我是不是遭遇到了PHPDDOS

2013-11-06 03:36:48 +08:00
 Sukizen
一个VPS,常年每个月都跑不满200G流量流量的千分之一。上个月月底收到邮件警告说已经超过90%流量配额了,当时不以为然。

11月的第5天,我就被刷走了80G流量。

一直找不到到底是哪个PHP文件受到感染,有没有经验分享一下。

有没有V友对LINUX熟悉的,不知道两包烟钱能找出问题所在并且有解决方案不。
2680 次点击
所在节点    问与答
11 条回复
yangqi
2013-11-06 03:53:00 +08:00
你怎么知道就一定是php?也有可能某个文件被盗链,或者vps被黑,或者某些代理被扫到了
Sukizen
2013-11-06 03:57:15 +08:00
@yangqi 文件盗链的几率不大。 VPS被黑和被代理扫到有可能。
关键是我不懂服务器的东西 :D 我找了一天的资料,并且安装了iftop和安全狗,发现是UDP的流量很大,后来我禁止了fsockopen函数,好像好了点。

因为我的网站程序有用到DISCUZ,好像禁止了fsockopen函数会有影响。

现在考虑备份文件,然后重装系统。
但是如果文件里面感染了PHPDDOS的代码,应该要查找什么特征码呢?

夜深了,谢谢你的回复。
xmbaozi
2013-11-06 07:57:49 +08:00
网上有个python脚本,挺好用的,可以查一下看看
xdeng
2013-11-06 09:09:18 +08:00
DISCUZ 自带了 文件校验 的在后台。。。 UDP的基本可以确定是ddos了
AstroProfundis
2013-11-06 09:18:28 +08:00
你是不是装了dns服务器...
nsxuan
2013-11-06 09:36:02 +08:00
查看文件修改时间
或者搜索 set_time_limit
thinkxen
2013-11-06 10:11:41 +08:00
看网站日志
ihacku
2013-11-06 10:35:44 +08:00
试试这个扫一下 https://github.com/cfc4n/pecker
Sukizen
2013-11-06 11:16:24 +08:00
@xmbaozi 好的我去找找


@xdeng 我已经禁止fsockopen函数,好像没那么厉害了。 还用了iptable做了一些规则,不过完全是小白跟着网上的教程做,不知道原理是什么,不知道VPS还有其他漏洞不。


@AstroProfundis 是呀,kolox面板,之前有收过邮件警告说我的什么设置,会导致DNS递归攻击。估计是这个原因,但是那时也是在网上找教程作了一下修复。好像今个月并不管用。大约半年前开始,每个月的GB OUT都达到数十G甚至上百G,(我的VPS就放几个个人网站,正常才1GB不到)


@nsxuan 不知道有没有什么SHELL指令是可以搜索到的。我试过 find /home/admin/ | xargs grep set_time_limit // 但是很多PHP文件都会有这段代码,好像也没什么异常。


@ihacku 非常感谢你的链接!
AstroProfundis
2013-11-06 12:42:36 +08:00
@Sukizen 你从别的机器 dig 一个大网站的域名比如 Google 啥的,如果返回的是空或者无法查询就不是这个问题了,如果有结果的话,把 DNS 的递归查询关掉,或者只监听 127.1 或者用 iptables 把 UDP 53 端口封了
Sukizen
2013-11-06 18:08:39 +08:00
@yangqi
@xmbaozi
@xdeng
@AstroProfundis
@nsxuan
@thinkxen
@ihacku
@AstroProfundis

最新发现,是自己的一个限制很久很久的DISCUZ被注册大量用户,采集大量帖子(15万条以上)
是DISCUZ的漏洞吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/88194

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX