Linux防止PHPDDOS流量外出攻击
2012-04-17 14:10:47 来源: 评论:0 点击:
解决phpddos的方法除了禁用函数和udp包过滤外没什么好办法
以下教您通过改变一些linux服务器及php的安全的设置,来禁止挂马后成为ddos攻击源
1.php.ini禁掉php调用系统的exec之类的参数
在php.ini中加入如下一行
disable_functions=symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd
2、编写个sh脚本,用来修改iptable的设置,禁止服务器的ouput对外发udp包(本机设置的域名解析服务器除外)
vi phpddos.sh
进入vi编辑器后,将下面命令黏贴进去
#!/bin/sh
NSIP=`cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'`
/sbin/iptables -A OUTPUT -p udp -j DROP
/sbin/iptables -I OUTPUT -p udp --dport 53 -d $NSIP -j ACCEPT
如果是tcp协议的话,可以用下面一段iptables:
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j DROP
然后chmod +x phpddos.sh
最后./phpddos.sh
执行下这个sh脚本,大功告成。
保存为脚本或者直接运行
脚本意思是,从resolv获取本地dns地址,用iptables封udp out所有端口,最后再开放dns 53号端口,从而达到防止DDOS对外攻击
以下教您通过改变一些linux服务器及php的安全的设置,来禁止挂马后成为ddos攻击源
1.php.ini禁掉php调用系统的exec之类的参数
在php.ini中加入如下一行
disable_functions=symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd
2、编写个sh脚本,用来修改iptable的设置,禁止服务器的ouput对外发udp包(本机设置的域名解析服务器除外)
vi phpddos.sh
进入vi编辑器后,将下面命令黏贴进去
#!/bin/sh
NSIP=`cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'`
/sbin/iptables -A OUTPUT -p udp -j DROP
/sbin/iptables -I OUTPUT -p udp --dport 53 -d $NSIP -j ACCEPT
如果是tcp协议的话,可以用下面一段iptables:
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j DROP
然后chmod +x phpddos.sh
最后./phpddos.sh
执行下这个sh脚本,大功告成。
保存为脚本或者直接运行
脚本意思是,从resolv获取本地dns地址,用iptables封udp out所有端口,最后再开放dns 53号端口,从而达到防止DDOS对外攻击
分享到:
收藏
收藏
