概述

最近发现环境中的vRops经常性的宕服务，访问vRops的时候提示 _Unable to connect to platform services. 如下图所示，使得平台无法正常运行，今天抽点时间来看看到底是什么原因引起的故障，记录其过程用于分享。

磁盘使用量

一般来说，如果硬盘满了，也会导致Linux的某些服务无法启动，所以我先排查了下磁盘使用情况，使用 df -Th 查看

看起来并未存在磁盘被撑爆的情况。

分析日志

手动进入到平台日志路径 cd /var/log/apache2

使用 vi access.log 查看日志详情后发现大量GET请求，均是来自一个地址为 10.XX.XX.49 的IP

从日志记录来看，有超过至少1000000个请求从一个IP地址爆发。它看起来确实像是一个攻击，虽然只是来自一个内部IP地址。

使用nmap对该IP进行简单分析后发现其开放了443端口，证明其可能是一个web服务，通过访问后发现是一个漏扫平台。

建议

我的建议是让安全组把vRops的地址添加在白名单上，避免因大量的扫描变成了攻击行为。

解决

重新启动所有vRops节点上的Web服务，可以通过向每个节点发出这个命令

service vmware-vcops-web restart

或者直接重启vRops服务器，就可以恢复正常了。