站长跑路了！网站无法访问，验证码无回应

最近几天亿破姐网站陆陆续续的出现无法访问的问题，有同学发邮件给亿破姐，但是没有收到回复，以为亿破姐跑路了，其实不然。

最近网站的服务器提供商网络出现问题，由于海外的作息时间与国内不尽相同，导致沟通了2天时间才解决这个问题。

加上最近胃疼不舒服检查就去了2天时间，第一天挂号消化内科看了胸部正位的摄像，心电图，输血前八项，第二天去做了无痛胃镜检查（）

2021年3月30号晚20点左右网站无法访问问题已经解决，以为可以继续更新网站了，没想到啊，事情果然不简单，网站又再次遇到了DDoS/CC攻击，自2021年以来一直有一些吃饱饭，没有事情干，不惜浪费网络资源的人，没日没夜使用脚本恶意攻击亿破姐网站，对于这些人：

亿破姐奉劝那些人，尽快走上正途，停止DDOS/CC攻击这种无聊行为！

对了还要奉劝那些社会渣渣爆破SSL后台密码，以及爆破亿破姐网站后台，注入攻击等等的行为还是不要白费心思了，亿破姐网站每日都会对PHP/html进行杀毒，一周更换一次密码，密码的强度高达26位数以上，字母大小写符号组合，连亿破姐都记不住。

各位同学在访问网站的时候会出现以下图片出现的情况，如下图：

网站已开启CF的5秒防火墙，以上就是在检测访问是机器，还是正常的人类，如果是机器会自动拒绝访问，是人类的话会在5秒后自动放行，以此来达到拒绝攻击着访问网站，造成的资源浪费，如果机器访问多了，占用了正常的资源，那么正常用户就会出现无法访问，访问卡顿，访问慢，无响应的情况，打开网站都是超时来的，全部显示404或者数据库为连接之类的报错。

不知道那个吃饱了撑着的人在DDoS/CC攻击导致服务器资源耗尽，内存飙升，服务器自然打不开了，比例来说吧，一个水坝只能装40平水，突然下了暴雨一下子超出了水坝的最大容量，马上就会导致水坝崩塌了，服务器卡死，网站陷入无反应，无服务的状态。

另外给大家普及一下知识，整理来自互联网

CC/DDOS攻击

CC = Challenge Collapsar，意为“挑战黑洞”，其前身名为Fatboy攻击，是利用不断对网站发送连接请求致使形成拒绝服务的目的。业界赋予这种攻击名称为CC（Challenge Collapsar，挑战黑洞），是由于在DDOS攻击发展前期，绝大部分都能被业界知名的“黑洞”（Collapsar）抗拒绝服务攻击系统所防护，于是在黑客们研究出一种新型的针对http的DDOS攻击后，即命名ChallengeCollapsar，声称黑洞设备无法防御，后来大家就延用CC这个名称至今。CC攻击是DDOS（分布式拒绝服务）的一种，其攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

Web漏洞攻击

Web应用攻击是攻击者通过浏览器或攻击工具，在URL或者其它输入区域（如表单等），向Web服务器发送特殊请求，从中发现Web应用程序存在的漏洞，从而进一步操纵和控制网站，查看、修改未授权的信息。

1、信息泄露漏洞

信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。造成信息泄露主要有以下三种原因:

Web服务器配置存在问题，导致一些系统文件或者配置文件暴露在互联网中；

Web服务器本身存在漏洞，在浏览器中输入一些特殊的字符，可以访问未授权的文件或者动态脚本文件源码；

Web网站的程序编写存在问题，对用户提交请求没有进行适当的过滤，直接使用用户提交上来的数据。

2、目录遍历漏洞

目录遍历漏洞是攻击者向Web服务器发送请求，通过在URL中或在有特殊意义的目录中附加“../”、或者

3、命令执行漏洞

命令执行漏洞是通过URL发起请求，在Web服务器端执行未授权的命令，获取系统信息，篡改系统配置，控制整个系统，使系统瘫痪等。命令执行漏洞主要有两种情况：

通过目录遍历漏洞，访问系统文件夹，执行指定的系统命令；

攻击者提交特殊的字符或者命令，Web程序没有进行检测或者绕过Web应用程序过滤，把 用户提交的请求作为指令进行解析，导致执行任意命令。

4、文件包含漏洞

文件包含漏洞是由攻击者向Web服务器发送请求时，在URL添加非法参数，Web服务器端程序变量过滤不严，把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件，也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的，所以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。

5、SQL注入漏洞

SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断，攻击者通过Web页面的输入区域(如URL、表单等) ，用精心构造的SQL语句插入特殊字符和指令网页上验证码不显示，通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行，攻击者可以利用SQL注入漏洞获得管理员权限，在网页上加挂木马和各种恶意程序，盗取企业和用户敏感信息。

6、跨站脚本漏洞XSS

跨站脚本漏洞是因为Web应用程序时没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏览器自动执行，从而达到攻击的目的。跨站脚本漏洞危害很大，尤其是目前被广泛使用的网络银行，通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户网页上验证码不显示，盗窃企业重要信息。