首頁 > 開發者 > PHP

php中簡單的防CC指令碼攻擊經驗總結

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

1,登入進VPS控制台,準備好隨時重啟VPS。
2,關閉Web Server先,過高的負載會導致後面的操作很難進行,甚至直接無法登入SSH。
3,以防萬一,把設定的Web Server系統啟動後自動運行去掉。
(如果已經無法登入進系統,並且重啟後負載過高導致剛剛開機就已經無法登入,可聯絡管理員在母機上封掉VPS的IP或80連接埠,在母機上用虛擬控制台登入進系統,然後進行2&3的操作,之後解鎖)

二,找出攻擊者IP

1,在網站根目錄建立檔案ip.php,寫入下面的內容。

 代碼如下 複製代碼


<?php 

$real_ip = getenv('HTTP_X_FORWARDED_FOR'); 

if(isset($real_ip)){ 

        shell_exec("echo $real_ip >> real_ip.txt"); 

        shell_exec("echo $_SERVER['REMOTE_ADDR'] >> proxy.txt"); 

}else{ 

        shell_exec("echo $_SERVER['REMOTE_ADDR'] >> ips.txt"); 

echo '伺服器受到攻擊,正在收集攻擊源,請在5分鐘後訪問本站,5分鐘內多次訪問本站有可能會被當作攻擊源封掉IP。謝謝合作!'; 

?>

2,設定偽靜態,將網站下的所有訪問都rewrite到ip.php。
Nginx規則:

 

 代碼如下 複製代碼

rewrite (.*) /ip.php;
Lighttpd規則:


url.rewrite = ( 

"^/(.+)/?$" => "/ip.php"

)

3,啟動Web Server開始收集IP
進行完1和2的設定後,啟動Web Server,開始記錄IP資訊。
收集時間建議為3到5分鐘,然後再次關閉Web Server。
real_ip.txt,這個檔案中儲存的IP有80%以上都相同的,這個IP就是攻擊者實施攻擊的平台的IP。
proxy.txt,這個檔案中儲存的是攻擊者調用的Proxy 伺服器的IP,需要封掉。
ips.txt,這裡記錄的是未表現出Proxy 伺服器特徵的IP,根據訪問次數判斷是否為攻擊源。

三,對上一段的補充
如果VPS上啟用了WEB日誌,可以查看記錄檔的增長速度來判斷是哪個網站被攻擊。
如果沒有啟用日誌,並且網站數量很少,臨時啟用日誌也很方便 。
如果沒有啟用日誌,並且網站數量過多,可以使用臨時的Web Server設定檔,不綁定虛擬機器主機,設定一個預設的網站。然後在ip.php裡加入下面一行

 代碼如下 複製代碼
shell_exec("echo $_SERVER['HTTP_HOST'] >> domain.txt");

domain.txt裡將儲存被訪問過的網域名稱,被CC攻擊的網站將在裡面占絕大多數。

四,開始封堵IP
建立檔案ban.php

 代碼如下 複製代碼

<?php 

$threshold = 10; 

$ips = array_count_values(file('ips.txt')); 

$ban_num = 0; 

foreach($ips as $ip=>$num){ 

    if($num > $threshold){ 

                $ip = trim($ip); 

                $cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP"; 

        shell_exec($cmd); 

        echo "$ip baned!n"; 

        $ban_num ++; 

        } 

$proxy_arr = array_unique(file('proxy.txt')); 

foreach($proxy_arr as $proxy){ 

    proxy = trim($proxy); 

    $cmd = "iptables -I INPUT -p tcp --dport 80 -s $proxy -j DROP"; 

    shell_exec($cmd); 

    echo "$proxy baned!n"; 

    $ban_num ++; 

echo "total: $ban_num ipsn"; 

?>

用下面的命令執行指令碼(確保php命令在PATH中)

php ban.php
這個指令碼依賴於第二段中ips.txt裡儲存的結果,當其中記錄的IP訪問次數超過10次,就被當作攻擊源給屏蔽掉。如果是Proxy 伺服器,則不判斷次數直接封掉。
封完IP之後,把所有的網站設定恢複正常,網站可以繼續正常運行了。

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

相關關鍵詞:
cc checker php dn cc to php php mail cc example dreamweaver cc php php to cc conversion php mail cc php email cc
相關文章
監控伺服器swap並重啟php的Shell指令碼_linux shell
PHP(5)“最長公用首碼”演算法問題
30個很棒的PHP開源CMS內容管理系統
php調用dll經驗小結
PHP匯入匯出Excel方法
PHP 擷取當前url的函數及參數

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

熱門內容

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More