维护服务器3年来一直没有任何问题,但最近一个月来老实网络不通,而一停止IIS服务i,则会正常。
让机房接上KVM,然后对系统进行监控,发现该服务器w3wp.exe 发出的DDOS流量很高,想到肯定是某个网站利用一些漏洞向外发流量,通过分别禁止.NET2.0、asp,php发现问题出在了PHP上。
接着从网上搜索PHP木马相关关键词,发现如下内容:
fsockopen函数存在着重大安全隐患,使用该函数的网站容易被黑客利用外发流量,为了维护客户们的权益,建议广大租机、云主机、vps客户禁用函数fsockopen()函数,减少外发流量主机被关的可能性。
如何禁用fsockopen()
首先在服务器搜索出php.ini,然后修改该文件。如下:
1、修改php.ini,将 disable_functions = 后加入 fsockopen
2、修改php.ini,将 allow_url_fopen = On 改为 allow_url_fopen = Off
设置后如何检验是否已经禁用该函数
在网站的目录下新建一个test.php文件
编辑该文件输入以下内容
<?php
echo phpinfo();
?>
然后访问该页面,搜索allow_url_fopen 和disable_functions关键字,查看,如果如下图显示就证明已经禁用函数了