经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 程序设计 » 编程经验 » 查看文章
记一次在线客服系统用户遭勒索,索要茶水费事件的 Windbg 分析与应对
来源:cnblogs  作者:升讯威在线客服系统  时间:2023/11/22 16:45:57  对本文有异议

本文记录了几个月前,客户在使用在线客服系统过程中,遭到勒索威胁,索要茶水费 的事件。经过应对,快速的化解了攻击威胁,并继续安全使用至今。

讲故事

威胁次日,收到报警,服务器 CPU 使用率持续超过 80%。连接服务器后发现 CPU 占用率 100%。查看进程,客服系统后台服务占用了 CPU。
重新启动客服系统后台进程 ,CPU 占用率恢复正常。查看网络监控数据并没有大的网络流量流入流出,初步推测是对客服系统所使用的通信端口的攻击行为。

更换系统所使用的监听端口后继续观察。

晚间,再次收到 CPU 使用率报警,查看发现依然是客服系统后台服务 100% 占用了 CPU。重启服务后恢复正常。几小时后,我远程服务器查看,发现 CPU 占用率稳定在 50%,看来攻击者为了避免引起我的注意,改进了攻击手段,降低了攻击强度。

相同的版本,部署在我的客户的服务器上运行的环境则是一切正常,持续运行了两周没有任何异常情况,而且客户正式使用的环境,使用强度比我的演示环境要大的多。

Windbg 分析

在我第一次发现问题,更换端口,消停两次之后,再次发生的攻击行为,看起来是和我杠上了。

  1. 首先,在攻击行为发生时,创建客服系统后台服务的 Dump 文件,注意区分 x86 和 x64。

  2. 安装 WinDbg 或 WinDbg Priview ,Windows 10 推荐使用 WinDbg privew,使用 WinDbg 打开 Dump 文件。
    第一次打开时,会自动下载所需的 PDB 文件,等待下载完成后,即可加载调试信息,如下图:

  1. 执行 reload 命令

  2. 执行 loadby sos clr 命令

  3. 执行 !tp 命令
    显示出 CPU 占用率 51%。

  1. 接下来,我们要找到造成 CPU 占用具体的线程和位置,使用 !runaway 命令。定位到线程 41 长时间占用 CPU。

  1. 使用命令 ~41s 进入线程。接着使用 !clrstack 命令显示调用堆栈。
    如图,根据调用堆栈显示的信息,非常明确的指示出,Socket 端口接收数据时,大量占用了 CPU。


结合系统的其它日志,判断攻击者通过连接 TCP 端口,高强度,大量的发送垃圾数据,导致服务器 CPU 高负荷运行,企图拖垮服务器。明确攻击位置和原因之后,就好办了,在 Socket 端口连接和监听时,加入安全反制的机制,重新部署上线。

不久,抓到了一个国内 IP ,此 IP 发起了攻击行为,系统自动切断了连接并拉黑了此 IP 地址。随后的几天中,攻击者使用了国外代理发起攻击行为,先后抓到了两个不同国家的 IP,使用相同的方式发起攻击行为。虽然攻击者切换了国外代理,但最初的国内 IP 已经暴露。

攻击者使用了一个位于荷兰的 IP ,再次发起攻击,服务器在识别到攻击行为后,几秒钟内切断了连接,并拉黑攻击 IP。


免费在线使用 & 免费私有化部署:https://kf.shengxunwei.com


视频实拍:演示升讯威在线客服系统在网络中断,直接禁用网卡,拔掉网线的情况下,也不丢消息,不出异常。
https://blog.shengxunwei.com/Home/Post/fe432a51-337c-4558-b9e8-347b58cbcd53

客服端

访客端

  • 可以追踪正在访问网站或使用 APP 的所有访客,收集他们的浏览情况,使客服能够主动出击,施展话术,促进成单。
    访* 客端在 PC 支持所有新老浏览器。包括不支持 WebSocket 的 IE8 也能正常使用。
  • 移动端支持所有手机浏览器、APP、各大平台的公众号对接。
  • 支持访客信息互通,可传输访客标识、名称和其它任意信息到客服系统。
  • 具备一线专业技术水平,网络中断,拔掉网线,手机飞行模式,不丢消息。同类软件可以按视频方式对比测试。

希望能够打造: 开放、开源、共享。努力打造 .net 社区的一款优秀开源产品。

钟意的话请给个赞支持一下吧,谢谢~

原文链接:https://www.cnblogs.com/sheng_chao/p/17848742.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号