幾乎每隔一段時(shí)間就遇到有客戶反映這樣的問題:我網(wǎng)站打開速度怎么這么慢�����?我網(wǎng)站空間怎么又滿了?諸如此類問題�,我們?cè)诜?wù)器運(yùn)維過程中發(fā)現(xiàn)�����,大多都出在使用了開源內(nèi)容管理系統(tǒng)的那些網(wǎng)站身上�,主要是遭受了泛掃描式的黑客攻擊。
什么是開源內(nèi)容管理系統(tǒng)�����?
指 的是互聯(lián)網(wǎng)上那些公開源代碼���,可以讓用戶免費(fèi)下載使用的網(wǎng)站內(nèi)容管理系統(tǒng)����,也叫 CMS ( Content Management System ) ��,使用這種系統(tǒng)的確會(huì)節(jié)省開發(fā)成本���,網(wǎng)站建設(shè)人員只需要做一下頁(yè)面設(shè)計(jì)�,然后套用開源系統(tǒng),就可以簡(jiǎn)單地搭建好一個(gè)網(wǎng)站�����。
很多技術(shù)開發(fā)能力 相對(duì)薄弱的網(wǎng)站建設(shè)公司���,都會(huì)采用這種開源系統(tǒng)����,這在業(yè)內(nèi)已經(jīng)是公開的潛規(guī)則了���。我們常見的開源內(nèi)容管理系統(tǒng)有:DEDECMS ( 織夢(mèng) ) �、ECMS ( 帝國(guó) ) �����、PHPCMS����、wordpress、discuz 等�。這些開源系統(tǒng)大多都是使用 PHP 語(yǔ)言開發(fā)的。
使用開源內(nèi)容管理系統(tǒng)有什么弊端��?
由于開源免費(fèi),在互聯(lián)網(wǎng)上公開發(fā)布源代碼��,很多系統(tǒng)漏洞���,就不斷地被開發(fā)者們發(fā)現(xiàn)��,接著又被黑客利用,他們甚至開發(fā)出了專門針對(duì)這類系統(tǒng)的黑客掃描和自動(dòng)攻擊的軟件����,滿互聯(lián)網(wǎng)上去搜索這些網(wǎng)站,然后進(jìn)行泛攻擊�,以獲得更多可利用的服務(wù)器資源。
當(dāng)然���,這種攻擊并不是針對(duì)性的��,所以很多客戶納悶��,自己網(wǎng)站也不算出名����,怎么就會(huì)招來黑客呢��,原因可能就是你使用了開源內(nèi)容管理系統(tǒng),被黑客軟件掃描到了����。
看一個(gè)遭受攻擊的開源內(nèi)容管理系統(tǒng)的實(shí)例
我們看編號(hào)為“1844”的這個(gè)網(wǎng)站,圖中標(biāo)紅的是CPU占用率情況���,第一項(xiàng)是CPU空閑率 72%�,第二項(xiàng)是“1844”號(hào)網(wǎng)站占用了 25% 的CPU���,再往下其他的一些應(yīng)用程序占用CPU很少或不占用����。“1844”號(hào)網(wǎng)站為什么占用了 1 / 4 的CPU資源呢�?
我 們從服務(wù)器上深入檢查了這個(gè)網(wǎng)站的情況,發(fā)現(xiàn)這是一個(gè)使用開源內(nèi)容管理系統(tǒng)做的網(wǎng)站�,是一個(gè)企業(yè)展示型網(wǎng)站,網(wǎng)站上的內(nèi)容并不多���,據(jù)客戶說����,他們一周也就 傳一兩條新聞,一個(gè)月才發(fā)布一款產(chǎn)品�����,網(wǎng)站內(nèi)容更新幅度不大�����,百度統(tǒng)計(jì)監(jiān)控?cái)?shù)據(jù)顯示���,其同時(shí)在線的最高訪問人數(shù)僅30人左右�����。這樣的一個(gè)網(wǎng)站,CPU占用 率應(yīng)該連1%都不到才對(duì)���。
仔 細(xì)檢查后����,我們發(fā)現(xiàn)網(wǎng)站其中的一個(gè)數(shù)據(jù)表文件竟然達(dá)到了 2.2G 之多�����,我們知道,數(shù)據(jù)庫(kù)表中一般只存放文字信息�����,并沒有占空間比較大的圖片或視頻等文件����。很顯然,這張數(shù)據(jù)表是被黑客軟件以循環(huán)寫入的攻擊方式�,不停地注 入非法信息,而且可能已經(jīng)有很長(zhǎng)一段時(shí)間了��,所以才達(dá)到了 2.2G 這么高的容量���。
那么���,占用 25% 的CPU資源,說明了網(wǎng)站就在這一刻仍然還在遭受著攻擊����,而且攻擊頻度恐怕是以秒,甚至毫秒的級(jí)別在進(jìn)行�,才能導(dǎo)致需要使用 25% 的CPU,方可寫入這么大量的信息��。
原因找到了,但又有一個(gè)疑問����,我們公司建網(wǎng)站從來不用開源內(nèi)容管理系統(tǒng),都是用自己獨(dú)立研發(fā)的�����,已申請(qǐng)國(guó)家軟件著作權(quán)的系統(tǒng)來開發(fā)網(wǎng)站��。所以這個(gè)網(wǎng)站應(yīng)該不是我們做的�,那為什么客戶不把網(wǎng)站放到之前的建站服務(wù)商那里,而是要購(gòu)買我們的空間呢��?
詢問客服后��,才知道這個(gè)客戶是由于之前的服務(wù)商因?yàn)槠渚W(wǎng)站占用服務(wù)器資源過大�����,拒絕了和他的續(xù)費(fèi)服務(wù)�����,客戶無奈之下才轉(zhuǎn)到我們這里�����,而之前的服務(wù)商也沒有查出問題到底出在哪里�。
類似這樣的經(jīng)歷時(shí)有發(fā)生,作為網(wǎng)站建設(shè)從業(yè)人員�����,我只能說選建站公司要全方位了解����,開源內(nèi)容管理系統(tǒng)有風(fēng)險(xiǎn),使用需謹(jǐn)慎���。
