全球主机交流论坛

标题: 如何防止客人上传 PHPDOS [打印本页]

作者: app 时间: 2012-6-22 11:53
标题: 如何防止客人上传 PHPDOS
如何防止客人上传 PHPDOS

客人凌晨上传了PHPDOS 进行大规模攻击害我一个分销帐号被停掉了。数据拿不回了。

有没有办法防止客人做类似的行为？

作者: iyuheng 时间: 2012-6-22 11:53
禁止某些函数

作者: vagaa 时间: 2012-6-22 11:54
找A大

作者: rockszq 时间: 2012-6-22 11:57

iyuheng 发表于 2012-6-22 11:53
禁止某些函数

禁止函数基本没什么效果，完全屏蔽UDP端口才行。或者直接在网卡设置只允许几个常用的端口，其他全部封掉

作者: app 时间: 2012-6-22 12:00

rockszq 发表于 2012-6-22 11:57
禁止函数基本没什么效果，完全屏蔽UDP端口才行。或者直接在网卡设置只允许几个常用的端口，其他全部封掉 ...

指教一下

作者: Kvm 时间: 2012-6-22 12:32
http://www.lilynana.eu.org/thread-125765-1-1.html

依葫芦画瓢自己修改下

作者: aijusq 时间: 2012-6-22 13:52
提示: 作者被禁止或删除内容自动屏蔽

作者: app 时间: 2012-6-22 15:25

aijusq 发表于 2012-6-22 13:52
win下面吗

是LINUX的亲

作者: samuel 时间: 2012-6-22 15:27
MARK一下，有用

作者: imtu 时间: 2012-6-22 15:35
MARK一下

作者: loveminds 时间: 2012-6-22 15:48
http://www.nigesb.com/phpddos-code.html 不好搞，除非禁UDP
禁用fsockopen攻击者就会用pfsockopen（不能两个都禁，影响很多正常程序）

作者: loveminds 时间: 2012-6-22 15:51
不管是VPS暂停还是独服下架应该都能拿回数据吧~除非网监扣机器

作者: Captain 时间: 2012-6-22 15:57
禁止dede

作者: baljeans 时间: 2012-6-22 19:59
提示: 作者被禁止或删除内容自动屏蔽

作者: loveminds 时间: 2012-6-22 23:14

baljeans 发表于 2012-6-22 19:59
彻底禁用fsockopen和pfsockopen才可以，只禁用udp包不行的，去年就流行改发tcp包了。。。。。。 ...

两者都禁用会造成更大的弊端

作者: cxm 时间: 2012-6-22 23:16
不接dede

作者: 有个就好 时间: 2012-6-23 00:10

loveminds 发表于 2012-6-22 23:14
两者都禁用会造成更大的弊端

我的机器全禁用这2个函数，生产环境

作者: 火雪心 时间: 2012-6-23 04:31
禁止DEDE

作者: woyo 时间: 2012-6-23 20:23
很简单，上传的东西全部当成静态处理

作者: loveminds 时间: 2012-6-24 03:10
本帖最后由 loveminds 于 2012-6-24 03:12 编辑

有个就好发表于 2012-6-23 00:10
我的机器全禁用这2个函数，生产环境

还有stream_socket_client，不可能全都禁，要不连DZ都装不了

作者: 云向东 时间: 2012-6-24 07:40
学习了

作者: geyunbing 时间: 2012-6-24 08:24
提示: 作者被禁止或删除内容自动屏蔽

作者: wfqvip 时间: 2012-6-24 09:12
摒弃dedecms

作者: 有个就好 时间: 2012-6-24 10:37

loveminds 发表于 2012-6-24 03:10
还有stream_socket_client，不可能全都禁，要不连DZ都装不了

全部都禁了，包括stream_socket_client

作者: loveminds 时间: 2012-6-24 14:50

有个就好发表于 2012-6-24 10:37
全部都禁了，包括stream_socket_client

自己写函数~~~

function b_fsockopen($host, $port, &$errno, &$errstr, $timeout) {
$ip = gethostbyname($host);
$s = socket_create(AF_INET, SOCK_STREAM, 0);
if (socket_set_nonblock($s)) {
$r = @socket_connect($s, $ip, $port);
if ($r || socket_last_error() == EINPROGRESS) {
$errno = EINPROGRESS;
return $s;
}
}
$errno = socket_last_error($s);
$errstr = socket_strerror($errno);
socket_close($s);
return false;
}

复制代码

找到使用fsockopen函数的代码段，将上面代码加至其上端，搜索该代码段中的字符串 fsockopen( 替换为 b_fsockopen( ~用socket_read( 替换掉 fread( ，用socket_write( 替换掉fwrite( ，用socket_close( 替换掉fclose( 。

作者: 有个就好 时间: 2012-6-24 15:00

loveminds 发表于 2012-6-24 14:50
自己写函数~~~

找到使用fsockopen函数的代码段，将上面代码加至其上端，搜索该代码段中的字符串 fsockop ...

socket_ 开头的全部禁用了

作者: loveminds 时间: 2012-6-24 17:07

有个就好发表于 2012-6-24 15:00
socket_ 开头的全部禁用了

那Dz等一大堆东西的兼容性怎么办~

作者: cpuer 时间: 2012-6-24 17:10
一般不是用户上传的，是dedecms程序被黑了给上传了这段PHPDDOS代码。

针对dedecms做规则修改，一般要有服务器权限。

作者: 有个就好 时间: 2012-6-24 18:18

loveminds 发表于 2012-6-24 17:07
那Dz等一大堆东西的兼容性怎么办~

DZX2.5完全正常运行

作者: wvidc 时间: 2012-6-24 18:25
disable_functions = fsockopen,gzinflate,set_time_limit

作者: loveminds 时间: 2012-6-24 20:25

wvidc 发表于 2012-6-24 18:25
disable_functions = fsockopen,gzinflate,set_time_limit

你这种方式，pfsk或者stream_socket_client就行

作者: 哆啦A梦 时间: 2012-6-24 20:31
是vps还是虚拟空间么？

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)