Linux VPS下簡單解決CC攻擊的方法

2024-08-28 00:01:45

字體：大中小

供稿：網(wǎng)友

一，準(zhǔn)備工作
　　1，登錄進VPS控制面板，準(zhǔn)備好隨時重啟VPS。
　　2，關(guān)閉Web Server先，過高的負載會導(dǎo)致后面的操作很難進行，甚至直接無法登錄SSH。
　　3，以防萬一，把設(shè)置的Web Server系統(tǒng)啟動后自動運行去掉。
　　（如果已經(jīng)無法登錄進系統(tǒng)，并且重啟后負載過高導(dǎo)致剛剛開機就已經(jīng)無法登錄，可聯(lián)系管理員在母機上封掉VPS的IP或80端口，在母機上用虛擬控制臺登錄進系統(tǒng)，然后進行2&3的操作，之后解封）
二，找出攻擊者IP
　　1，在網(wǎng)站根目錄建立文件ip.php，寫入下面的內(nèi)容。
　　復(fù)制代碼代碼如下:
　　$real_ip = getenv('HTTP_X_FORWARDED_FOR');
　　if(isset($real_ip)){
　　shell_exec("echo $real_ip > real_ip.txt");
　　shell_exec("echo $_SERVER['REMOTE_ADDR']> proxy.txt");
　　}else{
　　shell_exec("echo $_SERVER['REMOTE_ADDR'] > ips.txt")"
　　}
　　echo'服務(wù)器受到攻擊，正在收集攻擊源，請在5分鐘后訪問本站，5分鐘內(nèi)多次訪問本站有可能會被當(dāng)作攻擊源封掉IP。謝謝合作！';
　　?>

　　2，設(shè)置偽靜態(tài)，將網(wǎng)站下的所有訪問都rewrite到ip.php。
　　Nginx規(guī)則：
復(fù)制代碼代碼如下:
　　rewrite (.*) /ip.php;
　　Lighttpd規(guī)則:
　　url.rewrite = (
　　"^/(.+)/?$" => "/ip.php"
　　)

　　3，啟動Web Server開始收集IP
　　進行完1和2的設(shè)置后，啟動Web Server，開始記錄IP信息。
　　收集時間建議為3到5分鐘，然后再次關(guān)閉Web Server。
　　real_ip.txt，這個文件中保存的IP有80%以上都相同的，這個IP就是攻擊者實施攻擊的平臺的IP。
　　proxy.txt，這個文件中保存的是攻擊者調(diào)用的代理服務(wù)器的IP，需要封掉。
　　ips.txt，這里記錄的是未表現(xiàn)出代理服務(wù)器特征的IP，根據(jù)訪問次數(shù)判斷是否為攻擊源。
三，對上一段的補充
　　如果VPS上啟用了WEB日志，可以查看日志文件的增長速度來判斷是哪個站點被攻擊。
　　如果沒有啟用日志，并且站點數(shù)量很少，臨時啟用日志也很方便。
　　如果沒有啟用日志，并且站點數(shù)量過多，可以使用臨時的Web Server配置文件，不綁定虛擬主機，設(shè)置一個默認(rèn)的站點。然后在ip.php里加入下面一行
　　shell_exec("echo $_SERVER['HTTP_HOST']>> domain.txt");
　　domain.txt里將保存被訪問過的域名，被CC攻擊的站點將在里面占絕大多數(shù)。
四，開始封堵IP
　　建立文件ban.php
　　復(fù)制代碼代碼如下:
　　$threshold = 10;
　　$ips = array_count_values(file('ips.txt'));
　　$ban_num = 0;
　　foreach($ips as $ip=>$num){
　　if($num > $threshold){
　　$ip = trim($ip);
　　$cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP";
　　shell_exec($cmd);
　　echo "$ip baned! ";
　　$ban_num ++;
　　}
　　}
　　$proxy_arr = array_unique(file('ips.txt'))'
　　foreach($proxy_arr as $proxy){
　　$proxy = trim($proxy);
　　$cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP";
　　shell_exec($cmd);
　　echo "$ip baned! ";
　　$ban_num ++;
　　}
　　echo "total: $ban_num ips ";
　　?>

　　用下面的命令執(zhí)行腳本（確保php命令在PATH中）
　　php ban.php
　　這個腳本依賴于第二段中ips.txt里保存的結(jié)果，當(dāng)其中記錄的IP訪問次數(shù)超過10次，就被當(dāng)作攻擊源給屏蔽掉。如果是代理服務(wù)器，則不判斷次數(shù)直接封掉。

上一篇：linux vps服務(wù)器常用服務(wù)iptables策略

下一篇：BT寶塔Linux服務(wù)器管理助手架設(shè)VPS面板(安裝及初始設(shè)置應(yīng)用)