Tìm và diệt các PHP scripts UDP flood trên VPS Linux

PHP quả là mạnh mẽ với những ứng dụng từ khai thác đến “triệt hạ” hệ thống. Với server có thể chạy PHP, chỉ cần 1 scripts thôi cũng đủ làm cho nó tự bị flood giống như bị tấn công flood từ bên ngoài vậy, đó là do PHP có khả năng sử dụng các hàm tạo các socket, chuyển nó thành gói tin và khi đưa vào vòng lặp while vô hạn nó sẽ thành nguồn bắn các UDP packet tới server nạn nhân. Một điều hài hước ở đây là có khi việc tạo luồng UDP đó không làm server đối thủ die (do nó có băng thông lớn) mà chính server chạy PHP scipts đó sẽ bị flood những gói tin do chính nó tạo ra.

Các server hosting, vps hosting là nơi dễ để khai thác nhất, vì thế khi có dấu hiệu mạng chạp chờn, admin cần check process để xác định user/domain nào đang có mức hoạt động cao và từ đó tìm scripts bằng lệnh sau:

grep -ir 'fsockopen.*udp' /home/

Mặt khác, để hạn chế ảnh hưởng của kiểu tấn công cục bộ này, ta cần limit UDP packet outbond bằng iptables như sau hoặc deny luôn các UPD packet out, chỉ để duy nhất outbond cho port 53 của DNS

# Outbound UDP Flood protection 
iptables -N udp-flood 
iptables -A OUTPUT -p udp -j udp-flood 
iptables -A udp-flood -p udp -m limit --limit 20/s -j RETURN 
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: ' 
iptables -A udp-flood -j DROP

Mặc đinh các khách hàng thuê VPS Linux của 3TVN sẽ luôn được setup firewall để hạn chế kiểu tấn công này, đặc biệt hiệu quả trên các VPS Direct Admin hay VPS WordPress. Nếu vẫn chưa thực hiện được, quý khách hãy gọi cho bộ phận kỹ thuật để 3TVN trợ giúp nhanh nhất.