phpcms v9后台操作奇慢的故障排查
2014-11-09 11:14:24   来源：我爱运维网   评论：0 点击：

<value name=”request_terminate_timeout”>10s</value>
该配置默认是0s,即不记录慢执行日志。
6、重新php-cgi。查看slow.log，这次可以看到，有这样的慢日志告警信息：
Nov 08 23:55:07.811440 pid 17636 (pool default) script_filename = /var/html/index.php [0x00007fffef4e77f0] file_get_contents() /data/www/phpcms/class_cache.php(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code:1 [0x00007fffef4e8b50] is_allow_ip() /data/www/phpcms/class_cache.php(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code:1 [0x00007fffef4e8d90] +++ dump failed

显然php中使用的file_get_contents（）有问题，而且出在class_cache.php这个文件里。

7、找到class_cache.php这个文件，竟然是个加密的PHP文件。不清楚它的用途，然后在百度/google中查找这个文件，包括官方phpcms文档，没有这个文件说明与用途。怀疑是黑客注入留下的文件。

8、备份class_cache.php，并清空这个文件：cp /dev/null class_cache.php。再尝试访问，所有功能都正常，而且速度非常快了，问题就出在这个文件上。更相信class_cache.php是黑客注入留下的文件。

9、故障排除。进行后续跟踪，尝试使用base64 解密这个文件，但不成功。短时间无法解密这个文件，如果有兴趣的朋友，可以尝试解一下密，请联系qudao123@126.com获取加密文件。