记网站服务器遭遇PHPDDOS攻击

2014年4月10–11日,公司web服务器遭遇PHPDDOS攻击,导致服务器宽带被大量占用,网络延迟很大,无法远程登陆服务器管理。

开始以为是访问量太大导致的,10日发现服务器始终向某一固定IP发送UDP 53的包。采用iptables禁用IP。

1
iptables -I OUTPUT -s 119.42.149.69 -j DROP

然而服务器故障依旧,后来查询资料,发现原来服务器web网站被挂马,PHPDDOS。

现分享解决方法:

1.在linux服务器中输入如下命令:

1
2
3
4
5
iptables -I OUTPUT -p udp –-dport 53 -d 202.103.44.150 -j ACCEPT
iptables -I OUTPUT -p udp –-dport 53 -d 202.103.24.68 -j ACCEPT
iptables -A OUTPUT -p udp -j REJECT
/etc/rc.d/init.d/iptables save
service iptables restart

暂时通过iptables来屏蔽服务器向外发包。

2.查看网站日志,在日志中搜索IP:

1
grep119.42.149.69’ /usr/local/nginx/logs/access.log

寻找服务器中的攻击文件,删除。