LINUX预防PHPDDOS的iptables规则

作者：袖梨 2022-06-30

PHPDDOS的iptables规则

代码如下

复制代码

iptables -I OUTPUT -p udp --dport 53 -d 202.103.44.150 -j ACCEPT

iptables -I OUTPUT -p udp --dport 53 -d 202.103.24.68 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p udp -j REJECT

/etc/rc.d/init.d/iptables save

解决对外udp攻击

以下教您通过改变一些linux服务器及php的安全的设置，来禁止挂马后成为ddos攻击源

1.php.ini禁掉php调用系统的exec之类的参数
在php.ini中加入如下一行

代码如下

复制代码

disable_functions=symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,

escapeshellarg,escapeshellcmd

2.禁止服务器的ouput发udp包（除本机设置的域名解析服务器）

代码如下	复制代码
#!/bin/sh NSIP=`cat /etc/resolv.conf \|grep nameserver \|awk ‘NR==1{print $2 }’` /sbin/iptables -A OUTPUT -p udp -j DROP /sbin/iptables -I OUTPUT -p udp –dport 53 -d $NSIP -j ACCEPT

如果是tcp协议的话，可以用下面一段iptables: