杯具，VPS被暂停 UDP flooding

jamimes

企业站的程序是什么？是不是metinfo

是的话 求加分

cxm

500M的DDOS~~~

瘦够了

检查企业站的文件，是否被人挂马了。这个90%的可能性被人挂马的

jamimes

不是提权，可能里面有一个文件可能是恶意脚本，发出flood

[ 本帖最后由 cxm 于 2011-1-4 01:07 编辑 ]

cxm

http://www.hostloc.com/viewthrea ... B%E6%94%BB%E5%87%BB 你可以看下这个，可以domin大哥给的方案不错的。

[ 本帖最后由 cxm 于 2011-1-4 01:02 编辑 ]

jamimes

被肉鸡了……被僵尸了……用iptables封掉对外udp

iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -j DROP


然后保存使重启后还可以继续生效

/sbin/service iptables save

[ 本帖最后由 Captain 于 2011-1-4 02:16 编辑 ]

cxm

你跟他们说你的站被黑了被放了攻击软件, 保证以后不发生.

jamimes

数据是否有备份? 如果有的话最好重装一下. 因为有可能一开了就又被利用攻击的.

cxm

原帖由 jamimes 于 2011-1-4 01:24 发表




嗯谢谢。

现在他们不肯开VPS给我。

发觉最蠢的支付方式就是年付了 ，唉
更新了下规则，下次对外udp的话直接用这个规则就行

cdisjamimes

Hello,

Sorry about the trouble my VPS has been causing.
After I talked to my system admin, it appears the outbound UDP flood was caused by one of the PHP coded business sites hosted on the VPS has security exploit, a hacker uploaded a PHP UDP flood attack script and used it to attack other servers.
I would like to ask you kindly unsuspend my account and reinstall the VPS so the hacker no long able to use attack script.
I will use iptables to block all UDP traffic in the future.
I can assure you my VPS will not cause anymore problems.
Please give me another chance.

Best Regards,
xxxx