Linux VPS下簡單解決CC攻擊

1，登錄進VPS控制面板，準備好隨時重啟VPS。

2，關(guān)閉Web Server先，過高的負載會導致后面的操作很難進行，甚至直接無法登錄SSH。

3，以防萬一，把設(shè)置的Web Server系統(tǒng)啟動后自動運行去掉。

(如果已經(jīng)無法登錄進系統(tǒng)，并且重啟后負載過高導致剛剛開機就已經(jīng)無法登錄，可聯(lián)系管理員在母機上封掉VPS的IP或80端口，在母機上用虛擬控制臺登錄進系統(tǒng)，然后進行2&3的操作，之后解封)

二，找出攻擊者IP

1，在網(wǎng)站根目錄建立文件ip.php，寫入下面的內(nèi)容。

2，設(shè)置偽靜態(tài)，將網(wǎng)站下的所有訪問都rewrite到ip.php。

3，啟動Web Server開始收集IP

進行完1和2的設(shè)置后，啟動Web Server，開始記錄IP信息。

收集時間建議為3到5分鐘，然后再次關(guān)閉Web Server。

real_ip.txt，這個文件中保存的IP有80%以上都相同的，這個IP就是攻擊者實施攻擊的平臺的IP。

proxy.txt，這個文件中保存的是攻擊者調(diào)用的代理服務器的IP，需要封掉。

ips.txt，這里記錄的是未表現(xiàn)出代理服務器特征的IP，根據(jù)訪問次數(shù)判斷是否為攻擊源。

三，對上一段的補充

如果VPS上啟用了WEB日志，可以查看日志文件的增長速度來判斷是哪個站點被攻擊。

如果沒有啟用日志，并且站點數(shù)量很少，臨時啟用日志也很方便。

如果沒有啟用日志，并且站點數(shù)量過多，可以使用臨時的Web Server配置文件，不綁定虛擬主機，設(shè)置一個默認的站點。然后在ip.php里加入下面一行

domain.txt里將保存被訪問過的域名，被CC攻擊的站點將在里面占絕大多數(shù)。

四，開始封堵IP

建立文件ban.php

用下面的命令執(zhí)行腳本(確保php命令在PATH中)

php ban.php

這個腳本依賴于第二段中ips.txt里保存的結(jié)果，當其中記錄的IP訪問次數(shù)超過10次，就被當作攻擊源給屏蔽掉。如果是代理服務器，則不判斷次數(shù)直接封掉。

封完IP之后，把所有的網(wǎng)站設(shè)置恢復正常，站點可以繼續(xù)正常運行了。