学会选择

apache故障\x13BitTorrent protocolex

今天遇到一怪事，
症状：内网的apache服务器像停止了响应一样，用户无法访问架设在主它上面的网站，在重启apache后的短时间内能访问！

排错过程：
1, 关闭主机防火墙、查杀木马病毒、重启apache、重启mysql、重启主机，实在下了一番工夫，还是不见效！

2, 查看系统服务，发现web服务是正常启动状态, 后来发现在apache重启后的十秒钟内能打开网站，这就说明apache刚一开始工作就被人搞死了！

3,运行netstat -an >d:\80port.txt, 查看80端口的情况，发现很多的
   TCP    192.168.1.11:80        58.19.71.212:42013     ESTABLISHED
  TCP    192.168.1.11:80        58.35.169.38:54334     ESTABLISHED
  TCP    192.168.1.11:80        58.37.158.243:2757     LAST_ACK
  TCP    192.168.1.11:80        58.60.63.194:7578      LAST_ACK
  TCP    192.168.1.11:80        58.60.63.194:20556     CLOSE_WAIT
  TCP    192.168.1.11:80        58.100.253.155:59311   ESTABLISHED
。。。。。很多。。。心里想完了，这不是一起普通的谋杀服务器案件，应该不会是遭DDOS攻击导致拒绝服务了吧，准备装一个搞DDOS攻击的apache模块，心里一想也不对，不太符合DDOS的症状，一个局域网服务器谁来攻击你啊，同事讲起这台服务器在网关做了DMZ主机，（顺便说一下DMZ主机，即就是外网访问你们局域网的网关IP地址，所有请求都会直接转到内网这个DMZ主机上），赶紧在网关路由器上赶紧关闭这个DMZ功能，经过几分钟的冷却期，web服务器又能正常访问了！到底是什么原因。。。继续调查

3, 查看apache日志：发现大量的的Invalid URI in request \x13BitTorrent protocolex， 这玩意儿是什么，经查证，"这是因为路由器使用了DMZ到该apache主机，而内网有人使用BT下载文件（bt的端口又是使用80），所以会产生外网IP的流量访问"，全部外网请求都被直接发送到了咱可怜的apache主机上！

结局：下班前搞定了这一切，还写了日志跟大伙分享，很欣慰:lol: