本文记录我在 2025 年 6 月遇到的一次服务器异常事件:网站无法访问,后台资源拉满,最终排查发现疑似是 OneAV 插件(微步木马扫描)引发的内耗问题,整个过程比表面看起来复杂得多,也让我对服务器安全有了更多体会。
🧩 事情是怎么开始的?
清晨,我像往常一样打开博客,想看看有没有新评论,却发现页面直接报错 —— 503 Service Unavailable。不好了,网站挂了。我赶紧登录服务器面板,一看傻眼:带宽占用飙到了 1MB/s,CPU 等几乎满载运行。奇怪的是,我的服务器实际带宽远不止 1MB,就像有人刻意把它“卡”在这个数值上,既造成负担,又不易察觉。
我随即打开阿里云监控,发现这种异常状态从凌晨五点多就开始了,到现在已经持续了好几个小时。那一瞬间,我脑子里只蹦出一个念头:完了,又被干了 😭😭😭。
🔍 第一步:怀疑是流量攻击
我先排查了网络连接,查看是否有大量异常 IP 访问,结果:
- 没有明显的攻击 IP;
- 没有暴力请求日志;
- 网络上下行流量虽然有点高,但不是那种“被 DDoS”的那种爆炸性。
- 最牛逼的是:服务器云盾、面板 Waf、Web 日志没有一条异常记录!😦
🔧 第二步:怀疑是 PHP 被打爆
我试着重启了服务器,但没用,负载很快又飙了上来。还好 SSH 还能连上,我赶紧开始逐个排查服务。我先后关闭了 Memcached、数据库等后台服务,都没啥用。直到我关掉了 PHP——👉 流量立刻下降,服务器明显轻松了!
但问题还没完。即便 PHP 关了,系统负载依然高得离谱,而且还有持续的流量跑着。也就是说,不是有人在访问网站,而是服务器自己在忙活。
接着我试着把 Nginx 也关了。结果,瞬间恢复平静。但这显然不是“解决了问题”——只是把服务全停了。服务器不开 Nginx,那还叫服务器吗?这时候我意识到,事情没有那么简单,很可能有更深层的问题在暗处搞鬼。
🔎 第三步:深入排查后台进程
接下来我开始排查后台进程,一开始还以为是 WordPress 的定时任务在作怪,折腾了半天都没找到问题所在。后来在 ChatGPT 的协助下,我注意到一个陌生的进程名:
oneav - threatbook.OneAV
一看这名字就不太对劲,但搜了一下,说是宝塔插件库里“微步在线”的木马检测引擎,专门用来拦截恶意 PHP 文件的。我对这个插件并不陌生,是很久以前我自己安装的,但已经很久没使用了。
我没多想,直接把这个进程停掉,然后在宝塔里把这个插件也删了。结果——服务器立刻恢复正常,流量、负载统统回落。总算是抓住元凶了!但你特么不是木马检测工具吗?结果你自己倒成了最大的“木马嫌疑人”?
⚠️ 联想到:是不是我把 Wordfence 停用了?
这个 OneAV 插件我不是刚装的,至少也装了半年以上,平时也没出过什么状况,毕竟它自称是“防病毒引擎”,再怎么说也不至于凌晨三点自爆吧?我甚至开始反思:是不是我自己作的?
因为前一晚我确实在测试插件性能,顺手把 Wordfence 给停了,想着试试轻量化方案,结果没想到就这么一停,给了某些“黑客大大”或者“不良插件”一个下手的机会……
但更诡异的是:我手动 kill 掉的那个 OneAV 进程,行为非常像很多网友在帖子里提到的那种“高负载鬼影进程”。只不过,别人是高负载,我这是直接炸服。老实说,我也搞不太清楚到底发生了什么。但我现在怀疑:
- 可能是 停掉 Wordfence 后,网站的某个漏洞被利用了;
- 也可能是 OneAV 本身设计不完善,在扫描 PHP 文件时出问题了;
- 又或者和 WordPress 那套“每次访问都触发后台任务”的机制产生冲突,最终让服务器陷入“自打自”的内耗深渊。
🔒 这次事件给我的几点启发:
- 不要轻易停用主流安全插件,哪怕它略重,也比被挂马强;
- 少装来源不明的功能型插件,尤其是那些能读写网站文件、执行脚本的;
- 服务器卡顿未必是外部攻击,内部“自爆”也很常见;
- 定期检查后台进程与计划任务,及时清理可疑程序。
你用的宝塔是不是开心版啊,遇到过好几个客户自己去下载或淘宝花几百买的宝塔企业版(远低于官网价格,实为免费开心版),基本上都卡爆了。