日志宝平安团队提出了针对恶意DOS剧本抨击袭击的解决方案：

某IP以分钟为单元持续请求某剧本文件（本例中是diy.php），发生年夜量的访谒请求，日志宝平安团队在与客户取得联系后获得该剧本的源代码如下：

针对此类抨击袭击行为，日志宝平安团队今日发布了《恶意DOS脚今日志剖析陈述》：

4.使用日志宝按期剖析网站日志，能够有用的发现针对网站的恶意抨击袭击行为。

针对网站来说，前期症状首要默示在：

3.流量带宽耗损以及使用率较正常日期有年夜幅度增添，甚至超限（导致处事器流量耗尽或者带宽使用率过年夜被IDC封锁或限制处事器访谒）

针对以上问题，经由过程使用日志宝对网站日志进行平安剖析后发现，日志文件中存在年夜量近似以下访谒请求：

199.36.74.138 - - ［29/Jul/2012:00:48:00 +0800］ “GET /include/diy.php？host=76.10.221.209&port=6005&time=60 HTTP/1.1” 200 1371

经测试以上恶意剧本每分钟发送的恶意数据包平均能达到40W次以上，对网站正常处事的杀伤力很年夜。

恶意DOS剧本 站长之家配图

2.网站日志文件巨细较正常日期较着增年夜

该剧本使用了GET体例获取host，port和time三个参数，而且界说了发送的数据包巨细为65535，最终机关的数据包为65535个“A”，然后经由过程挪用fsockopen函数：fsockopen（“udp://$host”， $port， $errno， $errstr， 5）;，采用UDP和谈发送恶意数据包到方针网站的方针端口，以网站处事器为泉源倡议DOS抨击袭击，耗损年夜量网站流量，占用收集带宽，最终导致网站无法正常访谒。

③ 连系爬虫批量抨击袭击所有网站

我们随后对蒙受恶意DOS剧本抨击袭击的网站应用进行了统计，年夜部门网站使用的是dedecms以及phpcms作为网站应用。再次提醒列位站长请关注官方网站的平安更新，实时安装响应的平安补丁。

站长之家（chinaz.com）8月20日动静：站长之家年夜日志宝平安团队获悉，近期据日志宝剖析数据统计，恶意DOS剧本抨击袭击行为所占比例呈上升趋向，良多网站呈现因被植入恶意DOS剧本，导致网站处事器被IDC封停的情形。

1.搜检网站所有文件是否呈现恶意fsockopen函数挪用，或者以“udp://”为关头字grep搜检网站所有文件，查看是否被植入恶意DOS剧本。

3.安装开源网站应用的最新平安补丁。

PHPCMS V9最新平安补丁：http://www.zhuojie.cc/?/thread-621649-1-1.html

DEDECMS最新平安补丁：http://www.zhuojie.cc/?/484439.html

1.处事器资本占用比例较正常状况有较着增添

② 搜索引擎寻找裂痕网站群（使用该web应用的网站）

① 发现web应用裂痕

注明：本平安陈述来自日志宝，官方网站www.rizhibao.com.

④ 批量上传恶意文件

⑥ 黑客主控端监控并维护被入侵网站列表

⑤ 批量倡议DOS抨击袭击

黑客经由过程以上轨范能够轻松实现有目的、批量、智能化的年夜规模恶意抨击袭击。

2.改削php.ini，设置disable_function:fsockopen，禁用fsockopen函数。

另据日志宝CEO董方（weibo.com/vindong）透露，此类抨击袭击体例近似于前几年斗劲流行的mass sql injection抨击袭击。即经由过程一个已知web应用的平安裂痕（好比SQL注入），连系搜索引擎，就可以发现多量存在该裂痕的网站，年夜而实现全自动的抨击袭击流程：