1

我为鱼肉

2012要到来了吗?近日CSDN、多玩、猫扑、天涯等各个大型的站点都爆出站点用户数据库密码泄漏的事件,最可怕的是泄漏的都是明文的密码,这些站点的安全性和可靠性真的令人感到震精。

下载已泄露的数据库,搜索发现鄙人也不幸中招。由于种种原因,就不谈为何要明文储存用户密码,而来谈谈我们常用的密码加密算法MD5.源于除了看到CSDN的道歉信,不幸在CSDN官方微博看到以下这样的一条消息:

Continue Reading

8

[Linux笔记] Nginx 简单防盗链两则

一、全站针对后缀防盗链

location ~* \.(gif|jpg|png|swf|flv)$ { 
valid_referers none blocked www.meidahua.com meidahua.com; #这里换成你的域名
if ($invalid_referer) { 
rewrite ^/ http://www.meidahua.com; #盗链转跳到的页面
#return 403; 
} 
} 

第一行:gif|jpg|png|swf|flv
对gif、jpg、png、swf、flv文件防盗链
第二行:表示对www.meidahua.com这2个来路进行判断
if{}里面内容的意思是,如果来路不是指定来路就跳转到http://www.meidahua.com页面,当然了直接返回403也是可以的,在rewrite前面加个#号。把return 403前面的#号去掉即可。
Continue Reading

3

[Linux笔记] LinuxVPS简单解决CC攻击

一,准备工作
1,登录进VPS控制面板,准备好随时重启VPS。
2,关闭Web Server先,过高的负载会导致后面的操作很难进行,甚至直接无法登录SSH。
3,以防万一,把设置的Web Server系统启动后自动运行去掉。
(如果已经无法登录进系统,并且重启后负载过高导致刚刚开机就已经无法登录,可联系管理员在母机上封掉VPS的IP或80端口,在母机上用虚拟控制台登录进系统,然后进行2&3的操作,之后解封)

二,找出攻击者IP
1,在网站根目录建立文件ip.php,写入下面的内容。

$real_ip = getenv('HTTP_X_FORWARDED_FOR');
if(isset($real_ip)){
	shell_exec("echo " . $real_ip . " >> real_ip.txt");
	shell_exec("echo {$_SERVER["REMOTE_ADDR"]} >> proxy.txt");
}else{
shell_exec('echo $_SERVER["REMOTE_ADDR"] >> ips.txt');
}
echo '服务器受到攻击,正在收集攻击源,请在5分钟后访问本站,5分钟内多次访问本站有可能会被当作攻击源封掉IP.谢谢合作!';

Continue Reading