一，準備工作

1，登錄進VPS控制面板，準備好隨時重啟VPS。

2，關閉Web Server先，過高的負載會導致后面的操作很難進行，甚至直接無法登錄SSH。

3，以防萬一，把設置的Web Server系統啟動后自動運行去掉。

（如果已經無法登錄進系統，并且重啟后負載過高導致剛剛開機就已經無法登錄，可聯系管理員在母機上封掉VPS的IP或80端口，在母機上用虛擬控制臺登錄進系統，然后進行2&3的操作，之后解封）

二，找出攻擊者IP

1，在網站根目錄建立文件ip.php，寫入下面的內容。

 <?php

    $real_ip = getenv(‘HTTP_X_FORWARDED_FOR');

    if(isset($real_ip)){

    shell_exec("echo $real_ip > real_ip.txt");

    shell_exec("echo $_SERVER['REMOTE_ADDR']> proxy.txt”);

    }else{

    shell_exec("echo $_SERVER['REMOTE_ADDR'] > ips.txt”)"

    }

echo'服務器受到攻擊，正在收集攻擊源，請在5分鐘后訪問本站，5分鐘內多次訪問本站有可能會被當作攻擊源封掉IP。謝謝合作！';

?>

2，設置偽靜態，將網站下的所有訪問都rewrite到ip.php。

Nginx規則：

    rewrite (.*) /ip.php;

    Lighttpd規則:

    url.rewrite = (

    “^/(.+)/?$" => "/ip.php”

   )

3，啟動Web Server開始收集IP

進行完1和2的設置后，啟動Web Server，開始記錄IP信息。

收集時間建議為3到5分鐘，然后再次關閉Web Server。

real_ip.txt，這個文件中保存的IP有80%以上都相同的，這個IP就是攻擊者實施攻擊的平臺的IP。

proxy.txt，這個文件中保存的是攻擊者調用的代理服務器的IP，需要封掉。

ips.txt，這里記錄的是未表現出代理服務器特征的IP，根據訪問次數判斷是否為攻擊源。

三，對上一段的補充

如果VPS上啟用了WEB日志，可以查看日志文件的增長速度來判斷是哪個站點被攻擊。

如果沒有啟用日志，并且站點數量很少，臨時啟用日志也很方便 。

如果沒有啟用日志，并且站點數量過多，可以使用臨時的Web Server配置文件，不綁定虛擬主機，設置一個默認的站點。然后在ip.php里加入下面一行

shell_exec("echo $_SERVER['HTTP_HOST']>> domain.txt”);

domain.txt里將保存被訪問過的域名，被CC攻擊的站點將在里面占絕大多數。

四，開始封堵IP

建立文件ban.php

<?

    $threshold = 10;

    $ips = array_count_values(file('ips.txt'));

    $ban_num = 0;

    foreach($ips as $ip=>$num){

    if($num > $threshold){

    $ip = trim($ip);

    $cmd = “iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP”;

    shell_exec($cmd);

    echo “$ip baned! ”;

    $ban_num ++;

    }

    }

    $proxy_arr = array_unique(file('ips.txt'))'

    foreach($proxy_arr as $proxy){

    $proxy = trim($proxy);