蓝易云CDN：网站被恶意攻击怎么办？云服务器受到攻击的实战处置指南

网站突然打不开、响应变得极慢、后台频繁报错——遇到这种情况，大概率是云服务器正在遭受恶意攻击。别慌，按照下面这套经过验证的流程一步步走，就能快速止血并建立长效防线。🛡️

一、快速判断你正在遭受哪种攻击

攻击类型不同，应对策略天差地别。先登录服务器做基础排查。

查看系统资源占用情况：

top -bn1 | head -20

top是Linux系统的实时性能监控工具，-b让它以批处理模式输出（适合脚本和日志采集），-n1表示只刷新一次就退出，head -20截取前20行关键信息。通过这条命令可以一眼看到CPU、内存的整体使用率以及哪些进程在吃资源。如果CPU被某个陌生进程占满，可能是被植入了挖矿木马；如果是Nginx或Apache进程暴涨，多半是遭受了CC攻击。📊

再检查当前网络连接的数量：

ss -s

ss是netstat的高效替代工具，-s参数输出连接统计摘要，包括TCP连接总数、各状态的数量等。正常业务下TCP连接一般在几百以内，如果看到数千甚至上万的established或syn-recv连接，说明流量型攻击正在进行。

针对Web层面的CC攻击，查看哪些URL被集中请求：

awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -15

这条命令从Nginx访问日志中提取第7个字段（即请求的URL路径），然后统计每个URL被访问的次数并降序排列，取前15个。如果某个动态接口（如搜索页、登录页）的请求量远超其他页面，攻击者就是在针对这个接口发起CC攻击。🎯

二、立即止血——封堵攻击流量

找出异常IP并批量封禁：

ss -tnp | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -30

ss -tnp列出所有TCP连接及其对应的进程信息，后续管道提取远端IP并统计连接数排名。拿到高连接数的恶意IP后，用以下命令封禁：

iptables -I INPUT -s 可疑IP -j DROP

-I INPUT表示将规则插入到INPUT链的最顶部，确保优先生效。-j DROP直接丢弃数据包，不返回任何响应，攻击方无法得知端口是否开放。

如果恶意IP数量太多，手动封效率太低，可以结合日志批量处理：

ss -tnp | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | awk '$1>100{print $2}' | while read ip; do iptables -I INPUT -s "$ip" -j DROP; done

这段组合命令的逻辑是：先统计每个IP的连接数，awk '$1>100{print $2}'筛选出连接数超过100的IP，然后通过while read循环逐一写入iptables封禁规则。阈值100可以根据你的正常业务量灵活调整。⚡

三、系统层加固——关上不该开的门

攻击发生后，必须检查服务器是否存在安全隐患。

查看当前所有监听端口：

ss -tlnp

-t只看TCP，-l只看监听状态的端口，-n以数字形式显示端口号而非服务名，-p显示占用该端口的进程。逐一核对，凡是非业务必要的端口一律关闭。比如发现Redis的6379或Memcached的11211暴露在公网，这就是严重隐患，必须立即修改为仅监听127.0.0.1。

检查是否存在可疑的定时任务：

crontab -l
for user in $(cut -f1 -d: /etc/passwd); do echo "--- $user ---"; crontab -u $user -l 2>/dev/null; done

第一条crontab -l查看当前用户的定时任务。第二条命令遍历系统中所有用户，逐一检查每个用户的crontab内容。攻击者入侵后常常会在crontab中植入挖矿脚本或反弹Shell的定时任务，发现异常条目立即删除。🔍

检查近期被修改过的可疑文件：

find /var/www -name "*.php" -mtime -3 -ls

find在网站目录下搜索所有PHP文件，-mtime -3限定为最近3天内有修改的，-ls以详细格式列出。如果你近3天没做过代码变更，却发现有PHP文件被改动，很可能已经被植入了Webshell后门，需要立即隔离排查。

四、Web应用层防护

在Nginx中配置IP黑名单和连接频率限制：

http {
    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_req_zone $binary_remote_addr zone=cc_defense:20m rate=20r/s;

    server {
        limit_conn perip 30;
        limit_req zone=cc_defense burst=40 nodelay;

        if ($http_user_agent ~* "python|curl|wget|httpclient|okhttp") {
            return 403;
        }
    }
}

这段配置做了三件事：limit_conn_zone定义了按IP统计并发连接数的共享内存区域，limit_conn perip 30限制每个IP最多保持30个并发连接；limit_req_zone按IP限制请求速率为每秒20次，burst=40允许突发排队40个请求，nodelay不延迟直接处理；最后的if判断把常见的自动化工具User-Agent直接返回403拦截。这三层组合能大幅削减CC攻击的冲击。

配置修改后执行：

nginx -t && systemctl reload nginx

先验证语法正确性，再平滑重载，不影响现有连接。✅

五、接入蓝易云CDN——治本之策

上面所有措施都属于在源站层面的被动防御，真正要解决问题，需要把战线前移。将域名接入蓝易云CDN后，所有访问流量先经过CDN边缘节点，DDoS清洗、CC智能识别、WAF规则过滤全部在到达你服务器之前完成。源站IP隐藏在CDN之后，攻击者根本找不到你的真实服务器地址。💪

有一个非常容易被忽略的要点：接入CDN之后，一定要更换云服务器的公网IP。因为旧IP很可能已经被攻击者通过历史DNS记录、邮件头泄露、子域名探测等方式获取。只要旧IP还在用，攻击者就可以绕过CDN直接打源站，等于防护形同虚设。换了新IP后，确保这个IP仅在CDN回源配置中使用，不要出现在任何公开可查的地方。

总结

网站被攻击的应对可以浓缩为五个步骤：判断攻击类型 → 封堵恶意流量 → 排查系统后门 → 加固应用层配置 → 接入CDN隐藏源站。每一步都不可跳过，尤其是后门排查，很多人只顾着挡流量却忘了检查服务器是否已经被渗透，结果攻击停了数据也丢了。做好这五步，网站安全等级会有质的提升。🚀