By 2 Marzo 2015

IIS + php-cgi.exe + 100% CPU

Se il WEB Server utilizza il 100% della CPU:

Php Cpu

 

è possibile controllare i processi attivi. Uno di questi potrebbe essere php-cgi.exe.
In questo caso è possibile che un sito web sia stato “hackerato” e/o “preso di mira” da un attacco Ddos.
Per risolvere il problema :

  • Rimuovere temporaneamente la rete al server, in modo da eseguire un IISreset o direttamente un riavvio.
  • Se il server dispone di PHP in cartelle multiple (ved esempio in immagine allegata) “rinominare” tutte le cartelle in –OLD

Php Resolve 100 Cpu

 

  • Fornire nuovamente la RETE al server
  • Installare sul server una versione DEMO di IISTRACER oppure, se su server Windows 2008/2013 seguire questa guida.
  • IIstracer provvederà a mostrare quale sito internet sta effettuando/ricevendo più richieste.
  • Disabilitare il singolo sito web e ripristinare le cartelle PHP

Se non fosse possibile utilizzare IISTRACER :

  • Se il server dispone di PHP in cartelle multiple (ved esempio in immagine allegata) “rinominare” le cartelle al nome originale UNA ALLA VOLTA. In questo modo sarà possibile trovare l’installazione interessata.
  • Se si dispone di 1 sola installazione di PHP, abilitare il LOG da php.ini; potrebbe portare a un risultato.
  • In extremis analizzare i Log di IIS con un programma di ricerca, per identificare il file di .log più grande generato sul server.

php-cgi.exe, php-cgi.exe Cpu, php-cgi.exe 100% Cpu

 

Posted in: Hacker - Difesa, IIS 6.0, IIS 7.0

About the Author:

shared on wplocker.com