LINUX预防PHPDDOS的iptables规则

作者:袖梨 2022-06-30

PHPDDOS的iptables规则

 代码如下 复制代码

iptables -I OUTPUT -p udp --dport 53 -d 202.103.44.150 -j ACCEPT
 
iptables -I OUTPUT -p udp --dport 53 -d 202.103.24.68 -j ACCEPT
 
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -j REJECT
 
/etc/rc.d/init.d/iptables save


解决对外udp攻击

以下教您通过改变一些linux服务器及php的安全的设置,来禁止挂马后成为ddos攻击源

1.php.ini禁掉php调用系统的exec之类的参数
在php.ini中加入如下一行

 

 代码如下 复制代码

disable_functions=symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,

escapeshellarg,escapeshellcmd

2.禁止服务器的ouput发udp包(除本机设置的域名解析服务器)

 

 代码如下 复制代码
#!/bin/sh
NSIP=`cat /etc/resolv.conf |grep nameserver |awk ‘NR==1{print $2 }’`
/sbin/iptables -A OUTPUT -p udp -j DROP
/sbin/iptables -I OUTPUT -p udp –dport 53 -d $NSIP -j ACCEPT

如果是tcp协议的话,可以用下面一段iptables:

 代码如下 复制代码
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j DROP

相关文章

精彩推荐