Loading...

防止php fsocksopen函数发起DoS攻击的一个思路

前段时间,因为某些用户的dedecms程序被黑,被黑的脚本利用php的fsocksopen对外发起DoS攻击,所以我不得不禁止fsockopen函数,实际上,很多国内国外的主机商都是禁止这个函数的。

实际上,多数情况下fsocksopen可以用curl替代之,后者更加安全,然后依然有部分程序,如aksimet反垃圾插件,discuz论坛都需要fsocksopen来支持,所以如果可能,我觉得还是打开fsocksopen函数比较人道。

因此,我想到了一个方案,不知道是否可行:

  1. 写了一个脚本,定期扫描用户的文件,专门揪出那些有fsocksopen函数的文件,同时看看是否有被黑的标志,如果有,则标记为可疑文件;
  2. 用iptables监控流量,1分钟一次,如果发现outbound流量异常,则dump下当前的所有进程,以供后期人工排除查看;
  3. 将进程中的php文件 和可疑文件列表相对照,如果有吻合的文件,马上kill掉进程,同时将此文件属性标记为000,并且邮件通知;

当然,上面的1,2,3将会用脚本自动完成 。
这仅仅是一个想法,等到测试确实可能之后,homezz将会再次支持fsocksopen函数

发现一个问题:

  1. 若用户的php脚本进行了简单的base64加密,判断难度增加;
  2. 若php脚本进行了其他方式的加密,则无法扫描;

所以,目前还是有无法开启fsocksopen
此种方案不太完美

标签:,
发表于 2011-11-18 11:49:57 目录:互联网事 [RSS 2.0] 你可以发表评论, 或者从您的网站 trackback
  • 相关阅读
  • homezz 美国专业主机商
    已经有5位大师动手指导 拒绝低俗
    • 1楼 天毅 在2011.11.18 11:55发表评论如下: 回复

      东哥技术威武,期望尽快恢复fsocksopen

      • 2楼 Black-Xstar 在2011.11.18 12:10发表评论如下: 回复

        真蛋疼。。。
        还不如写个通用函数,用curl实现fsocksopen啊。

        • 3楼 潘 韬 在2011.11.19 20:18发表评论如下: 回复

          似乎 得叫一声江东大哥哥,哈哈,能做好生意 还能写自己的程序 ,唉,我怎么就没这个能力 呢?生意 难做啊……

          • 4楼 南京海外旅游公司 在2011.12.13 23:25发表评论如下: 回复

            旅游信息呢?

            • 5楼 MagicBear 在2012.02.07 23:42发表评论如下: 回复

              国內主要DDOS是udp 80 port
              iptables -I OUTPUT -p udp –dport 80 -j DROP

              就ok

              评论分页: 1
              (Required)
              (Required, not published)
              如果留言未显示无需重复留言,我将为你恢复!