft (r) Windows Based Script. Host”来执行,就可以得到PID与应用程序池的对应关系。)
3、到iis中察看该应用程序池对应的网站,就ok了,做出上面的内存或CPU方面的限制,或检查程序有无死循环之类的问题。
解决内存占用过多,可以做以下配置:
1、在IIS中对每个网站进行单独的应用程序池配置。即互相之间不影响。
2、设置应用程序池的回收时间,默认为1720小时,可以根据情况修改。再设置当内存占用超过多少(如500M),就自动回收内存。
首先是对CPU的限制:在启用cpu监视后,我设置该应用程序池最大的cpu使用率为50%。设置刷新cpu时间为1分钟,设置操作为“关闭”。最大工作进程数设置为1。这个意思是,IIS刷新检测该独立池的CPU使用情况时间为1分钟,如果超过设置的cpu限制50%,就会发出关闭池的指令,要求池在指定的时间内关闭。如果池成功在这个时间内关闭,IIS会重启动一个新池,此段时间很短,一般不会有什么感觉,池就重新开启了,对于访问网站的人基本是不会有感觉的。但如果池没有在指定时间内关闭,IIS就会强行关闭它一个刷新CPU时间。在这个停止的时间内,网站无法访问,提示“Service Unavaliable”。
关闭时间和启动时间间隔设置:设短一些比如10秒,这样当您的网站程序大量占用系统资源时IIS自动快速回收进程并且快速启动进程,您的网站暂时还可以将就着工作。
对内存的限制及进程回收时间的设置:我设置为内存占用超过800M就自动回收内存,虚拟内存没有做限制。进程回收时间我保持默认没有修改。各位可以根据自己的情况设置更短的时间。对应用程序池最大虚拟内存也可以在此进行设置,超过了设置的最大虚拟内存,该池会就被回收。
最后综合落伍wlmmc的一些经验,总结一些需要注意的问题:
1、 要限制一个站点的CPU使用,必须将该站点设置为独立应用程序池,共用应用程序池是无法限制单个站点的。IIS独立应用程序池,就需要独立的进程,非常消耗内存。独立池越多,就有越多的W3WP进程。对于每个站点均要独立应用程序池的服务器,在一般的普通P43.0 2G内存的普通服务器上,建议不要超过50个站点,最好30以内,不然服务器压力非常大。在配置上,我一般把资源消耗较大的网站独立一个池,一般普通BBS或者生成HTML的系统大概5个站一个池。普通网站以及一些企业站点均共用一个池。
2、根据wlmmc的经验,在服务器硬件允许的情况下,一般不要限制站点内存使用,这样能够保证网站运行,不会出现用户掉线情况。需要限制某站的最大虚拟内存不要小于64M,不然可能出现一些未知的错误。
3、这些都不是根本解决办法,它的根本问题是网站程序有问题,要解决根本问题还要从程序查起。根据本文开头提到的方法查到具体的应用程序池,找到使用此应用程序池的网站,解决网站程序存在的问题,如死循环之类。
4、除了w3wp.exe, 在调用数据库进行大量查询操作的时候,也会大量占用CPU资源,这是难免的(数据库方面的语句及结构优化不在本文讨论范围之内)。个人认为,只要不是CPU长时间占用100%, 一般在75%左右都是正常的。
服务器正常运行CUP一般应该都在60%以下,有时候CUP出现上下波动很大,或者是服务器突然很卡,或很慢.查看任务管理器,可以发现很多的w3wp.exe消耗CPU,结束后立即有新的w3wp.exe出现占CPU,管管理员在这种情况.只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其他线程只能等待,IIS被死锁了,全部的CPU时间都消耗在w3wp.exe中。
解决办法:1
在iis管理器里面设置多个应用程序池, 并把虚拟主机站点分别加入应用程序池。在多应用程序池的情况下,每个应用程序池会对应生成一个w3wp.exe文件。通过任务管理器可以查看到所有w3wp.exe占用cpu利用率情况。 通过iis管理器打开应用程序池,可以逐个停掉应用程序池。一边停应用程序池,一边在任务管理器里面观察哪个w3wp.exe的cpu利用率一下子从降下来,cpu利用率恢复正常。这样可以判断是那个应用程序池出了问题。然后可以再建立多个应用程序池,每一个应用程序池对应一个站点。这样逐个停应用程序池,就可以确定到底是哪个网站出问题。最有问题的往往是计数器类的ACCESS文件,例如:“**COUNT.MDB” ,“*COUNT.ASP”,找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决。
解决办法:2
w3wp.exe占用cpu过高查询方法,很多web提供商最头疼的问题,在任务管理器经常出现w3wp.exe占cup过高,导致整台服务器受影响.解决办法如下:
1.先把任务管理器打开,发现那个w3wp.exe占cup关高就结束进程
2.在我的电脑-管理-事件查看器-系统-会找到关w3wp.exe的错误报告,把程序池名字记录下,再把具体时间记录下来.(如12.59.56).
3.在到系统上面的安全性.找到对应时间(如12.59.56)登陆过的用户.
4.打开iis找到2中查询到的程序池,和3查询到登陆过的用户,取交集,即可精确查到是那个web占点站cup
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其他线程只能等待,IIS被死锁了,全部的CPU时间都消耗在w3wp.exe中。
解决办法:1
在iis管理器里面设置多个应用程序池, 并把虚拟主机站点分别加入应用程序池。在多应用程序池的情况下,每个应用程序池会对应生成一个w3wp.exe文件。通过任务管理器可以查看到所有w3wp.exe占用cpu利用率情况。 通过iis管理器打开应用程序池,可以逐个停掉应用程序池。一边停应用程序池,一边在任务管理器里面观察哪个w3wp.exe的cpu利用率一下子从降下来,cpu利用率恢复正常。这样可以判断是那个应用程序池出了问题。然后可以再建立多个应用程序池,每一个应用程序池对应一个站点。这样逐个停应用程序池,就可以确定到底是哪个网站出问题。最有问题的往往是计数器类的ACCESS文件,例如:“**COUNT.MDB” ,“*COUNT.ASP”,找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决。
解决办法:2
w3wp.exe占用cpu过高查询方法,很多web提供商最头疼的问题,在任务管理器经常出现w3wp.exe占cup过高,导致整台服务器受影响.解决办法如下:
1.先把任务管理器打开,发现那个w3wp.exe占cup关高就结束进程
2.在我的电脑-管理-事件查看器-系统-会找到关w3wp.exe的错误报告,把程序池名字记录下,再把具体时间记录下来.(如12.59.56).
3.在到系统上面的安全性.找到对应时间(如12.59.56)登陆过的用户.
4.打开iis找到2中查询到的程序池,和3查询到登陆过的用户,取交集,即可精确查到是那个web占点站cup
分页: 1/3 
