这两天发现服务器总会向单个IP不停的发送流量，出口带宽被占满，导致网站打不开，服务器连不上。

封了那个IP后，又会换一个IP继续。

经查看日志，发现在某个站点下有个可疑的PHP脚本，里面有一行

$fp=fsockopen("udp://$http",$rand,$error,$errorstr,5);

$http就是上面提到的那个单个IP，攻击者只需要访问那个PHP页面，后面加上 &http=ip地址

就可以达到攻击效果。

遗憾的是，通过日志仍然可以找到问题所在。

删掉该文件，关闭php的sockets功能。

linux里的话，通过iptables 禁止服务器DNS之外的IP向外发送udp包。

最重要的是，检查程序漏洞，防止黑客再次上传奇怪的东西。