Как найти, какой локальный процесс отправляет спам на сервере Windows Server 2008
Это похоже на стандартную конфигурацию Apache, хотя кажется, что часть его была разделена из-за него бывший похожий на HTML.
Необходимо исследовать то, что происходит, когда сервер медленно отвечает. Вы не говорите спецификации Вашего сервера, но упоминание его специализированного, и 10k/day должен быть легко обработан.
- Что показывает вершина?
- Где узкое место? ЦП, Память, ввод-вывод Ожидает?
- Сколько процессов Apache работает?
- Сколько соединений, показанных в netstat?
Предположение, ЦП является, вероятно, узким местом, вызванным PHP. Используя APC и WP кэширующийся плагин является хорошими методами облегчить это, которое Вы уже сделали. Вы могли также попробовать модель процесса "MPM" Apache вместо "Предварительного ветвления". Удостоверьтесь, что у Вас есть достаточно памяти, выделенной APC так, чтобы это могло кэшировать Ваши Сценарии PHP и не 'мисс'.
Это мог также быть MySQL - видят, является ли это hogging ЦП или диск.
Рассмотрите выключение mod_deflate, если Вам включили его - оно действительно предоставляет преимущество для времени загрузки, но может увеличить загрузку ЦП. Могло бы стоить попробовать.
Используйте инструмент как 'осада' или 'ab' для сравнительного тестирования сервера и фигуры, в которой точке замедляется сервер.
Вот некоторые мои закладки от настройки производительности веб-сервера: http://articles.slicehost.com/2010/5/19/configuring-the-apache-mpm-on-ubuntu
http://www.devside.net/articles/apache-performance-tuning
http://www.brandonturner.net/blog/2009/07/fastcgi_with_php_opcode_cache/
Но мой исходный совет остается, то же - узнают то, что узкое место является первым! Иначе Вы вслепую пытаетесь улучшить производительность (и верная, улучшающая производительность всегда хороша), но не зная, который область сосредоточить Ваше внимание.
Вы уверены, что ваш сервер больше не пересылает спам? Если вы уверены, что это не так, проблема, вероятно, заключалась только в том, что это было открытое реле. Однако, если вы чувствуете, что некоторые веб-сайты могут разрешать рассылку спама другим способом, продолжайте читать.
Возможно, вы захотите считать свой сервер скомпрометированным, и в этом случае следуйте советам в статье, отмеченной как возможный дубликат выше .
Однако вы считаете, что вполне вероятно, что сценарий от одного из ваших пользователей является причиной, либо потому, что он был взломан, либо, что более вероятно, что он просто плохо написан, позволяя ввести тип Email Injection атаки.
Чтобы предотвратить попадание вашего сервера в черный список, затрагивающее всех ваших клиентов, вам, вероятно, следует как можно скорее заблокировать весь исходящий трафик на порту 25, чтобы предотвратить распространение спама.
Затем вам нужно будет проверить все сценарии на сервере, чтобы убедиться, что они не уязвимы ] к этому типу атак. См. Этот вопрос о безопасности для получения подробной информации о том, как защитить скрипты PHP.
netstat -b -o перечисляет сетевые соединения, процесс и PID - вы сможете выяснить, какой рабочий процесс IIS выполняет все соединения через порт 25.
вы можете использовать некоторые инструменты сетевого сниффера, которые будут точно определять уровень процесса, какой из них что отправляет. При необходимости вы также можете отфильтровать.
some examples:
network monitor 3.4 (microsoft) outdated, but works well.
fiddler
... (other most probably)
Попробуйте сетевой монитор, и в течение 15 минут вы поймете, где искать дальше.