1
yangqi 2013-11-06 03:53:00 +08:00 1
你怎么知道就一定是php?也有可能某个文件被盗链,或者vps被黑,或者某些代理被扫到了
|
2
Sukizen OP @yangqi 文件盗链的几率不大。 VPS被黑和被代理扫到有可能。
关键是我不懂服务器的东西 :D 我找了一天的资料,并且安装了iftop和安全狗,发现是UDP的流量很大,后来我禁止了fsockopen函数,好像好了点。 因为我的网站程序有用到DISCUZ,好像禁止了fsockopen函数会有影响。 现在考虑备份文件,然后重装系统。 但是如果文件里面感染了PHPDDOS的代码,应该要查找什么特征码呢? 夜深了,谢谢你的回复。 |
3
xmbaozi 2013-11-06 07:57:49 +08:00 via iPhone 1
网上有个python脚本,挺好用的,可以查一下看看
|
4
xdeng 2013-11-06 09:09:18 +08:00 1
DISCUZ 自带了 文件校验 的在后台。。。 UDP的基本可以确定是ddos了
|
5
AstroProfundis 2013-11-06 09:18:28 +08:00 1
你是不是装了dns服务器...
|
6
nsxuan 2013-11-06 09:36:02 +08:00 via iPad 1
查看文件修改时间
或者搜索 set_time_limit |
7
thinkxen 2013-11-06 10:11:41 +08:00 via Android 1
看网站日志
|
8
ihacku 2013-11-06 10:35:44 +08:00 1
试试这个扫一下 https://github.com/cfc4n/pecker
|
9
Sukizen OP @xmbaozi 好的我去找找
@xdeng 我已经禁止fsockopen函数,好像没那么厉害了。 还用了iptable做了一些规则,不过完全是小白跟着网上的教程做,不知道原理是什么,不知道VPS还有其他漏洞不。 @AstroProfundis 是呀,kolox面板,之前有收过邮件警告说我的什么设置,会导致DNS递归攻击。估计是这个原因,但是那时也是在网上找教程作了一下修复。好像今个月并不管用。大约半年前开始,每个月的GB OUT都达到数十G甚至上百G,(我的VPS就放几个个人网站,正常才1GB不到) @nsxuan 不知道有没有什么SHELL指令是可以搜索到的。我试过 find /home/admin/ | xargs grep set_time_limit // 但是很多PHP文件都会有这段代码,好像也没什么异常。 @ihacku 非常感谢你的链接! |
10
AstroProfundis 2013-11-06 12:42:36 +08:00 1
@Sukizen 你从别的机器 dig 一个大网站的域名比如 Google 啥的,如果返回的是空或者无法查询就不是这个问题了,如果有结果的话,把 DNS 的递归查询关掉,或者只监听 127.1 或者用 iptables 把 UDP 53 端口封了
|
11
Sukizen OP @yangqi
@xmbaozi @xdeng @AstroProfundis @nsxuan @thinkxen @ihacku @AstroProfundis 最新发现,是自己的一个限制很久很久的DISCUZ被注册大量用户,采集大量帖子(15万条以上) 是DISCUZ的漏洞吗? |