解决php服务器向外发包攻击其它服务器
2014-04-15 16:31
246 查看
前一段时间公司在美国的服务器经常性的流量很大,后来查了一下服务器被植入木马了,立马清理木马,好了几天又出现同样的问题了,接着清,由于这个服务器我接手的时候很多安全措施就没有做,php网站好多都是同时直接开放的写入执行权限,由于这个服务器上放着200多个客户站,因此又不能在短时间内整理好,就想肯定有一个php函数用来进行发包的,没有好的办法那就去百度吧,看到了下面这篇文章,禁用了fsockopen()这个函数后果然向外发包的问题解决了,接下来就是苦了活了,一个一个网站设置权限。
针对最近phpddos攻击程序比较恶劣,php程序突发性对外发包攻击的问题,我们研究了一下如何解决服务器对外发包的解决方法:
在发包的时候服务器肯定会出现 ping值丢包,CPU爆满的现象甚至服务器可能会出现崩溃。
因为php木马造成服务器对外发包的防范措施和解决方法解决方法:
经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数来进行发包的。所以黑客学习基地建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客、
Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数,发包程序就彻底失效,极大的增强了服务器的安全级别和性能。
1. 关闭这个函数的方法,编辑php.ini文件搜索这个文件中的“disable_functions =”,如果这行前面有;符号的就删除这个符号,然后把这行修改为:
disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen
修改完成后保存退出,并重启 IIS或apache服务即可生效 。
2. 如果您的服务器上有DedeCMS程序,请特别注意检查一下文件是否存在:
/plus/config_s.php
/plus/index.php
/data/cache/t.php
/data/cache/x.php
这些一般是ddos的木马程序,要及时删除
防止PHP DDOS发包的方法
if (eregi(“ddos-udp”,$read)) {
fputs($verbinden,”privmsg $Channel :ddos-udp – started udp flood – $read2[4]\n\n”);
$fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30);
if (!$fp)
{
$fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30);
或者:
fsockopen("udp://$ip", $port, $errno, $errstr, 5); //这就是利用 fsockopen 函数进行发包攻击
既然是用fsockopen请求外部,那就不让他请求
php.ini里设置
allow_url_fopen = Off
如果这样他还是能发包
extension=php_sockets.dll
改成
;extension=php_sockets.dll
重启APACHE、IIS、NGINX
这样就可以防止PHP DDOS发包了
查找被添加的木马文件方法:
进入 C:\WINDOWS\system32\LogFiles\HTTPERR 打开最新的日志 然后搜索 port
如果能搜索到访问记录 那就可以找到是哪个站中了木马对外发包.
删除掉木马文件以后,
网上有不少解决方法是限制php中使用的函数,但是怕客户网站有使用到那些函数。
最后设置了策略,阻止了udp协议的进出。
针对最近phpddos攻击程序比较恶劣,php程序突发性对外发包攻击的问题,我们研究了一下如何解决服务器对外发包的解决方法:
在发包的时候服务器肯定会出现 ping值丢包,CPU爆满的现象甚至服务器可能会出现崩溃。
因为php木马造成服务器对外发包的防范措施和解决方法解决方法:
经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数来进行发包的。所以黑客学习基地建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客、
Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数,发包程序就彻底失效,极大的增强了服务器的安全级别和性能。
1. 关闭这个函数的方法,编辑php.ini文件搜索这个文件中的“disable_functions =”,如果这行前面有;符号的就删除这个符号,然后把这行修改为:
disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen
修改完成后保存退出,并重启 IIS或apache服务即可生效 。
2. 如果您的服务器上有DedeCMS程序,请特别注意检查一下文件是否存在:
/plus/config_s.php
/plus/index.php
/data/cache/t.php
/data/cache/x.php
这些一般是ddos的木马程序,要及时删除
防止PHP DDOS发包的方法
if (eregi(“ddos-udp”,$read)) {
fputs($verbinden,”privmsg $Channel :ddos-udp – started udp flood – $read2[4]\n\n”);
$fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30);
if (!$fp)
{
$fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30);
或者:
fsockopen("udp://$ip", $port, $errno, $errstr, 5); //这就是利用 fsockopen 函数进行发包攻击
既然是用fsockopen请求外部,那就不让他请求
php.ini里设置
allow_url_fopen = Off
如果这样他还是能发包
extension=php_sockets.dll
改成
;extension=php_sockets.dll
重启APACHE、IIS、NGINX
这样就可以防止PHP DDOS发包了
查找被添加的木马文件方法:
进入 C:\WINDOWS\system32\LogFiles\HTTPERR 打开最新的日志 然后搜索 port
如果能搜索到访问记录 那就可以找到是哪个站中了木马对外发包.
删除掉木马文件以后,
网上有不少解决方法是限制php中使用的函数,但是怕客户网站有使用到那些函数。
最后设置了策略,阻止了udp协议的进出。
相关文章推荐
- windows 2003服务器不断向外发包解决方法 php程序
- php对外发包引发服务器崩溃的终极解决方法分享
- php实现攻击服务器的自动执行发包源码
- php对外发包引发服务器崩溃的终极解决方法分享[推荐]
- LINUX web服务器首次被攻击(PHP木马怎么被挂进来的)解决思路
- php使用socket post数据到其它web服务器的方法
- fsockopen函数容易被PHPDDOS利用攻击被禁用,部分程序不正常的解决办法
- 用PHP做服务器转发层,解决js的ajax跨域访问问题
- XAMPP Apache服务器解析php页面汉字乱码的解决
- 公网服务器远程桌面连接攻击而频繁关机的解决案例
- PHP 开发环境的搭建和使用 01--apache服务器配置以及 IIS端口冲突解决
- 解决sql1服务器磁盘空间不足,备份其它服务器sql2磁盘中..
- 再说“php解决服务器美国时间的问题”
- PowerEdge R430 机架式服务器安装( Ubuntu server 14.04.1 、PHP5.5.9、PHP-redis2.8、Phalcon3.1) 未解决问题:换成静态路由的话,怎么就
- Windows 2003设置PHP扩展支持OpenSSL的解决方法 服务器发送邮件
- 关于ECSHOP模板架设的服务器php版本过高报错的解决方法(一)
- iOS远程推送Demo和PHP服务器配置、以及问题的解决方法
- 解决IIS7 PHP HTTP 500内部服务器错误问题
- 问题解决笔记 -- LINUX 服务器 PHP与MYSQL中文乱码问题最终解决方案
- 浅析虚拟主机服务器php fsockopen函数被禁用的解决办法