专题推荐
专题推荐

Linux VPS安全CentOS用iptables禁止phpddos向外发包攻击

2020-03-06 15:49 分类:Linux VPS安全 阅读(次阅读) 标签:,,

关于织梦等程序导致的挂马和phpddos向外发包,之前说了可以用命令方式解决: Linux VPS安全防止服务器PHPDDOS对外发包流量攻击

Linux VPS安全CentOS用iptables禁止phpddos向外发包攻击方法一:

vi命令编辑“/etc/sysconfig/iptables”添加以下两行,01 行的IP为DNS地址:

-I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
-A OUTPUT -p udp -j DROP

修改好后,按ESC命令 然后 输入 :w 命令保存, 然后输入 :q 命令退出.

Linux VPS安全之禁止phpddos向外发包攻击代码解释:

1.  phpddos 通过 udp 协议向外发包,但是全部屏蔽的话会阻止服务器的正常 dns 查询,所以先为 dns 添加例外。

2. “53”,为DNS所需要的UDP端口,“8.8.8.8”部分为DNS IP,根据您服务器的设定来定.

若您不知您当前服务器使用的DNS IP,可在SSH中执行以下命令获取你的DNS服务器ip

cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'

你也可以利用iptables规则禁ping

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

关于织梦的安全设置请看: Linux VPS安全之DedeCMS织梦安全设置与防黑挂马

Linux VPS安全CentOS用iptables禁止phpddos向外发包攻击方法二:

最近很多VPS被人通过dedecms漏洞等等入侵.导致phpddos 很猖狂,占用大量带宽,影响网站,浪费流量
虽然通过php.ini 能禁止
但是通过linux 的iptables 能达到更好的效果,今天给大家打来的是Iptalbes禁止PHPDDOS发包

iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 8.8.4.4 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 8.8.8.8 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -j REJECT

开放 对外 以及对内的 DNS端口 53

禁止其他全部出站的UDP 协议


本文地址: https://www.vpsyi.com/linux-vps-iptables-phpddos.html