Home > php教程 > php手册 > body text

php中简单的防CC脚本攻击经验总结

WBOY
Release: 2016-05-25 16:41:13
Original
2029 people have browsed it

作者总结了关于在CC脚本攻击的一些问题及防CC脚本攻击的一些解决方案,有需要的朋友可参考一下.

1,登录进VPS控制面板,准备好随时重启VPS.

2,关闭Web Server先,过高的负载会导致后面的操作很难进行,甚至直接无法登录SSH.

3,以防万一,把设置的Web Server系统启动后自动运行去掉.

如果已经无法登录进系统,并且重启后负载过高导致刚刚开机就已经无法登录,可联系管理员在母机上封掉VPS的IP或80端口,在母机上用虚拟控制台登录进系统,然后进行2&3的操作,之后解封.

找出攻击者IP

1,在网站根目录建立文件ip.php,写入下面的内容,代码如下:

<?php
$real_ip = getenv(&#39;HTTP_X_FORWARDED_FOR&#39;);
if(isset($real_ip)){
    shell_exec("echo $real_ip >> real_ip.txt");
    shell_exec("echo $_SERVER[&#39;REMOTE_ADDR&#39;] >> proxy.txt");
}else{
    shell_exec("echo $_SERVER[&#39;REMOTE_ADDR&#39;] >> ips.txt");
}
echo &#39;服务器受到攻击,正在收集攻击源,请在5分钟后访问本站,5分钟内多次访问本站有可能会被当作攻击源封掉IP。谢谢合作!&#39;;  
?>
Copy after login

2,设置伪静态,将网站下的所有访问都rewrite到ip.php.

Nginx规则,代码如下:rewrite (.*) /ip.php;

Lighttpd规则,代码如下:

url.rewrite = (  
"^/(.+)/?$" => "/ip.php" 
)
Copy after login

3,启动Web Server开始收集IP

进行完1和2的设置后,启动Web Server,开始记录IP信息,收集时间建议为3到5分钟,然后再次关闭Web Server.

real_ip.txt,这个文件中保存的IP有80%以上都相同的,这个IP就是攻击者实施攻击的平台的IP.

proxy.txt,这个文件中保存的是攻击者调用的代理服务器的IP,需要封掉.

ips.txt,这里记录的是未表现出代理服务器特征的IP,根据访问次数判断是否为攻击源.

对上一段的补充

如果VPS上启用了WEB日志,可以查看日志文件的增长速度来判断是哪个站点被攻击,如果没有启用日志,并且站点数量很少,临时启用日志也很方便.

如果没有启用日志,并且站点数量过多,可以使用临时的Web Server配置文件,不绑定虚拟主机,设置一个默认的站点,然后在ip.php里加入下面一行代码:

shell_exec("echo $_SERVER['HTTP_HOST'] >> domain.txt");

domain.txt里将保存被访问过的域名,被CC攻击的站点将在里面占绝大多数.

开始封堵IP,建立文件ban.php,代码如下:

<?php  
$threshold = 10;  
$ips = array_count_values(file(&#39;ips.txt&#39;));  
$ban_num = 0;  
foreach($ips as $ip=>$num){  
    if($num > $threshold){  
        $ip = trim($ip);  
        $cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP";  
        shell_exec($cmd);  
        echo "$ip baned!n";  
        $ban_num ++;  
    }  
}  
$proxy_arr = array_unique(file(&#39;proxy.txt&#39;));  
foreach($proxy_arr as $proxy){  
    $proxy = trim($proxy);  
    $cmd = "iptables -I INPUT -p tcp --dport 80 -s $proxy -j DROP";  
    shell_exec($cmd);  
    echo "$proxy baned!n";  
    $ban_num ++;  
}  
echo "total: $ban_num ipsn";  
?>
Copy after login

用下面的命令执行脚本,确保php命令在PATH中.

php ban.php:这个脚本依赖于第二段中ips.txt里保存的结果,当其中记录的IP访问次数超过10次,就被当作攻击源给屏蔽掉,如果是代理服务器,则不判断次数直接封掉,封完IP之后,把所有的网站设置恢复正常,站点可以继续正常运行了.


Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Recommendations
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template
About us Disclaimer Sitemap
php.cn:Public welfare online PHP training,Help PHP learners grow quickly!