沈阳恒昊互联网络有限公司--互联网信息服务商和互联网接入服务商!
当前位置:首页 > 网站建设 > 建站常识
文章正文

恒昊DEDECMS网站PHPDOS攻击解决方案

          近期dedecms漏洞频出,phpdos攻击几乎占据了主流,由于大部分站长因为技术或者其他种种原因没有及时更新系统补丁造成服务器资源占用过大,给服务器安全和稳定性带来很大影响,早晨经理发来信息说有个dedecms程序做的网站流量和cpu占用有些异常,需要处理下,接到任务后笔者赶紧着手进行相关工作的处理,因为之前曾处理过许多类似的案例,所以这次操作起来还算顺手。

           首先需要提取网站的访问日志,查看下是什么原因引起的异常,日志是网站访问的灵魂,通过日志可以了解到很多的东西,从安全到网站的推广优化都能从日志从看出来,对于有些没有开启日志的朋友,笔者建议还是开启的比较好,虽然占用点空间,你可以设置成定期删除,不会因为空间问题给你带来很大的困扰,对于使用虚拟主机的朋友,购买主机的时候就需要咨询空间商是否提供日志功能了。

           有服务器权限的朋友可以到C:WINDOWSsystem32LogFilesHTTPERR 这个文件夹里,查看最新的日志文件,可以通过记事本搜索“host=” 或者“port=”这样的关键字,如果日志里面存在这样的关键字就可以确定服务器存在phpdos攻击力。通过相关的日志可以查看是哪个网站进行的php攻击。

            TM截图未命名.jpg

        上图是笔者查到的相关日志记录,1102是网站在iis里面的标识号,打开iis很容易就找到这个标识号,可以直接定位到是哪个网站进行的攻击,另外一处是攻击网站所在的应用池,通过标识号和应用池都可以很容易定位到攻击网站,如果还找不到是哪个网站的,可以和笔者联系袄。因为笔者是有目地的去排查,所以这个可以忽略掉,我是直接查的网站访问日志,和这个日志内容大体相似。

           攻击类型.jpg

            上图是笔者截取的网站访问日志,可以清晰得看到网站访问日志,访问文件和访问参数信息,根据以上日志分析,可以确定网站是进行了dedecms漏洞的phpdos攻击,攻击文件是/data/cache/templets.php,找到原因和相关文件后后续的处理则比较容易,笔者附上一份攻击文件的代码图片

            攻击文件.jpg

           如果文件里还有以上代码,就可以判定是phpdos攻击,处理方法有2种,第一个就是删除程序里面的攻击文件,然后到dedecms官方升级网站程序,第二种方法就是修改php配置文件,屏蔽相关攻击函数,建议安装星外的防dos攻击php版本,可以很好的解决以上问题。

            普及常识:phpdos攻击

             黑客利用php程序里的socket函数,通过调用该函数直接利用服务器对其他服务器进行攻击,不断的向外发包,将服务器带宽全部占满,这个只能是在服务器上解决,机房没有办法。服务器上常见的症状就是网站打开慢,服务器资源100%,带宽100%,尤其是带宽,几乎全部被占用,停止iis带宽马上正常。

网络经济主体信息