V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Sukizen
V2EX  ›  问与答

我是不是遭遇到了PHPDDOS

  •  
  •   Sukizen · 2013-11-06 03:36:48 +08:00 · 2700 次点击
    这是一个创建于 4061 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个VPS,常年每个月都跑不满200G流量流量的千分之一。上个月月底收到邮件警告说已经超过90%流量配额了,当时不以为然。

    11月的第5天,我就被刷走了80G流量。

    一直找不到到底是哪个PHP文件受到感染,有没有经验分享一下。

    有没有V友对LINUX熟悉的,不知道两包烟钱能找出问题所在并且有解决方案不。
    11 条回复    1970-01-01 08:00:00 +08:00
    yangqi
        1
    yangqi  
       2013-11-06 03:53:00 +08:00   ❤️ 1
    你怎么知道就一定是php?也有可能某个文件被盗链,或者vps被黑,或者某些代理被扫到了
    Sukizen
        2
    Sukizen  
    OP
       2013-11-06 03:57:15 +08:00
    @yangqi 文件盗链的几率不大。 VPS被黑和被代理扫到有可能。
    关键是我不懂服务器的东西 :D 我找了一天的资料,并且安装了iftop和安全狗,发现是UDP的流量很大,后来我禁止了fsockopen函数,好像好了点。

    因为我的网站程序有用到DISCUZ,好像禁止了fsockopen函数会有影响。

    现在考虑备份文件,然后重装系统。
    但是如果文件里面感染了PHPDDOS的代码,应该要查找什么特征码呢?

    夜深了,谢谢你的回复。
    xmbaozi
        3
    xmbaozi  
       2013-11-06 07:57:49 +08:00 via iPhone   ❤️ 1
    网上有个python脚本,挺好用的,可以查一下看看
    xdeng
        4
    xdeng  
       2013-11-06 09:09:18 +08:00   ❤️ 1
    DISCUZ 自带了 文件校验 的在后台。。。 UDP的基本可以确定是ddos了
    AstroProfundis
        5
    AstroProfundis  
       2013-11-06 09:18:28 +08:00   ❤️ 1
    你是不是装了dns服务器...
    nsxuan
        6
    nsxuan  
       2013-11-06 09:36:02 +08:00 via iPad   ❤️ 1
    查看文件修改时间
    或者搜索 set_time_limit
    thinkxen
        7
    thinkxen  
       2013-11-06 10:11:41 +08:00 via Android   ❤️ 1
    看网站日志
    ihacku
        8
    ihacku  
       2013-11-06 10:35:44 +08:00   ❤️ 1
    试试这个扫一下 https://github.com/cfc4n/pecker
    Sukizen
        9
    Sukizen  
    OP
       2013-11-06 11:16:24 +08:00
    @xmbaozi 好的我去找找


    @xdeng 我已经禁止fsockopen函数,好像没那么厉害了。 还用了iptable做了一些规则,不过完全是小白跟着网上的教程做,不知道原理是什么,不知道VPS还有其他漏洞不。


    @AstroProfundis 是呀,kolox面板,之前有收过邮件警告说我的什么设置,会导致DNS递归攻击。估计是这个原因,但是那时也是在网上找教程作了一下修复。好像今个月并不管用。大约半年前开始,每个月的GB OUT都达到数十G甚至上百G,(我的VPS就放几个个人网站,正常才1GB不到)


    @nsxuan 不知道有没有什么SHELL指令是可以搜索到的。我试过 find /home/admin/ | xargs grep set_time_limit // 但是很多PHP文件都会有这段代码,好像也没什么异常。


    @ihacku 非常感谢你的链接!
    AstroProfundis
        10
    AstroProfundis  
       2013-11-06 12:42:36 +08:00   ❤️ 1
    @Sukizen 你从别的机器 dig 一个大网站的域名比如 Google 啥的,如果返回的是空或者无法查询就不是这个问题了,如果有结果的话,把 DNS 的递归查询关掉,或者只监听 127.1 或者用 iptables 把 UDP 53 端口封了
    Sukizen
        11
    Sukizen  
    OP
       2013-11-06 18:08:39 +08:00
    @yangqi
    @xmbaozi
    @xdeng
    @AstroProfundis
    @nsxuan
    @thinkxen
    @ihacku
    @AstroProfundis

    最新发现,是自己的一个限制很久很久的DISCUZ被注册大量用户,采集大量帖子(15万条以上)
    是DISCUZ的漏洞吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1005 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 21:50 · PVG 05:50 · LAX 13:50 · JFK 16:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.