這類攻擊有一個(gè)最大的特性，就是上傳流量霎時(shí)增大，通常流量高達(dá)數(shù)十以至近百M(fèi)，將整臺效 勞器，以至將整臺機(jī)柜的寬帶堵住，使網(wǎng)站無法運(yùn)轉(zhuǎn)，而這樣的攻擊，我們無法從遠(yuǎn)程處理，一但那個(gè)phpshell運(yùn)轉(zhuǎn)，你的寬帶將被全部占用，遠(yuǎn)程都無法 銜接。

　　被攻擊后能做的只要聯(lián)絡(luò)機(jī)房的工作人員，讓他進(jìn)到你的效勞器里把你的IIS關(guān)掉，再沒查分明是哪個(gè)站點(diǎn)被入侵時(shí)，盡量一個(gè)站點(diǎn)也不要開，以免再 次遭到攻擊，怎樣看是不是這個(gè)攻擊呢，不能說關(guān)掉ISS好了，就是這種攻擊了，而要依據(jù)更精確的查看，才能夠肯定是什么問題，翻開360平安衛(wèi)士，然后翻 開功用大全，到里面找到流量防火墻，在這里你能夠看到每一個(gè)進(jìn)程的上傳和下載流量的幾，留意躲藏的系統(tǒng)效勞也要點(diǎn)開看一下，普通都是上傳超大才是 phpddos攻擊，而且普通都會在w3wp.exe和mysql.exe上傳流量會很大，最小也幾百M(fèi)，最大幾G，好曉得是這個(gè)攻擊了，我們就來想方法 處理。

　　處理辦法：

　　1.應(yīng)用360流量防火墻，把w3wp.exe和mysql.exe的上傳流量限制一下，依據(jù)你效勞器本身寬帶的狀況停止限制，普通限制在 200—300KB都沒什么問題，這樣就不怕phpshell發(fā)起大流量攻擊了，不過這個(gè)方法有一個(gè)缺陷，就是當(dāng)你重新啟動效勞器時(shí)，你之前所限制 w3wp.exe和mysql.exe就不起作用了，要重新限制一下，用這個(gè)辦法的朋友一定要留意這一點(diǎn)。

　　2.經(jīng)過更改php運(yùn)轉(zhuǎn)環(huán)境來處理，翻開php.ini找到disable_functions=這項(xiàng)，然后把后面改成 gzinflate,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen。 將allow_url_fopen = Off，再找到extension=php_sockets.dll這項(xiàng)，把前面加上分號，就是屏蔽掉這項(xiàng)。

　　3.經(jīng)過查找攻擊源處理，批量查找一切網(wǎng)站內(nèi)能否存在phpshell攻擊源代碼，源代碼為(由于代碼太亂以圖片方式展現(xiàn)給大家)如圖：


經(jīng)過批量查找網(wǎng)站內(nèi)能否有類似上圖的源碼，找到后刪除，把網(wǎng)站權(quán)限設(shè)置為不可寫入，這樣在沒有修補(bǔ)好這個(gè)網(wǎng)站破綻前，不會再被植入木馬了。

美國快速服務(wù)器

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。