本文記錄了幾個月前，客戶在使用在線客服系統過程中，遭到勒索威脅，索要茶水費 的事件。經過應對，快速的化解了攻擊威脅，并繼續安全使用至今。

講故事

威脅次日，收到報警，服務器 CPU 使用率持續超過 80%。連接服務器后發現 CPU 占用率 100%。查看進程，客服系統后臺服務占用了 CPU。
重新啟動客服系統后臺進程 ，CPU 占用率恢復正常。查看網絡監控數據并沒有大的網絡流量流入流出，初步推測是對客服系統所使用的通信端口的攻擊行為。

更換系統所使用的監聽端口后繼續觀察。

晚間，再次收到 CPU 使用率報警，查看發現依然是客服系統后臺服務 100% 占用了 CPU。重啟服務后恢復正常。幾小時后，我遠程服務器查看，發現 CPU 占用率穩定在 50%，看來攻擊者為了避免引起我的注意，改進了攻擊手段，降低了攻擊強度。

相同的版本，部署在我的客戶的服務器上運行的環境則是一切正常，持續運行了兩周沒有任何異常情況，而且客戶正式使用的環境，使用強度比我的演示環境要大的多。

Windbg 分析

在我第一次發現問題，更換端口，消停兩次之后，再次發生的攻擊行為，看起來是和我杠上了。

1. 首先，在攻擊行為發生時，創建客服系統后臺服務的 Dump 文件，注意區分 x86 和 x64。

2. 安裝 WinDbg 或 WinDbg Priview ，Windows 10 推薦使用 WinDbg privew，使用 WinDbg 打開 Dump 文件。
   第一次打開時，會自動下載所需的 PDB 文件，等待下載完成后，即可加載調試信息，如下圖：

3. 執行 reload 命令

4. 執行 loadby sos clr 命令

5. 執行 !tp 命令
   顯示出 CPU 占用率 51%。

6. 接下來，我們要找到造成 CPU 占用具體的線程和位置，使用 !runaway 命令。定位到線程 41 長時間占用 CPU。

7. 使用命令 ~41s 進入線程。接著使用 !clrstack 命令顯示調用堆棧。
   如圖，根據調用堆棧顯示的信息，非常明確的指示出，Socket 端口接收數據時，大量占用了 CPU。

---

結合系統的其它日志，判斷攻擊者通過連接 TCP 端口，高強度，大量的發送垃圾數據，導致服務器 CPU 高負荷運行，企圖拖垮服務器。明確攻擊位置和原因之后，就好辦了，在 Socket 端口連接和監聽時，加入安全反制的機制，重新部署上線。

不久，抓到了一個國內 IP ，此 IP 發起了攻擊行為，系統自動切斷了連接并拉黑了此 IP 地址。隨后的幾天中，攻擊者使用了國外代理發起攻擊行為，先后抓到了兩個不同國家的 IP，使用相同的方式發起攻擊行為。雖然攻擊者切換了國外代理，但最初的國內 IP 已經暴露。

攻擊者使用了一個位于荷蘭的 IP ，再次發起攻擊，服務器在識別到攻擊行為后，幾秒鐘內切斷了連接，并拉黑攻擊 IP。

---

免費在線使用 & 免費私有化部署：https://kf.shengxunwei.com

---

視頻實拍：演示升訊威在線客服系統在網絡中斷，直接禁用網卡，拔掉網線的情況下，也不丟消息，不出異常。
https://blog.shengxunwei.com/Home/Post/fe432a51-337c-4558-b9e8-347b58cbcd53

客服端

訪客端

• 可以追蹤正在訪問網站或使用 APP 的所有訪客，收集他們的瀏覽情況，使客服能夠主動出擊，施展話術，促進成單。
  訪* 客端在 PC 支持所有新老瀏覽器。包括不支持 WebSocket 的 IE8 也能正常使用。
• 移動端支持所有手機瀏覽器、APP、各大平臺的公眾號對接。
• 支持訪客信息互通，可傳輸訪客標識、名稱和其它任意信息到客服系統。
• 具備一線專業技術水平，網絡中斷，拔掉網線，手機飛行模式，不丟消息。同類軟件可以按視頻方式對比測試。
• • 優酷視頻：https://v.youku.com/v_show/id_XNTEwNzQ5Mzg2OA==.html
• • bilibili 視頻：https://www.bilibili.com/video/BV1pK4y1N7UP?t=22

希望能夠打造： 開放、開源、共享。努力打造 .net 社區的一款優秀開源產品。

鐘意的話請給個贊支持一下吧，謝謝~

總結

以上是生活随笔為你收集整理的记一次在线客服系统用户遭勒索，索要茶水费事件的 Windbg 分析与应对的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。