當前位置:首頁 > 幫助中心 > 一般知識 > 高手必讀
  • 幫助中心
高手必讀
關於服務器頻繁內網攻的處理方法
作者: adminnimda更新時間:2013/1/15
請你上服務器手工運行以下補丁程序:
1. 打開附件: udp.rar(點擊下載)
2. 解壓後修改:chgdns.vbs 將Const T_NEWDNS記錄修改成服務器所用的DNS
3. 解壓後雙擊"udp.bat"即可自動創建安全規則。
若要核實安全規則是否創建成功,您可點擊開始-程序-管理工具-本地安全策略-IP安全策略,若存在“DropUDP”則表明安全策略創建成功, 若您是Linux主機,請使用iptables自行創建相關規則。
特別提醒:因爲病毒對網絡影響很大,特別是用了dede CMS系統的,更要注意,最近90%攻擊源來自這個系統,他有個漏洞已公開可上傳腳本木馬.
防止php木馬
1、防止跳出web目錄
首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄裏操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的 web目錄是/usr/local/apache/htdocs,那麽在httpd.conf裏加上這麽幾行:
php_admin_value open_basedir /usr/local/apache
/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in
/usr/local/apache/htdocs/open.php on line 4
等等。
2、防止php木馬執行webshell
打開safe_mode,
在,php.ini中設置
disable_functions= passthru,exec,shell_exec,system
二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的
disable_functions= passthru,exec,shell_exec,system
防內網攻擊
disable_functions= passthru,exec,shell_exec,system, 後面加上php處理文件的函數
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成爲
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir,fopen,fread,fclose,fwrite,file_exists
,closedir,is_dir,readdir.opendir,fileperms.copy,unlink,delfile
PHP腳本DDOS攻擊的原因及php腳本部分源碼:
1. $fp = fsockopen("udp://$ip", $rand, $errno, $errstr, 5);
2. if($fp){
3. fwrite($fp, $out);
4. fclose($fp);
php腳本中的 fsockopen 函數,對外部地址,通過UDP發送大量的數據包,攻擊對方。
解決方案:可通過 php.ini ,禁用 fsockopen 函數,及使用Windows 2003的 安全策略 屏蔽本機的UDP端口。
1、禁用 fsockopen 函數 。
查找到 disable_functions ,添加需禁用的函數名,如下:
1. passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,
2. readlink,symlink,popepassthru, 重啓IIS後即可生效。
防UDP 等對外攻擊,可以使用下面的代碼。
disable_functions=passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,
ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru, stream_socket_server
以上操作可完全阻止php木馬,但是利用文本數據庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,我們可以給apache降降權限。
net user apache fuckmicrosoft /add
net localgroup users apache /del
我們建立了一個不屬於任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啓apache服務,這樣,apache就在低權限下運行了。