全球主机交流论坛

标题: linux服务器下如何快速找出phpddos程序？ [打印本页]

作者: Ruclinux 时间: 2013-11-26 22:48
标题: linux服务器下如何快速找出phpddos程序？
一般的phpddos程序里会有什么语句？全盘搜索可行？谢谢了.
VPS服务器提供商暂停了机器，说是我的VPS向往发了近40G流量的包. 但是重装太麻烦，又怕备份后phpddos程序遗留在备份数据里. 所以有可能的话最好是在服务器里找出来删了它们. 不知道应当如何操作呢？谢谢了........

作者: cpuer 时间: 2013-11-26 22:50
重点关注dedecms plus目录

作者: Ruclinux 时间: 2013-11-26 22:52

cpuer 发表于 2013-11-26 22:50
重点关注dedecms plus目录

我并没有安装dedecms.
谢谢了

作者: adochina 时间: 2013-11-26 22:55

Ruclinux 发表于 2013-11-26 22:52
我并没有安装dedecms.
谢谢了

那你最好说下你用得什么啊

作者: wzwen 时间: 2013-11-26 22:57
看web日志，一般有个ip频繁的访问某个php文件，找到可疑的文件打开一看就知道了

作者: 晓白 时间: 2013-11-26 22:58
提示: 作者被禁止或删除内容自动屏蔽

作者: txjcv 时间: 2013-11-26 22:59
楼上正解

作者: Ruclinux 时间: 2013-11-26 23:16

晓白发表于 2013-11-26 22:58
find+egrep 查找

查找哪些语句？谢谢了.

作者: Ruclinux 时间: 2013-11-26 23:18

wzwen 发表于 2013-11-26 22:57
看web日志，一般有个ip频繁的访问某个php文件，找到可疑的文件打开一看就知道了 ...

我并没有开启web日志.

作者: Ruclinux 时间: 2013-11-26 23:19

adochina 发表于 2013-11-26 22:55
那你最好说下你用得什么啊

一个WordPress 3.7.1 一个Discuz! 6.0.0 一个Discuz! X2

作者: app 时间: 2013-11-26 23:30
我平时是这样。。。
find /home/* -type f -name "*.php" |xargs grep "udp://" > /root/scan.txt

作者: 睡在键盘上 时间: 2013-11-26 23:30

晓白发表于 2013-11-26 22:58
find+egrep 查找

收藏了

作者: Ruclinux 时间: 2013-11-27 05:06

app 发表于 2013-11-26 23:30
我平时是这样。。。
find /home/* -type f -name "*.php" |xargs grep "udp://" > /root/scan.txt ...

没有找到.
官方技术人员给的日志里明显是udp发包，但是却找不到包含这个字符窜的内容.
谢谢了

作者: Ruclinux 时间: 2013-11-27 05:11

40G呀，谁这么狠，花我这么多流量去打别人.
官方技术说，看我是长期用户，并且信誉一直良好，所以他们知道不是我的行为.只是建议我备份后重装系统.
但我又心有不甘，数据太多太乱了，重装太麻烦.

作者: Ruclinux 时间: 2013-11-27 09:47
管理员说白天的人多一些.

作者: 采花大盗 时间: 2013-11-27 10:04
先把socket禁用掉,,查找最新修改的文件,关闭上传目录的执行权限.慢慢找

可能你的那个被混淆了,用lsof看下有没有被打开的文件

作者: Ruclinux 时间: 2013-11-27 18:18

采花大盗发表于 2013-11-27 10:04
先把socket禁用掉,,查找最新修改的文件,关闭上传目录的执行权限.慢慢找

可能你的那个被混淆了,用lsof看下 ...

谢谢，我是小白菜，您能说得详细些吗？

作者: ★Extreme★ 时间: 2013-11-27 18:39
执行这个:
grep "fsockopen" 网站目录/*.php
grep "pfsockopen" 网站目录/*.php

出现的文件文件就有可能是phpddos的。当然，只是可能，PHP程序smtp那些也用这个函数，最好自己判断吧。

另外，我也有几个非常好的方法（不是用iptables）防PHPDDOS。只是有点麻烦。

作者: fansfan 时间: 2013-11-27 19:08

★Extreme★ 发表于 2013-11-27 18:39
执行这个:
grep "fsockopen" 网站目录/*.php
grep "pfsockopen" 网站目录/*.php

学习了

作者: yrdesign 时间: 2013-11-27 19:10
提示: 作者被禁止或删除内容自动屏蔽

作者: 采花大盗 时间: 2013-11-27 19:12

Ruclinux 发表于 2013-11-27 18:18
谢谢，我是小白菜，您能说得详细些吗？

禁止执行权限
http://help.dedecms.com/install-use/server/2011/1109/2124.html

禁用 fsockopen 函数
Windows:http://hi.baidu.com/haibo0625/item/d5c7d7d45f3e44916dce3fa4
Linux同上,也可以用iptables屏蔽udp协议

至于lsof这个linux命令你百度看看吧

作者: uuis 时间: 2013-11-27 19:27
就担心.ppdos 一般都是加密了的...

作者: ihsky 时间: 2013-11-27 19:40

作者: weed 时间: 2013-11-27 19:59

★Extreme★ 发表于 2013-11-27 18:39
执行这个:
grep "fsockopen" 网站目录/*.php
grep "pfsockopen" 网站目录/*.php

说说怎么防御呢

作者: 521vps 时间: 2013-11-27 20:38
下载到本地安全狗或者护卫神查杀一下

作者: yjlml 时间: 2013-11-27 20:43
用iptables屏蔽udp协议
iptables -I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT #允许UDP服务IP

iptables -A OUTPUT -p udp -j DROP #禁止udp服务

作者: ghost 时间: 2013-11-27 23:53

iptables -A OUTPUT -p udp -j DROP

要看你機上有提供什麼服務,如果 DNS 在上面...

作者: Captain 时间: 2013-11-28 00:14
会不会root被拿下了？比如用了中文版的ssh工具？

作者: Ruclinux 时间: 2013-11-28 01:04

★Extreme★ 发表于 2013-11-27 18:39
执行这个:
grep "fsockopen" 网站目录/*.php
grep "pfsockopen" 网站目录/*.php

谢谢您的指教，我试试看.........

作者: Ruclinux 时间: 2013-11-28 01:07

yrdesign 发表于 2013-11-27 19:10
360 网站扫下。后门木马。

不知道为什么我的服务器无法用360的后门查杀. 扫了一会就提示“扫描失败”.

作者: Ruclinux 时间: 2013-11-28 01:10

采花大盗发表于 2013-11-27 19:12
禁止执行权限
http://help.dedecms.com/install-use/server/2011/1109/2124.html

谢谢您的指教，我试试看...............

作者: Ruclinux 时间: 2013-11-28 01:30
谢谢所有回复的朋友了，

作者: 我是天际女友 时间: 2013-11-29 18:50
打开日志记录，然后重点检查年代久远的程序，例如刚才你提到的Discuz 6.0

欢迎光临全球主机交流论坛 (https://443502.xyz/)