我是不是遭遇到了PHPDDOS

你怎么知道就一定是php？也有可能某个文件被盗链，或者vps被黑，或者某些代理被扫到了

@yangqi 文件盗链的几率不大。 VPS被黑和被代理扫到有可能。
关键是我不懂服务器的东西 :D 我找了一天的资料，并且安装了iftop和安全狗，发现是UDP的流量很大，后来我禁止了fsockopen函数，好像好了点。

因为我的网站程序有用到DISCUZ，好像禁止了fsockopen函数会有影响。

现在考虑备份文件，然后重装系统。
但是如果文件里面感染了PHPDDOS的代码，应该要查找什么特征码呢？

夜深了，谢谢你的回复。

网上有个python脚本，挺好用的，可以查一下看看

DISCUZ 自带了 文件校验 的在后台。。。 UDP的基本可以确定是ddos了

你是不是装了dns服务器...

查看文件修改时间
或者搜索 set_time_limit

看网站日志

试试这个扫一下 https://github.com/cfc4n/pecker

@xmbaozi 好的我去找找


@xdeng 我已经禁止fsockopen函数，好像没那么厉害了。 还用了iptable做了一些规则，不过完全是小白跟着网上的教程做，不知道原理是什么，不知道VPS还有其他漏洞不。


@AstroProfundis 是呀，kolox面板，之前有收过邮件警告说我的什么设置，会导致DNS递归攻击。估计是这个原因，但是那时也是在网上找教程作了一下修复。好像今个月并不管用。大约半年前开始，每个月的GB OUT都达到数十G甚至上百G，（我的VPS就放几个个人网站，正常才1GB不到）


@nsxuan 不知道有没有什么SHELL指令是可以搜索到的。我试过 find /home/admin/ | xargs grep set_time_limit // 但是很多PHP文件都会有这段代码，好像也没什么异常。


@ihacku 非常感谢你的链接！

@Sukizen 你从别的机器 dig 一个大网站的域名比如 Google 啥的，如果返回的是空或者无法查询就不是这个问题了，如果有结果的话，把 DNS 的递归查询关掉，或者只监听 127.1 或者用 iptables 把 UDP 53 端口封了

@yangqi
@xmbaozi
@xdeng
@AstroProfundis
@nsxuan
@thinkxen
@ihacku
@AstroProfundis

最新发现，是自己的一个限制很久很久的DISCUZ被注册大量用户，采集大量帖子（15万条以上）
是DISCUZ的漏洞吗？