一，准备工作
1，登录进VPS控制面板，准备好随时重启VPS。
2，关闭Web Server先，过高的负载会导致后面的操作很难进行，甚至直接无法登录SSH。
3，以防万一，把设置的Web Server系统启动后自动运行去掉。
（如果已经无法登录进系统，并且重启后负载过高导致刚刚开机就已经无法登录，可联系管理员在母机上封掉VPS的IP或80端口，在母机上用虚拟控制台登录 进系统，然后进行2&3的操作，之后解封）

二，找出攻击者IP

1，在网站根目录建立文件ip.php，写入下面的内容。

<?php
$real_ip = getenv('HTTP_X_FORWARDED_FOR');
if(isset($real_ip)){
shell_exec("echo $real_ip >> real_ip.txt");
shell_exec("echo $_SERVER['REMOTE_ADDR'] >> proxy.txt");
}else{
shell_exec("echo $_SERVER['REMOTE_ADDR'] >> ips.txt");
}

echo '服务器受到攻击，正在收集攻击源，请在5分钟后访问本站，5分钟内多次访问本站有可能会被当作攻击源封掉IP。谢谢合作！';
?>

2，设置伪静态，将网站下的所有访问都rewrite到ip.php。
Nginx规则：

rewrite (.*) /ip.php;

Lighttpd规则：

url.rewrite = (
"^/(.+)/?$" => "/ip.php"
)

3，启动Web Server开始收集IP
进行完1和2的设置后，启动Web Server，开始记录IP信息。
收集时间建议为3到5分钟，然后再次关闭Web Server。
real_ip.txt，这个文件中保存的IP有80%以上都相同的，这个IP就是攻击者实施攻击的平台的IP。
proxy.txt，这个文件中保存的是攻击者调用的代理服务器的IP，需要封掉。
ips.txt，这里记录的是未表现出代理服务器特征的IP，根据访问次数判断是否为攻击源。

三，对上一段的补充
如果VPS上启用了WEB日志，可以查看日志文件的增长速度来判断是哪个站点被攻击。
如果没有启用日志，并且站点数量很少，临时启用日志也很方便 。
如果没有启用日志，并且站点数量过多，可以使用临时的Web Server配置文件，不绑定虚拟主机，设置一个默认的站点。然后在ip.php里加入下面一行

shell_exec(“echo $_SERVER['HTTP_HOST'] >> domain.txt”);

domain.txt里将保存被访问过的域名，被CC攻击的站点将在里面占绝大多数。

四，开始封堵IP
建立文件ban.php

<?
$threshold = 10;
$ips = array_count_values(file('ips.txt'));
$ban_num = 0;
foreach($ips as $ip=>$num){
if($num > $threshold){
$ip = trim($ip);
$cmd = "iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP";
shell_exec($cmd);
echo "$ip baned!\n";
$ban_num ++;
}
}

$proxy_arr = array_unique(file('proxy.txt'));
foreach($proxy_arr as $proxy){
proxy = trim($proxy);
$cmd = "iptables -I INPUT -p tcp --dport 80 -s $proxy -j DROP";
shell_exec($cmd);
echo "$proxy baned!\n";
$ban_num ++;
}

echo "total: $ban_num ips\n";
?>

用下面的命令执行脚本（确保php命令在PATH中）

php ban.php

这个脚本依赖于第二段中ips.txt里保存的结果，当其中记录的IP访问次数超过10次，就被当作攻击源给屏蔽掉。如果是代理服务器，则不判断次数直接 封掉。
封完IP之后，把所有的网站设置恢复正常，站点可以继续正常运行了。

五，一些细节
为保持对操作过程的描述尽量简洁，没有在上面的内容中加入过多的解释，留在这段统一讲述。
1，关于“代理服务器”的一些本质
两个与TCP&HTTP协议相关的值，REMOTE_ADDR和HTTP_X_FORWARDED_FOR。
（1）REMOTE_ADDR总是取离Web服务器最接近的一台主机的IP，如果没有使用代理，这个值就是访问者本身的IP，如果使用了代理，这个值就是 代理服务器的IP，如果通过多个代理服务器进行的连接，这个值就是到达Web服务器前最后一台代理服务器的IP。
REMOTE_ADDR是由TCP/IP层决定的，不能修改不能伪造。
（2）HTTP_X_FORWARDED_FOR，因为这个值是属于HTTP部分，而不是TCP/IP，所以这个值不管是什么，都不影响数据的传输。事实 上，一般情况下，如果是访问者直接访问Web服务器，这个值为空；通过透明代理的时候，这个值会被代理服务器设置为访问者的IP；通过匿名代理连接时，这 个值可能为代理服务器的IP也可能是空的也有可能是随机的。
HTTP_X_FORWARDED_FOR可以被任意修改。大多数代理服务器都是透明代理，也就是说，会把这个值设置为最原始访问者的IP。

2，关于解决CC攻击的层面问题
按处理效率从高到低排列。
（由于本文是针对VPS服务器所写，而VPS简单来说就是服务器的低端替代品，内存和CPU等资源普遍偏低，当然是处理效率越高越好。）
（1）网络传输层。也就是本文所用的iptables，这个工具本身是工作于系统内核，在建立网络连接时直接把攻击者的连接给否了。在这一层面上将攻击源 处理掉后，消耗掉的资源几乎可以忽略不计。
（2）Web Server层，大多数Web Server都可以设置禁止访问的IP。在这一层上解决的意义和上面的差不多，但是效率要差些。
（3）脚本层，从脚本程序上制定适合于本身的策略过滤掉攻击源。网络上有很多流传的在这一层面的解决方案，但是不太适用于VPS，而且设置难度可能要增加 几倍或者几十倍。

3，为什么不是从日志收集IP？
主要是考虑两点，一是大多数VPS使用者都因为硬盘空间过小，经常清除日志很麻烦，而直接禁止了日志。
二是如果从日志收集IP，脚本复杂程度要高很多，而且可能要根据情况做些调整，考虑到将要读到本文的人大多数都未必掌握更多的技术，本文的目的就是按部就 班的依本文进行操作，即可解决问题。

六，其他
本文版权归DiaHosting所 有，转载请保留超链接。

二，设置mutt发信参数
$ vim ~/.muttrc
写入下面的内容
set envelope_from=yes
set from=bak@diavps.com
set realname="DiaBak"
set use_from=yes
然后设置要接收邮件的Gmail，把bak@diavps.com加入白名单。

三，设置脚本
注意这几个目录
/etc/cron.hourly
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly
这些目录下的文件可以分别每小时，每天，每周，每月自动执行一次。
如果是把脚本程序放置在上面的目录里，最好把权限设置为0700。
设置更复杂的执行条件可以使用crontab -e命令。详情请百度。

以每天执行为例
$ vim /etc/cron.daily/diabsk.sh
写入下面的内容
#!/bin/bash

# SETTING
TOEMAIL="bak@diavps.com";
COMMENT='blog database backup'
DIR='wordpress'
# END SETTING

TMP='/tmp/diabak/'${DIR}
ATTTMP='/tmp/diabakatt/'${DIR}

rm -rf $TMP
mkdir -p $TMP
cd $TMP

# Put files what you want to backup to $TMP

# Don't change anything below
YYYYMMDD=`date +%Y%m%d`
SUBJECT='DiaBak_of_'${DIR}'_'${YYYYMMDD};

rm -rf $ATTTMP
mkdir -p $ATTTMP
cd $ATTTMP

tar zcPf backup.tar.gz $TMP
rm -rf $TMP
split -b 20m -a 3 -d backup.tar.gz ${SUBJECT}.part
rm -f backup.tar.gz

for file in *
do
echo $COMMENT | mutt -a $file -s $SUBJECT $TOEMAIL
sleep 30s
done

rm -rf $ATTTMP

需要更改的内容已经加红
TOEMAIL为接收邮件的邮箱地址。
TOEMAIL为注释邮件，以邮件正文发送。
DIR为临时目录名，建议仅使用英文和数字。
# Put files what you want to backup to $TMP，这一行下面的命令根据需要自己补充，比如备份数据库可以把SQL文件导出到$TMP目录，备份文件可以复制文件到$TMP目录。

四，导出数据库的命令。
1.备份单个数据库
mysqldump --user=user --password=password --lock-all-tables dbname > backup.sql
2.备份多个数据库
mysqldump --user=user --password=password --lock-all-tables --databases dbname1 dbname2 > backup.sql
3.备份所有数据库
mysqldump --user=user --password=password --lock-all-tables --all-databases > backup.sql

--lock-all-tables选项可以在备份期间锁定数据库防止出现变化，进而导致多个有关系的表不同步，比如A表需要引用B表，备份完A表后，B 表发生了变化，之后才备份了B表，这样数据库就乱了。
备份上百M的数据库也只用了几秒而已，所以这个选项对网站运行影响不大。

五，重新组合备份的文件
Linux下
$ cat DiaBak* > bak.tar.gz
windows下
copy DiaBak_of_testfile_20100421.part001/b+DiaBak_of_testfile_20100421.part002/b bak.tar.gz
注意分卷后面会有三位数字，cat命令会按这些数字的顺序重新组合文件，所以数字不能乱。
copy命令同理，注意数字顺序。

六，其他
测试了一个600多M的文件，以20M的大小分成了31个包，通过脚本发送，用时十几分钟，期间网速保持在5Mbps到10Mbps之间，本机还有足够的 带宽，这个应该是GMAIL的上限了。
有些邮件需要过一个多小时才在Gmail显示出来。31个包全部收到。
如果哪位发现有比Gmail更适合备份的邮箱，期待与大家分享。

转载自：http://www.hostloc.com/thread-15597-1-1.html

互联网如同现实社会一样充满钩心斗角，网站被DDOS也成为站长最头疼的事。在没有硬防的情况下，寻找软件代替是最直接的方法，比如用iptables，但是iptables不能在自动屏蔽，只能手动屏蔽。今天要说的就是一款能够自动屏蔽DDOS攻击者IP的软件：DDoS deflate。

DDoS deflate介绍

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限 制时，该程序会通过APF或IPTABLES禁止或阻挡这些IP.

DDoS deflate官方网站：http://deflate.medialayer.com/

如何确认是否受到DDOS攻击？

执行：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

执行后，将会显示服务器上所有的每个IP多少个连接数。

以下是我自己用VPS测试的结果：

li88-99:~# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 114.226.9.132
1 174.129.237.157
1 58.60.118.142
1 Address
1 servers)
2 118.26.131.78
3 123.125.1.202
3 220.248.43.119
4 117.36.231.253
4 119.162.46.124
6 219.140.232.128
8 220.181.61.31    VPS侦探 http://www.vpser.net/
2311 67.215.242.196

每个IP几个、十几个或几十个连接数都还算比较正常，如果像上面成百上千肯定就不正常了。

1、安装DDoS deflate

wget http://www.inetbase.com/scripts/ddos/install.sh   //下载DDoS  deflate
chmod 0700 install.sh    //添加权限
./install.sh             //执行

2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  //IP地址白名单
CRON="/etc/cron.d/ddos.cron"    //定时执行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####          option so that the new frequency takes effect
FREQ=1   //检查时间间隔，默认1分钟

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大连接数，超过这个数IP就会被屏蔽，一般默认即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1        //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP，默认即可

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"   //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁用IP时间，默认600秒，可根据情况调整

用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

喜欢折腾的可以用Web压力测试软件测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是Linux（当前内核2.6）系统的实现。

一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。

因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：
在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。

for i in /proc/[0-9]* ; do

讨论：

检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。

而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：

rpm -Va

即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

转载自：http://www.bsdmap.com/2010/02/02/proc-usage/

DenyHosts官方网站为：http://denyhosts.sourceforge.net/

1、下载DenyHosts 并解压

# wget http://soft.vpser.net/security/denyhosts/DenyHosts-2.6.tar.gz
# tar zxvf DenyHosts-2.6.tar.gz
# cd DenyHosts-2.6

2、安装、配置和启动

# python setup.py install
默认是安装到/usr/share/denyhosts/目录的,进入相应的目录修改配置文件

# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist denyhosts.cfg
# cp daemon-control-dist daemon-control

默认的设置已经可以适合centos系统环境，你们可以使用vi命令查看一下denyhosts.cfg和daemon-control，里面有详细的解释
接着使用下面命令启动denyhosts程序
# chown root daemon-control
# chmod 700 daemon-control
# ./daemon-control start

如果要使DenyHosts每次重起后自动启动还需做如下设置：
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts
# chkconfig --level 2345 denyhosts on
或者执行下面的命令，将会修改/etc/rc.local文件：
# echo "/usr/share/denyhosts/daemon-control start" >> /etc/rc.local

DenyHosts配置文件denyhosts.cfg说明：

SECURE_LOG = /var/log/secure
 
#sshd日志文件，它是根据这个文件来判断的，不同的操作系统，文件名稍有不同。
 
HOSTS_DENY = /etc/hosts.deny
 
#控制用户登陆的文件
 
PURGE_DENY = 5m
 
#过多久后清除已经禁止的
 
BLOCK_SERVICE  = sshd
 
#禁止的服务名
 
DENY_THRESHOLD_INVALID = 1
 
#允许无效用户失败的次数
 
DENY_THRESHOLD_VALID = 10
 
#允许普通用户登陆失败的次数
 
DENY_THRESHOLD_ROOT = 5
 
#允许root登陆失败的次数
 
HOSTNAME_LOOKUP=NO
 
#是否做域名反解
 
DAEMON_LOG = /var/log/denyhosts

更多的说明请查看自带的README文本文件，好了以后维护VPS就会省一些心了，但是各位VPSer们注意了安全都是相对的哦，没有绝对安全，请定期或不定期的检查你的VPS主机，而且要定时备份你的数据哦。

62.75.214.93  gera125.server4you.de  德国/德国鬼子

203.215.252.189  香港特别行政区/无语。。。。

219.143.200.169  北京市电信 /在党中央还做坏事。。。。

60.12.193.134  浙江省湖州市网通  /

c953dc2c.virtua.com.br  201.83.220.44 巴西 /就你最多。。。。

其中几个还搭建了Nginx的环境，都没做站。

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

如果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc/hosts.deny中，那么此访问也被允许。

<daemon list>:<client list>[:<option>:<option>:...]

daemon list     服务进程名列表，如telnet的服务进程名为in.telnetd
client list     访问控制的客户端列表，可以写域名、主机名或网段，如.trubolinux.com.cn或者192.168.1.
option          可选选项，这里可以是某些命令，也可以是指定的日志文件

例子：hosts.allow
in.telnetd:.vpser.net
vsftpd:192.168.0.
sshd:192.168.0.0/255.255.255.0

/etc/hosts.allow里第一行vpser.net表示，只有vpser.net这个域里的主机允许访问TELNET服务，注意vpser.net前面的那个点(.)。
/etc/hosts.allow里第二行表示，只有192.168.0这个网段的用户允许访问FTP服务，注意0后面的点(.)。
/etc/hosts.allow里第三行表示，只有192.168.0这个网段的用户允许访问SSH服务，注意这里不能写为192.168.0.0/24。虽然在CISCO路由器种这两中写法是等同的。

在/etc/hosts.deny里加上：

sshd:62.75.214.93
sshd:203.215.252.189
sshd:219.143.200.169
sshd:60.12.193.134
sshd:201.83.220.44
sshd:c953dc2c.virtua.com.br
sshd:gera125.server4you.de

把他们访问SSH的全部给拒绝了，Linux的GFW也很强。

今天介绍一下简单的方法为自己的VPS备份。

1、使用putty登录VPS，这里不多介绍了。

2、备份网站目录：

[root@www ~]# cd /web/www      //进入相应的目录
[root@www www]# tar zcvf vps.tar.gz vps   //使用tar打包且压缩vps文件夹，压缩后的文件名为：vps.tar.gz
[root@www www]#

3、备份数据库：

方法一：使用PHPmyadmin备份数据库

方法二：使用mysqldump定时自动备份数据库

[root@www www]# vi backup-db.sh
#!/bin/sh
/bin/nice -n 19 /usr/bin/mysqldump -u vpsmysql --password=vpsmysqlpassword mysqlname -c | /bin/nice -n 19 /bin/gzip -9 > /web/www/db-backup/vps-$(date '+%Y%m%d').sql.gz
rm -rf /web/www/db-backup/vps-$(date +%Y%m%d -d "7 days ago").sql.gz
#上面语句删除7天前的备份

上述脚本中-u后接数据库用户名， –password后接数据库密码，紧接着是数据库名，后面/web/www/db-backup/ 是备份的目录。

添加定时执行任务

[root@www ~]# crontab -e
59 23 * * * /web/www/backup-db.sh

每天的23：59分会自动备份数据库，且生成的数据库压缩按日期命名

以上备份的信息，备份完了就赶快把备份下载到本地，毕竟，备份的数据都在VPS，不在身边。