最近有很多web服务器受到攻击,但这种攻击不是平常的ddos攻击,而都是对外发包,一般被机房发现任何人免不了被拔网线的痛苦,解决方法,大多叫重装系统等,其实这解决不了问题,因为你重装后站架上去还是会对外发包,还有一种方法解决只有加硬防,这样过滤掉一些数据包。
真正受到这样的攻击,上面肯定是有php站点,网络上有很多解决方法,我们也可以用,比如我们在php.ini里面禁用fsocketopen函数,还有关闭url_open等,以及在系统策略里面禁用udp协议,但只让通过udp协议的53端口(也许这句我说的不对,但大概是这样)其实这些是利用对外发udp协议的包才这样做,最近又有利用tcp协议来对外发包,都是对外部服务器的80端口发包,这样真难了服务器管理员,因为封了对外的80端口,可有些采集或DZ的云服务都用不了,所以只能再单独开对DZ的云服务器的IP开放80了,其实最关键的还是要找到那个对外发包的站点,的某个文件。如果是在linux下就有点难了。今天我用了如下命令可以查找:
# find <directory> -type f -name "*.c" | xargs grep "<strings>" <directory>是你要找的文件夹;如果是当前文件夹可以省略 -type f 说明,只找文件 -name "*.c" 表示只找C语言写的代码,从而避免去查binary;也可以不写,表示找所有文件 <strings>是你要找的某个字符串
我按上面的详解就改了一下成自己所用如:find ./ -type f |xargs grep "port"
就是我要查找如port关键字字符串,在当前目录下。Linux的策略只能在iptables上弄了。怎么加规则请看我的iptalbes的文章。
