服务器被DDos攻击，机房封了，网站站无法使用

问：IP : 127.0.0.1
    p54ju6sk

网站主要用于医院展示

被攻击原因分析：攻击后，恶意敲诈医院,服务器被DDos攻击，机房封了，网站站无法使用

答：您好，

PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击，程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。

经过分析除了有反向连接木马之外，还可以正向执行任意php代码。

影响版本及路径

通过分析，后门代码存在于\\ext\\php_xmlrpc.dll模块中

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

以下为参考路径，请以实际安装路径为准

phpStudy2016路径

php\\php-5.2.17\\ext\\php_xmlrpc.dll

php\\php-5.4.45\\ext\\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\\php\\php-5.2.17\\ext\\php_xmlrpc.dll

PHPTutorial\\php\\php-5.4.45\\ext\\php_xmlrpc.dll

修复

下载：http://xxxxxxxx.xxxxx.xxxxx 解压

复制文件

php\\php-5.2.17\\ext\\php_xmlrpc.dll

php\\php-5.4.45\\ext\\php_xmlrpc.dll

覆盖原路径文件即可。

请通过管理中心-业务管理-服务器管理-管理-控制台–登录服务器内替换文件 修改后回复此工单帮您申请解封

推荐将PHPstudy 第三方集成环境升级到最新,非常感谢您长期对我司的支持!

问：现在服务器外网上不了，ftp也用不了，怎么操作呢

答：您好，已经为您申请临时解封，请尽快参考上面回复进行操作更新补丁，非常感谢您长期对我司的支持!

问：按照上面已经修改了

答：您好，好的，如有问题，请及时反馈，非常感谢您长期对我司的支持!

问：好的，谢谢

答：您好，不客气，该问题已处理完工单过长不便查看，如还有其他问题请重新提交,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!

问：www.tantanxieyi.com

答：您好，

网站被DDos攻击, 导致服务器ip被封了, 请升级使用独立ip主机继续使用,非常感谢您长期对我司的支持!

问：127.0.0.1 访问不了

答：您好，非常抱歉，经??查核实是您服务器 15:04:29遭??受大流量攻击被机房封停24小时，这一般是网站内容的原因或者同行攻击，机房对于受攻击影响网络的情况有严格封停措施，达到封停时间以后会自动解封。根据我司经验来看，若未明确找到受攻击的网站，并且未做安全防护措施，再次受攻击的可能性很高，为了更好的保障用户网站、业务正常运行，以及云主机安全。建议您可以考虑增加ddos高防业务。有两种方式：
1、购买DDOS高防服务：https://www.west.cn/services/cloudhost/ddos.asp 购买超过攻击值的ddos防护，机房会自动解封。域名需要解析到高防别名上，高防同时能起到隐藏真实ip的作用，减少直接攻击IP的风险。
2、将服务器升级到高防机房（https://www.west.cn/cloudhost/gaofang.asp），服务器管理–管理–变更机房线路，然后选择高防线路 即可，会自动迁移数据，参考说明：https://www.west.cn/faq/list.asp?unid=2246 。

问：那你们也没通知 就直接停，我怎么查哪个站问题！ 然后停多久！ 能先开开么

问：关键是127.0.0.1的都是正规内容站啊，现在我服务器也进不去。我都有加CDN炕DOS的。按理不会啊。这我买那么多服务器了你们这。不能先开开我也排查下什么原因 哪个站啊

问：http://www.toutiaoyule.com.cn/  应该是你们封了还是怎么的 我用你们的服务器访问就能浏览 。包括你们其他几个服务器都能访问，但是外网就不行

问：http://www.toutiaoyule.com.cn/   这个现在能访问了，是你们那边处理了么？  127.0.0.1 这服务器帮忙看下啊，我里面好几个站。肯定不是所有站被攻击啊 ，你触发就封，那可能是误触发或者别的，至少我进服务器排查，如果搞不定我挪走啊。

答：您好，1、查看到您的服务器上仍有域名是直接解析到服务器ip，附图，对应的ddos攻击已经达到52g，正常流量是达不到该流量的，不可能是误触发。您可以等待24小时解封后访问再试，如果您需要尽快恢复，建议您考虑一下DDOS高防业务，使用防护进行访问。

2、十分抱歉，已经调整，现在可以正常访问，附图，建议您清除本地浏览器缓存，关闭、重启浏览器再访问。

非常感谢您长期对我司的支持!

问：是JPZK.NET这个网站的原因？ 那我先停止这不就好了，网站不让访问，你至少让我进服务器吧

答：您好，抱歉，目前主机是运行的，但是IP被机房封停24小时无法解封

主机被攻击对您和机房都有影响，大流量攻击导致您主机打不开也影响主机的网络稳定性

您可以通过管理中心–服务器管理–控制台进入系统

建议您可以考虑增加DDOS高防业务。有两种方式：
1、购买DDOS高防服务：https://www.west.cn/services/cloudhost/ddos.asp 购买超过攻击值的ddos防护，机房会自动解封。域名需要解析到高防别名上，高防同时能起到隐藏真实ip的作用，减少直接攻击IP的风险。
2、将服务器升级到高防机房（https://www.west.cn/cloudhost/gaofang.asp），服务器管理–管理–变更机房线路，然后选择高防线路 即可，会自动迁移数据，参考说明：https://www.west.cn/faq/list.asp?unid=2246 

非常感谢您长期对我司的支持!