本文记录了几个月前，客户在使用在线客服系统过程中，遭到勒索威胁，索要茶水费 的事件。经过应对，快速的化解了攻击威胁，并继续安全使用至今。

讲故事

威胁次日，收到报警，服务器 CPU 使用率持续超过 80%。连接服务器后发现 CPU 占用率 100%。查看进程，客服系统后台服务占用了 CPU。
重新启动客服系统后台进程 ，CPU 占用率恢复正常。查看网络监控数据并没有大的网络流量流入流出，初步推测是对客服系统所使用的通信端口的攻击行为。

更换系统所使用的监听端口后继续观察。

晚间，再次收到 CPU 使用率报警，查看发现依然是客服系统后台服务 100% 占用了 CPU。重启服务后恢复正常。几小时后，我远程服务器查看，发现 CPU 占用率稳定在 50%，看来攻击者为了避免引起我的注意，改进了攻击手段，降低了攻击强度。

相同的版本，部署在我的客户的服务器上运行的环境则是一切正常，持续运行了两周没有任何异常情况，而且客户正式使用的环境，使用强度比我的演示环境要大的多。

Windbg 分析

在我第一次发现问题，更换端口，消停两次之后，再次发生的攻击行为，看起来是和我杠上了。

1. 首先，在攻击行为发生时，创建客服系统后台服务的 Dump 文件，注意区分 x86 和 x64。

2. 安装 WinDbg 或 WinDbg Priview ，Windows 10 推荐使用 WinDbg privew，使用 WinDbg 打开 Dump 文件。
   第一次打开时，会自动下载所需的 PDB 文件，等待下载完成后，即可加载调试信息，如下图：

3. 执行 reload 命令

4. 执行 loadby sos clr 命令

5. 执行 !tp 命令
   显示出 CPU 占用率 51%。

6. 接下来，我们要找到造成 CPU 占用具体的线程和位置，使用 !runaway 命令。定位到线程 41 长时间占用 CPU。

7. 使用命令 ~41s 进入线程。接着使用 !clrstack 命令显示调用堆栈。
   如图，根据调用堆栈显示的信息，非常明确的指示出，Socket 端口接收数据时，大量占用了 CPU。

结合系统的其它日志，判断攻击者通过连接 TCP 端口，高强度，大量的发送垃圾数据，导致服务器 CPU 高负荷运行，企图拖垮服务器。明确攻击位置和原因之后，就好办了，在 Socket 端口连接和监听时，加入安全反制的机制，重新部署上线。

不久，抓到了一个国内 IP ，此 IP 发起了攻击行为，系统自动切断了连接并拉黑了此 IP 地址。随后的几天中，攻击者使用了国外代理发起攻击行为，先后抓到了两个不同国家的 IP，使用相同的方式发起攻击行为。虽然攻击者切换了国外代理，但最初的国内 IP 已经暴露。

攻击者使用了一个位于荷兰的 IP ，再次发起攻击，服务器在识别到攻击行为后，几秒钟内切断了连接，并拉黑攻击 IP。

免费在线使用 & 免费私有化部署：https://kf.shengxunwei.com

视频实拍：演示升讯威在线客服系统在网络中断，直接禁用网卡，拔掉网线的情况下，也不丢消息，不出异常。
https://blog.shengxunwei.com/Home/Post/fe432a51-337c-4558-b9e8-347b58cbcd53

客服端

访客端

• 可以追踪正在访问网站或使用 APP 的所有访客，收集他们的浏览情况，使客服能够主动出击，施展话术，促进成单。
  访* 客端在 PC 支持所有新老浏览器。包括不支持 WebSocket 的 IE8 也能正常使用。
• 移动端支持所有手机浏览器、APP、各大平台的公众号对接。
• 支持访客信息互通，可传输访客标识、名称和其它任意信息到客服系统。
• 具备一线专业技术水平，网络中断，拔掉网线，手机飞行模式，不丢消息。同类软件可以按视频方式对比测试。
• • 优酷视频：https://v.youku.com/v_show/id_XNTEwNzQ5Mzg2OA==.html
• • bilibili 视频：https://www.bilibili.com/video/BV1pK4y1N7UP?t=22

希望能够打造： 开放、开源、共享。努力打造 .net 社区的一款优秀开源产品。

钟意的话请给个赞支持一下吧，谢谢~