特征:硬盘读取爆满、CPU爆满、网站无法打开、SSH无法登录、最后只能通过重启服务器解决。
查看nginx数量:
wc -l /var/log/nginx/access.log
sleep 60
wc -l /var/log/nginx/access.log
访问IP是否集中:
<p>访问IP是否集中:</p>
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head
访问路径是否异常:
awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head
erro.log是否有资源异常:
grep -i -E "timeout|upstream|connect|resource|worker" /var/log/nginx/error.log
实时IO:
iostat -x 1
最近1小时IP:
awk '$4 ~ /14\/Jan\/2026:1[89]/ {print $1}' /var/log/nginx/access.log \
| sort | uniq -c | sort -nr | head
最近1小时的路径:
awk '$4 ~ /14\/Jan\/2026:1[89]/ {print $7}' /var/log/nginx/access.log \
| sort | uniq -c | sort -nr | head
最后定位到原因确实是被打了弱文件xmlrpc.php等还有一些登录接口,然后打开CF还是显示CF的错误页面(可能有缓存,重启后好了)