Ecshop Session表攻击

攻击者挟持大量ip对首页发起请求。ecshop会不加思索的为每个请求创建session然后存入session数据表。默认该表是内存表,上限16mb。 如果多时间内涌入大量请求,就会爆表。

解决办法
1 apache deny屏蔽。 在未进入php之前就ban掉。 可以结合 UA检测和ip段规则,把一些明显不是客户所在地的ip统统毙掉。
2  修改eschop的session创建机制,在创建前先检查。

网上说的把session表改为普通myisam表或者缩短session生命周期都是一些不治本的办法,而且副作用很大。