这是一个创建于 4037 天前的主题,其中的信息可能已经有所发展或是发生改变。
一个VPS,常年每个月都跑不满200G流量流量的千分之一。上个月月底收到邮件警告说已经超过90%流量配额了,当时不以为然。
11月的第5天,我就被刷走了80G流量。
一直找不到到底是哪个PHP文件受到感染,有没有经验分享一下。
有没有V友对LINUX熟悉的,不知道两包烟钱能找出问题所在并且有解决方案不。
11月的第5天,我就被刷走了80G流量。
一直找不到到底是哪个PHP文件受到感染,有没有经验分享一下。
有没有V友对LINUX熟悉的,不知道两包烟钱能找出问题所在并且有解决方案不。
 |
1
yangqi 2013-11-06 03:53:00 +08:00  1
你怎么知道就一定是php?也有可能某个文件被盗链,或者vps被黑,或者某些代理被扫到了
|
 |
2
Sukizen OP @yangqi 文件盗链的几率不大。 VPS被黑和被代理扫到有可能。
关键是我不懂服务器的东西 :D 我找了一天的资料,并且安装了iftop和安全狗,发现是UDP的流量很大,后来我禁止了fsockopen函数,好像好了点。 因为我的网站程序有用到DISCUZ,好像禁止了fsockopen函数会有影响。 现在考虑备份文件,然后重装系统。 但是如果文件里面感染了PHPDDOS的代码,应该要查找什么特征码呢? 夜深了,谢谢你的回复。 |
 |
3
xmbaozi 2013-11-06 07:57:49 +08:00 via iPhone 1
网上有个python脚本,挺好用的,可以查一下看看
|
 |
4
xdeng 2013-11-06 09:09:18 +08:00 1
DISCUZ 自带了 文件校验 的在后台。。。 UDP的基本可以确定是ddos了
|
 |
5
AstroProfundis 2013-11-06 09:18:28 +08:00 1
你是不是装了dns服务器...
|
 |
6
nsxuan 2013-11-06 09:36:02 +08:00 via iPad 1
查看文件修改时间
或者搜索 set_time_limit |
 |
7
thinkxen 2013-11-06 10:11:41 +08:00 via Android 1
看网站日志
|
 |
8
ihacku 2013-11-06 10:35:44 +08:00 1
试试这个扫一下 https://github.com/cfc4n/pecker
|
|
9
Sukizen OP @xmbaozi 好的我去找找
@xdeng 我已经禁止fsockopen函数,好像没那么厉害了。 还用了iptable做了一些规则,不过完全是小白跟着网上的教程做,不知道原理是什么,不知道VPS还有其他漏洞不。 @AstroProfundis 是呀,kolox面板,之前有收过邮件警告说我的什么设置,会导致DNS递归攻击。估计是这个原因,但是那时也是在网上找教程作了一下修复。好像今个月并不管用。大约半年前开始,每个月的GB OUT都达到数十G甚至上百G,(我的VPS就放几个个人网站,正常才1GB不到) @nsxuan 不知道有没有什么SHELL指令是可以搜索到的。我试过 find /home/admin/ | xargs grep set_time_limit // 但是很多PHP文件都会有这段代码,好像也没什么异常。 @ihacku 非常感谢你的链接! |
|
10
AstroProfundis 2013-11-06 12:42:36 +08:00 1
@Sukizen 你从别的机器 dig 一个大网站的域名比如 Google 啥的,如果返回的是空或者无法查询就不是这个问题了,如果有结果的话,把 DNS 的递归查询关掉,或者只监听 127.1 或者用 iptables 把 UDP 53 端口封了
|
|
11
Sukizen OP @yangqi
@xmbaozi @xdeng @AstroProfundis @nsxuan @thinkxen @ihacku @AstroProfundis 最新发现,是自己的一个限制很久很久的DISCUZ被注册大量用户,采集大量帖子(15万条以上) 是DISCUZ的漏洞吗? |
Select Language