原理分析:
用php取得攻击者的agent头,判断是不是webbench来访,如果是就die掉,不在请求数据库,确实挺有效,数据库不会再超出限制了,但是对方频繁的发送请求过来,导致网络带宽被严重消耗。
最终解决方法:用php取得用户agent头判断是否是webbench来源,如果是的话就在服务器上写一个shell档案,这个档案的内容就是封锁IP的规则,然后再用chmod函数修改一下这个档案让其可执行,再用cron服务读取这个档案执行,把ip封锁掉,整个过程全部自动化完成不需要人为干预,同时可以发邮件给攻击者警告他。
代码:
<?php
/**
* 封锁攻击者IP地址
* www.
*/
IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {
$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);
IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False) {
$p='/home/www/webbench.sh';
$_SERVER['REMOTE_ADDR']=isSet($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : 'unknow';
<span >File_Put_Contents($p,"#!/bin/bash\niptables -I INPUT -s {$_SERVER['REMOTE_ADDR']} -j DROP;\n",LOCK_EX);
</span> Chmod($p,0755);
chown($p,'www');
<span >Function sMail($to,$tit,$msg) {
IF(Filter_var($to,FILTER_VALIDATE_EMAIL)==''){
throw new Exception('電郵地址錯誤!');
}
$tit='=?UTF-8?B?'.Base64_Encode($tit).'?=';
$msg = str_replace()("\n.","\n..",$msg); //Windows如果在一行开头发现一个句号则会被删掉,要避免此问题将单个句号替换成两个句号
Return Mail($to,$tit,$msg,'From:No-reply@adm.bossadm.com.tw'."\n".'Content-Type:text/html;charset=utf-8');
}
sMail('see7di@gmail.com','【WebBench又開始了-by http://www.】!',date('Y-m-d H:i:s',time())." {$_SERVER['REMOTE_ADDR']}");</span>
Header('Location:http://127.0.0.1');
Die();
}
}
?>
把發email的部份寫入了shell文件內,不再用php發email,因為那會灌爆你的信箱。
修改后的代码:
<?php
/**
* 自动封锁恶意攻击者的IP地址
* www.
*/
IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {
$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);
IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False) {
$p='/home/www/webbench.sh';
$_SERVER['REMOTE_ADDR']=isSet($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : 'unknow';
File_Put_Contents($p,"#!/bin/bash\niptables -I INPUT -s {$_SERVER['REMOTE_ADDR']} -j DROP;\necho \"{$_SERVER['REMOTE_ADDR']} - `date`\" | mail -s \"WebBench-www.\" see7di@gmail.com\n",LOCK_EX);
Chmod($p,0755);
chown($p,'www');
Header('Location:http://127.0.0.1');
Die();
}
}
?>代码如下:
<?php
/**
* 获取本机的局域网IP地址
* www.
*/
function get_local_ip(){
exec("ipconfig /all",$arr); //运行这句需要修改php.ini文件并重启apache
if (is_array($arr)){
foreach($arr AS $val)
{
//echo $val."";
if(eregi("IP Address",$val))
$pip = substr($val, strpos($val, ":") + 1);
if (preg_match ("/192.168.1./", $pip)) //你可以根据需要修改这里的正则表达式
return $pip;
}}}
?>
对以上代码中用到的函数的解释。
Exec:
1.找到php.ini 然后搜索exec,发现disable-_function=exec,system,ini_alter…. 去掉exec
2.执行外部程序
3.string exec ( string $command [, array &$output [, int &$return_var ]] )
①$command:将要执行的语句;
②$output:如果输出参数存在,那这个数组将包含命令的所有输出行。尾随空白,如n 不报行在内。注意,如果数组中已包含一些元素,exec()会被增加到数组末尾,如果不想在这个函数追加元素,在将数组传给exec()前调用unset();
③$return_var:值为1,说明没运行程序;值为0,说明运行成功。
④返回值:命令结果的最后一行
Foreach:
1. 遍历数组
2. foreach (array_expression as $value) statement
①遍历给定的 array_expression 数组。每次循环中,当前单元的值被赋给 $value 并且数组内部的指针向前移一步(因此下一次循环中将会得到下一个单元)。
②当 foreach 开始执行时,数组内部的指针会自动指向第一个单元。这意味着不需要在 foreach 循环之前调用reset()。
Eregi:
1.不区分大小写的正则表达式匹配
2.int eregi ( string $pattern , string $string )
①在$string中寻找与给定的正则表达式$pattern所匹配的子串
②返回值:如果在 string 中找到 pattern 模式的匹配则返回 所匹配字符串的长度,如果没有找到匹配或出错则返回 FALSE
Strops:
1. 查找字符串首次出现的位置($needle在$haystack中首次出现的数字位置)
2. int strpos ( string $haystack ,mixed $needle)
①$haystack:在该字符串中进行查找
②返回值:以整型返回位置信息。如果没找到 needle,strpos() 将返回布尔型的 FALSE 值
Substr:
1. 返回字符串的子串
2. string substr ( string $string , int $start )
①$string:输入字符串
②$start:从$string的$start位置开始,从 0 开始计算
③返回值:返回提取的子字符串, 或者在失败时返回 FALSE
Preg_match:
1. 执行一个正则表达式匹配
2. int preg_match ( string $pattern , string $subject )
①$pattern:要搜索的模式, 字符串类型
②$subject:输入字符串
③返回$pattern 的匹配次数. 它的值将是0次(不匹配)或1次, 因为preg_match()在第一次匹配后将会停止搜索。
一 、解析路径:
1 获得文件名:
basename();
给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。如果文件名是以 suffix 结束的,那这一部分也会被去掉。
示例:
$file = basename($path,".php"); // $file is set to "index"
2 得到目录部分:
dirname();
给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名。
示例:
$file = dirname($path); // $file is set to "/etc"
3 得到路径关联数组
pathinfo();
得到一个指定路径中的三个部分:目录名,基本名,扩展名。
示例:
var_dump($pathinfo);
// $path['dirname']
$path['basename']
$path['extenssion']
二、文件类型
1. filetype();
返回文件的类型。可能的值有 fifo,char,dir,block,link,file 和 unknown。
示例:
echo filetype('/etc/'); // dir
三、得到给定文件有用信息数组(很有用)
1. fstat();
通过已打开的文件指针取得文件信息
获取由文件指针 handle 所打开文件的统计信息。本函数和 stat() 函数相似,除了它是作用于已打开的文件指针而不是文件名。
示例:
$fp = fopen("/etc/passwd", "r");
// 取得统计信息
$fstat = fstat($fp);
// 关闭文件
fclose($fp);
// 只显示关联数组部分
print_r(array_slice($fstat, 13));
2. stat()
获取由 filename 指定的文件的统计信息(类比fstat())
四、计算大小
1. filesize()
返回文件大小的字节数,如果出错返回 FALSE 并生成一条 E_WARNING 级的错误。
示例:
$filename = 'somefile.txt';
echo $filename . ': ' . filesize($filename) . ' bytes';
2. disk_free_space()
获得目录所在磁盘分区的可用空间(字节单位)
示例:
$df = disk_free_space("/");
//在 Windows 下:
disk_free_space("C:");
disk_free_space("D:");
3. disk_total_space()
返回一个目录的磁盘总大小
示例:(同上,换掉函数)
另:如需要计算一个目录大小,可以编写一个递归函数来实现
function dir_size($dir){
$dir_size = 0;
if($dh = @opendir($dir)){
while(($filename = readdir($dh)) != false){
if($filename !='.' and $filename !='..'){
if(is_file($dir.'/'.$filename)){
$dir_size +=filesize($dir.'/'.$filename);
}else if(is_dir($dir.'/'.$filename)){
$dir_size +=dir_size($dir.'/'.$filename);
}
}
}#end while
}# end opendir
@closedir($dh);
return $dir_size;
} #end function
五、 访问与修改时间
1. fileatime(): 最后访问时间
2. filectime(): 最后改变时间(任何数据的修改)
3. filemtime(): 最后修改时间(指仅是内容修改)
六、 文件的I/O操作
1. fopen -- 打开文件或者 URL
mode 说明
'r' 只读方式打开,将文件指针指向文件头。
'r+' 读写方式打开,将文件指针指向文件头。
'w' 写入方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。
'w+' 读写方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。
'a' 写入方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。
'a+' 读写方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。
'x' 创建并以写入方式打开,将文件指针指向文件头。如果文件已存在,则 fopen() 调用失败并返回 FALSE,
'x+' 创建并以读写方式打开,将文件指针指向文件头。如果文件已存在,则 fopen() 调用失败并返回 FALSE
示例:
2. file -- 把整个文件读入一个数组中(此函数是很有用的)
和 file_get_contents() 一样,只除了 file() 将文件作为一个数组返回。数组中的每个单元都是文件中相应的一行,包括换行符在内。如果失败 file() 返回 FALSE。
示例:
// 在数组中循环,显示 HTML 的源文件并加上行号。
foreach ($lines as $line_num => $line) {
echo "Line #<b>{$line_num}</b> : " . htmlspecialchars()($line) . "<br />\n";
}
// 另一个例子将 web 页面读入字符串。参见 file_get_contents()。
$html = implode('', file ('http://www./'));
3. fgets -- 从文件指针中读取一行
从 handle 指向的文件中读取一行并返回长度最多为 length - 1 字节的字符串。碰到换行符(包括在返回值中)、EOF 或者已经读取了 length - 1 字节后停止(看先碰到那一种情况)。如果没有指定 length,则默认为 1K,或者说 1024 字节。
示例:
if ($handle) {
while (!feof($handle)) {
$buffer = fgets($handle, 4096);
echo $buffer;
}
fclose($handle);
}
4. fgetss -- 从文件指针中读取一行并过滤掉 HTML 标记
和 fgets() 相同,只除了 fgetss 尝试从读取的文本中去掉任何 HTML 和 PHP 标记。
可以用可选的第三个参数指定哪些标记不被去掉
另:对的目录的操作:
1. opendir -- 打开目录句柄,打开一个目录句柄,可用于之后的 closedir(),readdir() 和 rewinddir() 调用中。
2. readdir -- 从目录句柄中读取条目,返回目录中下一个文件的文件名。文件名以在文件系统中的排序返回。
if ($handle = opendir('/path/to/files')) {
echo "Directory handle: $handle\n";
echo "Files:\n";
while (false !== ($file = readdir($handle))) {
echo "$file\n";
}
while ($file = readdir($handle)) {
echo "$file\n";
}
closedir($handle);
}
3. scandir -- 列出指定路径中的文件和目录(很有用),返回一个 array,包含有 directory 中的文件和目录。
默认的排序顺序是按字母升序排列。如果使用了可选参数 sorting_order(设为 1),则排序顺序是按字母降序排列。
示例:
$dir = '/tmp';
$files1 = scandir($dir);
$files2 = scandir($dir, 1);
print_r($files1);
print_r($files2);
七、 对文件属性的操作 (操作系统环境不同,可能有所不一样,这点要注意)
1、文件是否可读:
bool is_readable ( string filename )
如果由 filename 指定的文件或目录存在并且可读则返回 TRUE。
记住 PHP 也许只能以运行 webserver 的用户名(通常为 'nobody')来访问文件。不计入安全模式的限制。
2、文件是否可写
bool is_writable ( string filename )
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。
记住 PHP 也许只能以运行 webserver 的用户名(通常为 'nobody')来访问文件。不计入安全模式的限制
3、检查文件是否存在(这个函数很有趣)
bool file_exists ( string filename )
如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE