说到CPU跑满100%情况,首先想到主机配置太低、网站流量太大、网站中毒,作为国内第一大开源程序织梦,很多黑客在研究漏洞,织梦站点用户在50W左右,那么黑客攻击下来后挂上自己的广{ m / F 2 ^ $告打3 | b i N N A } z来收益。这也是为什么那么多黑客研究织梦的原因。
前几个月,发现不少用户的服务器出现CPU100%的情况,经检查后,大部分| 1 T是php(dedecms居多)程序导致的,而且自己维护的几个网站也出现同样情况,并且收到过机房告B N y知服务器外发攻击的通告,于是马上检查x C Q ,网站,并进行问题排查。 发现占用CPU的网站用的都是dede程. ` * O p 6 n 0 G序,检查文件后,发现plus文件夹1 T . + L 0 s f i下有几个M w z异常文件,从文件修改s 2 I O时间上看与其他文件截w ~ A & [ w ] - U然不同(出了缓存文件以及配置文件,大部分文件的修# G \ S x 8 [ h c改时间都是一致的)。
偶,马依噶,~ e R中毒了
打开查看里面的源码,都存在’IP”post’等奇怪代码,再通过文件对比,这些异常文件都是多出的,果断删除。重新开启网站,CPU正常,没有出现100%的情况。为了防止再出现类似情况,可以通过禁用php的fsockopen 函数以及屏蔽服务器的UDP端口来防止被利用php-ddos外发udp攻击。屏蔽了服务器被利用外发udp攻击这个比较好办,最重要的是要堵住网站漏洞,因为就算攻击发不出,只要恶意代码被执行了,一样会占用大量CPU%,照样影响网站的运行。
下面介绍禁用phpH y ( W的fsockopen 函数以及屏蔽服务器的UDP端口的方法:
1.禁用函数
打开php.ini查找到 disable_functions ,添加需y a d 6 I禁用的函数名,如下例:
passthru,V / | ~exeT l d ~ 8 , s 2c,system,chroot,scandir,Z n * 4 6 W . z lchgrp,chown,shD 3 j x 4 j cell_exec,p; U 0 i ; i kroc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,pS n j Qopepassthru,s~ - Itre[ i ~ P \ E J o Eam_socket_seq ! G krver,fsocket,fsockopen
这样就可以禁用php的fsockopen 函数。
2.屏蔽UDP端口
将以下蓝色文本复制到记事本,另存为 banudp.bat 或任意名,双击运行即可。
REM 添加安全策略,名称
netsh ipsec static add policy name=我的安全策略
REM 添加 IP筛选器列表
netsh ipsec s( 4 htatic add filterlist name=允许列表
netsh ipsec static add filterlist name=拒绝列表
REM 添加筛选器到IP筛选器列表(允许上网)
netsh ipsec static add filter filterlist=允许列表 srcaddr=me dstaddr=209.11.240.36 description=dns访问 protocol=udp mirrored=yes dstport=53
REM 添加筛选器到IP筛r P F $ 5 5 k选器列表(不让别人访问)
netsh ipsec static add filter filterlist=拒绝列表 srcaddr=me dstaddr=any description=别人到我任何访问 protocol=udp mirrored=yes
REM 添加筛选器操作
netsh ipsec static add filteraction n. ; \ _ m c f S Rame=可以 action=perm: y - 5 v ? ! z Hit
netsh id = x J P T d [psec static add filteraction name=不可以 action=block
REM 创建一个链接指定 IPh o N % U XSec 策略、筛选器列表和筛选器操作的规则(加入规则到我的安全策略)
netsh ipse| b Y O E 2 Sc stati) * s H ^c ada 3 r ~d rule name8 E g ? ] W=允许规则 policy=我的安全策略 filterlist=允许列表 filteraction=可以
netsh ipsec static add rule name=拒绝规则 policy=我的安y t Y ( Q全策略 filterli` 7 ~ \ ; u { ^st=拒绝列表 f? j X 9 $ g Qilteraction=不可以
REM 激活我的安全策略
netsh ipsec stati6 1 \ C ac set policy name=我的安全策略 assign=y
以上方法都C I V是针对windows主机的。希望对建站的朋友们有些帮助。
最主要的织梦程序的安全防护:
1、目录权限
我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:H D = y 0 0 d
(1) data、templets、uploads、a或5.c R /3的html$ E b ) s S V i =目录, 设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删9 c 5除 special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录 设置为可执行脚本,可1 l } J读,但不可写入(t * J c |安装了附加模块的,book、asC + T 0 \ k 4k、companO % P D by、group 目录同样如l W e | x t ; b X此设置)。
2、删除易被挂马的系统文件
安装完成后会有一些文件,可以说是冗余文件,完全没有作用,反而带来被黑的危险,删除即可,以下目录文件均可删除:
/instR ( T 2 i , jall
安装后的余留文件,没用,整个文件夹删除H ^ . q e n 0 E
/member
会员功能文件,大数企业站没用,文件夹删除,若需要会员功能的就不能删N L B U 6 (
/special
专题2 L V R X ) % n功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的
/tags.php
TAG标签,没有此功能可删除
/dede/tpl.php
文件上传管理系统文件,易被挂马,强烈建议删除或者不用时请改名(tpl备用.php)
/dede/templets_*.php
模板管理功能,老手建议删除,使用FTP管理
/dede/media_*.php
附件数据管理功能文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/d @ E Jdede/file_*.php
文件式管理器功能控制器文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/mytag_*.f Q q O Zphp、mytag_tag_*.php
自定义标记管理,易被上传一句话木马
/dedw W 8 B Y | b { be/G x s x Mstory_*.php
小说功能,可删除
/dede/erraddsave.php
纠错功能_ @ [ K -,可删除
/dede/feedback_*.php
评论管理,可删除
/dede/group_*.php
圈子功能,很少用到,可删除
/dede/co_*.php
采集, z X Z { W控制文件,可删除
/dW d a s e % - \ede/cards_*.php
点卡功能功能,可删除
/ded6 G a x x se/ad_*.ph9 = 1 i o Z Ap
广告管理添加/删除文件,企业站一般不用B = o 1 ~ s O可删除
/dede/spec_*.php
专, f : # !题管理,没有专题页面,可删除
/dede/vote_*.php
投票功能,可5 1 H .删除
/dede/sys_sql_query.php
SQL命令运行器,2 ~ % D b不需要的话可以改名为(sys_sql_query安全禁用.php)也可以删除v F ] 7 N L
/plus/guestbook
留言簿模块,整体删除,容易SQL注入及垃圾留言,+ $ Y z G t ~ L 1
/plus/tas? C k d d c 5k和taskf @ l L.php
计划任务控制文件,文件夹和文件都删除
/plus/bookfeedback.php、bookfeedback_js.php
图书评论和评论调用文件,存在注入漏洞,不安全
/plus/bshare.php
分s R $ Z _ i享插件
/plus/ad[ 9 f C u_js.php
广告插件,新闻资讯站用到的,请勿删除
/plus/car.php、posttocar.php、carbuyactios 3 [ E , \ on.php
购物车
/plus/comments_frame.php
调用评论,存在安全漏洞
/2 | Qplus/digg_ajax.php、digg_frame.php
顶踩
/plus/download.php、disdls.php
下载和次数统计
/plus2 | ) # ^ 4 6 E/erraddsa0 [ ~ve.php
纠错
/plN ; a R I 3 G #us/feedback.php、feedback_ajax.php、f& V P Feedback_js.php
评论
/plus/stow.php
内容收藏
/plus/vote.php
投票