如何处理php木马攻击服务器对外发包的防范措施和解决.docVIP

  • 0
  • 0
  • 约1.35千字
  • 约 2页
  • 2019-10-16 发布于江西
  • 举报

如何处理php木马攻击服务器对外发包的防范措施和解决.doc

如何处理php木马攻击服务器对外发包的防范措施和解决 针对最近phpddos攻击程序比较恶劣,php程序突发性对外发包攻击的问题,我们研究了一下如何解决服务器对外发包的解决方法: 在发包的时候服务器肯定会出现 ping值丢包,CPU爆满的现象甚至服务器可能会出现崩溃。 因为php木马造成服务器对外发包的防范措施和解决方法解决方法: 经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数来进行发包的。所以黑客学习基地建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客、 Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数,发包程序就彻底失效,极大的增强了服务器的安全级别和性能。 1. 关闭这个函数的方法,编辑php.ini文件搜索这个文件中的“disable_functions =”,如果这行前面有;符号的就删除这个符号,然后把这行修改为: disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen 修改完成后保存退出,并重启 IIS或apache服务即可生效 。 2. 如果您的服务器上有DedeCMS程序,请特别注意检查一下文件是否存在: /plus/config_s.php /plus/index.php /data/cache/t.php /data/cache/x.php 这些一般是ddos的木马程序,要及时删除 防止PHP DDOS发包的方法 if (eregi(“ddos-udp”,$read)) { fputs($verbinden,”privmsg $Channel :ddos-udp – started udp flood – $read2[4]\n\n”); $fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30); if (!$fp) { $fp = fsockopen(“udp://$read2[4]“, 500, $errno, $errstr, 30); 或者: fsockopen(udp://$ip,?$port,?$errno,?$errstr,?5);???//这就是利用?fsockopen 函数进行发包攻击?? 既然是用fsockopen请求外部,那就不让他请求 php.ini里设置 allow_url_fopen = Off 如果这样他还是能发包 extension=php_sockets.dll 改成 ;extension=php_sockets.dll 重启APACHE、IIS、NGINX 这样就可以防止PHP DDOS发包了 查找被添加的木马文件方法: 进入 C:\WINDOWS\system32\LogFiles\HTTPERR 打开最新的日志 然后搜索 port? 如果能搜索到访问记录 那就可以找到是哪个站中了木马对外发包. 删除掉木马文件以后, 网上有不少解决方法是限制php中使用的函数,但是怕客户网站有使用到那些函数。 最后设置了策略,阻止了udp协议的进出

文档评论(0)

1亿VIP精品文档

相关文档