suibing的博客

Create repo
# cd /etc/yum.repos.d
# vim rusia-repo.repo

- and paste this

一，准备工作
1，登录进VPS控制面板，准备好随时重启VPS。
2，关闭Web Server先，过高的负载会导致后面的操作很难进行，甚至直接无法登录SSH。
3，以防万一，把设置的Web Server系统启动后自动运行去掉。
（如果已经无法登录进系统，并且重启后负载过高导致刚刚开机就已经无法登录，可联系管理员在母机上封掉VPS的IP或80端口，在母机上用虚拟控制台登录进系统，然后进行2&3的操作，之后解封）

二，找出攻击者IP

1，在网站根目录建立文件ip.php，写入下面的内容。复制内容到剪贴板代码:


2，设置伪静态，将网站下的所有访问都rewrite到ip.php。
Nginx规则：


3，启动Web Server开始收集IP
进行完1和2的设置后，启动Web Server，开始记录IP信息。
收集时间建议为3到5分钟，然后再次关闭Web Server。
real_ip.txt，这个文件中保存的IP有80%以上都相同的，这个IP就是攻击者实施攻击的平台的IP。
proxy.txt，这个文件中保存的是攻击者调用的代理服务器的IP，需要封掉。
ips.txt，这里记录的是未表现出代理服务器特征的IP，根据访问次数判断是否为攻击源。

三，对上一段的补充
如果VPS上启用了WEB日志，可以查看日志文件的增长速度来判断是哪个站点被攻击。
如果没有启用日志，并且站点数量很少，临时启用日志也很方便 。
如果没有启用日志，并且站点数量过多，可以使用临时的Web Server配置文件，不绑定虚拟主机，设置一个默认的站点。然后在ip.php里加入下面一行

domain.txt里将保存被访问过的域名，被CC攻击的站点将在里面占绝大多数。


四，开始封堵IP
建立文件ban.php

用下面的命令执行脚本（确保php命令在PATH中）复制内容到剪贴板代码:
php ban.php这个脚本依赖于第二段中ips.txt里保存的结果，当其中记录的IP访问次数超过10次，就被当作攻击源给屏蔽掉。如果是代理服务器，则不判断次数直接封掉。
封完IP之后，把所有的网站设置恢复正常，站点可以继续正常运行了。


五，一些细节
为保持对操作过程的描述尽量简洁，没有在上面的内容中加入过多的解释，留在这段统一讲述。
1，关于“代理服务器”的一些本质
两个与TCP&HTTP协议相关的值，REMOTE_ADDR和HTTP_X_FORWARDED_FOR。
（1）REMOTE_ADDR总是取离Web服务器最接近的一台主机的IP，如果没有使用代理，这个值就是访问者本身的IP，如果使用了代理，这个值就是代理服务器的IP，如果通过多个代理服务器进行的连接，这个值就是到达Web服务器前最后一台代理服务器的IP。
REMOTE_ADDR是由TCP/IP层决定的，不能修改不能伪造。
（2）HTTP_X_FORWARDED_FOR，因为这个值是属于HTTP部分，而不是TCP/IP，所以这个值不管是什么，都不影响数据的传输。事实上，一般情况下，如果是访问者直接访问Web服务器，这个值为空；通过透明代理的时候，这个值会被代理服务器设置为访问者的IP；通过匿名代理连接时，这个值可能为代理服务器的IP也可能是空的也有可能是随机的。
HTTP_X_FORWARDED_FOR可以被任意修改。大多数代理服务器都是透明代理，也就是说，会把这个值设置为最原始访问者的IP。

2，关于解决CC攻击的层面问题
按处理效率从高到低排列。
（由于本文是针对VPS服务器所写，而VPS简单来说就是服务器的低端替代品，内存和CPU等资源普遍偏低，当然是处理效率越高越好。）
（1）网络传输层。也就是本文所用的iptables，这个工具本身是工作于系统内核，在建立网络连接时直接把攻击者的连接给否了。在这一层面上将攻击源处理掉后，消耗掉的资源几乎可以忽略不计。
（2）Web Server层，大多数Web Server都可以设置禁止访问的IP。在这一层上解决的意义和上面的差不多，但是效率要差些。
（3）脚本层，从脚本程序上制定适合于本身的策略过滤掉攻击源。网络上有很多流传的在这一层面的解决方案，但是不太适用于VPS，而且设置难度可能要增加几倍或者几十倍。

3，为什么不是从日志收集IP？
主要是考虑两点，一是大多数VPS使用者都因为硬盘空间过小，经常清除日志很麻烦，而直接禁止了日志。
二是如果从日志收集IP，脚本复杂程度要高很多，而且可能要根据情况做些调整，考虑到将要读到本文的人大多数都未必掌握更多的技术，本文的目的就是按部就班的依本文进行操作，即可解决问题。


六，其他
本文版权归www.diahosting.com所有，转载请保留超链接。

初始化:
DWORD dwStyle;
dwStyle = m_bzlist.GetStyle();
dwStyle |= LVS_EX_GRIDLINES |LVS_EX_FULLROWSELECT|LVS_SHOWSELALWAYS ;
m_bzlist.SetExtendedStyle(dwStyle);
m_bzlist.SetBkColor(RGB(0xec,0xf1,0xfd));
m_bzlist.SetTextBkColor(RGB(0xfe,0xFF,0xc6));
插入一列:
m_bzlist.InsertColumn(0,"编号");
m_bzlist.SetColumnWidth(0,50);
插入一行:
方法1:
LV_ITEM lvitem;
lvitem.pszText="";
lvitem.mask=LVIF_TEXT;
lvitem.iSubItem=0;
lvitem.iItem=0;
m_jbxxlist.InsertItem(&lvitem);
m_jbxxlist.SetItemText(0,0,xh);
m_jbxxlist.SetItemText(0,1,xm);
m_jbxxlist.SetItemText(0,2,nj);
方法2:
m_yktlist.InsertItem(i,"2");
m_yktlist.SetItemText(i,0,s);  
m_yktlist.SetItemText(i,1,xh);
m_yktlist.SetItemText(i,2,xm);
读取数据
  resultlist.GetItemText(行数, 列数);
  
每行前有复选框的列表:
初始化时使用LVS_EX_CHECKBOXES属性
DWORD dwStyle;
dwStyle = m_yktlist.GetStyle();
dwStyle |= LVS_EX_GRIDLINES |LVS_EX_FULLROWSELECT|LVS_EX_CHECKBOXES ;
m_yktlist.SetExtendedStyle(dwStyle);
设置选中:
m_yktlist.SetItemState (行数,0x2000, LVIS_STATEIMAGEMASK);//设为选中状态
判断是否选中:
m_yktlist.GetItemState(行数,LVIS_STATEIMAGEMASK)==0x2000//选中


  
实现点击列头排序:
定义可以排序的列表类
只需要多定义两个变量
class SortCListCtrl : public CListCtrl
{
// Construction
public:
SortCListCtrl();

// Attributes
public:
BOOL m_fAsc;//是否顺序排序
int m_nSortedCol;//当前排序的列
....
}
在使用可以排序列表时 实例化自己的变量
SortCListCtrl m_yktlist;


//响应点击列函数
void CAuditingCertView::OnColumnclickListYkt(NMHDR* pNMHDR, LRESULT* pResult)
{

for (int i = 0; i < m_yktlist.GetItemCount(); ++i)
{
  m_yktlist.SetItemData(i, i);//供排序使用的item编号
}

NM_LISTVIEW* pNMListView = (NM_LISTVIEW*)pNMHDR;

//设置排序方式
if( pNMListView->iSubItem ==m_yktlist.m_nSortedCol )
  m_yktlist.m_fAsc = !m_yktlist.m_fAsc;
else
{
  m_yktlist.m_fAsc = TRUE;
  m_yktlist.m_nSortedCol = pNMListView->iSubItem;
}
//调用排序函数,此函数为CListCtrl定义好的,但是需要调用我们定义的函数才比较任意两个项目的值
m_yktlist.SortItems(MyListCompare, (LPARAM)&m_yktlist);

for ( i = 0; i < m_yktlist.GetItemCount(); ++i){
  m_yktlist.SetItemData(i, i);//供排序使用的item编号
  CString s;
  s.Format("%d",i+1);//编号
  m_yktlist.SetItemText(i,0,s);
  
}
*pResult = 0;
}

///全局函数,比较两个项目的依据
int CALLBACK  MyListCompare(LPARAM lParam1, LPARAM lParam2, LPARAM lParamSort)
{
//通过传递的参数来得到CSortList对象指针，从而得到排序方式
SortCListCtrl * pV=(SortCListCtrl *)lParamSort;
//通过ItemData来确定数据
CString szComp1,szComp2;
int iCompRes;
szComp1=pV->GetItemText(lParam1,pV->m_nSortedCol);
szComp2=pV->GetItemText(lParam2,pV->m_nSortedCol);
switch(pV->m_nSortedCol)
{
case(0):
  //以第一列为根据排序 编号
  iCompRes=atof(szComp1)<=atof(szComp2)?-1:1;
  break;
case(4):
  //以第5列为根据排序 总次数
  iCompRes=atof(szComp1)<=atof(szComp2)?-1:1;
  break;
default:
  iCompRes=szComp1.Compare(szComp2);
  break;
}
//根据当前的排序方式进行调整
if(pV->m_fAsc)
  return iCompRes;
else
  return -iCompRes;


}

导出数据为excel文件
使用ODBC将数据输出到excel数据区  
void ExportAsExcel(CString filename,CListCtrl &resultlist,CWnd * wnd)
{
CDatabase database;
CString sDriver = "MICROSOFT EXCEL DRIVER (*.XLS)"; // Excel安装驱动
CString sSql,sExcelFile;
//弹出对话框选择路径
    CFileDialog fileDlg (FALSE, "Path", filename,OFN_FILEMUSTEXIST| OFN_HIDEREADONLY, "*.xls",wnd);
if( fileDlg.DoModal()==IDOK)
{
  sExcelFile = fileDlg.GetPathName();    // 要建立的Excel文件
  CFileFind finder;
  BOOL bWorking = finder.FindFile(sExcelFile);//寻找文件
  if (bWorking)//如果已经存在文件,则删除
  {
   CFile::Remove((LPCTSTR)sExcelFile);
  }

}
else return;

TRY
{
  // 创建进行存取的字符串
  sSql.Format("DRIVER={%s};DSN='';FIRSTROWHASNAMES=1;READONLY=FALSE;CREATE_DB=\"%s\";DBQ=%s",sDriver, sExcelFile, sExcelFile);
  
  // 创建数据库 (既Excel表格文件)
  if( database.OpenEx(sSql,CDatabase::noOdbcDialog) )
  {
   CHeaderCtrl* pHeader = resultlist.GetHeaderCtrl();
   //获得行，列的个数
   int nColCount = pHeader->GetItemCount();
   int nLineCount = resultlist.GetItemCount();
   int ColOrderArray[100];
   CString ca[100];
   resultlist.GetColumnOrderArray(ColOrderArray, nColCount);
   //检索各列的信息，确定列标题的内容
   for(int i =0 ; i< nColCount; i++)
   {
    LVCOLUMN lvc;
    char text[100];
    lvc.mask = LVCF_TEXT|LVCF_SUBITEM;
    lvc.pszText = text;
    lvc.cchTextMax = 100;
    resultlist.GetColumn(ColOrderArray[i], &lvc);
    ca[i] = lvc.pszText;      
   }
    
   // 创建表结构
   CString tempsql="(";
   for(i =0 ; i< nColCount-1; i++)
   {
    tempsql+=ca[i];
    tempsql+=" TEXT,";
    
   }
   tempsql+=ca[nColCount-1];
   tempsql+=" TEXT)";
   sSql = "CREATE TABLE Sheet1 ";
   sSql+=tempsql;
   database.ExecuteSQL(sSql);
   //插入数据
   int item_count=resultlist.GetItemCount();
   tempsql="(";
   for(i =0 ; i< nColCount-1; i++)
   {
    tempsql+=ca[i];
    tempsql+=" ,";
    
   }
   tempsql+=ca[nColCount-1];
   tempsql+=")";
   for(int itemnum=0;itemnum    sSql="";
    sSql ="INSERT INTO Sheet1 ";
    sSql+=tempsql;
    sSql+="VALUES ('";
    for(i =0 ; i< nColCount-1; i++)
    {
     sSql+=resultlist.GetItemText(itemnum, i);
     sSql+="','";
    
    }
    sSql+=resultlist.GetItemText(itemnum, nColCount-1);
    sSql+="')";
    database.ExecuteSQL(sSql);
    
   }
  
  
  }      
  
  // 关闭数据库
  database.Close();
  
  AfxMessageBox("Excel文件写入成功！");
}
CATCH_ALL(e)
{
  TRACE1("Excel驱动没有安装: %s",sDriver);
}
END_CATCH_ALL;
}

CListCtrl控件在数据库编程中是用得比较多的控件之一，也是Window控件中较难掌握的一个控件。他可以有四显示方式，在这里只介绍报表方式，因为在数据库开发程序中使用很经常。

　　在Report方式中，列表控件的显示方式是有行和列的，行有叫做Item，但有多列是我们只能操作每一行的第零列，也就是最前列。

插入列，使用的是InsertColumn

设置完列后我们就可以设置列表控件的数据了

使用的是InsertItem和setItemText

其中InsertItem用于向列表控件插入一行，并设置第零列的值，如果有多列，该行其他列的值要使用SetItemText来设置数据。

当然最关键的问题是：怎么获取CListCtrl对象的Item数据

我们可以使用这样一个函数GetNextItem(-1,LVNI_ALL | LVNI_SELECTED)来获取当前选中的行（Item）如果该函数还回的值是-1，说明没有行（item）被选中，如果有行被选中，还回的是一个大于等于0的整数值，我们可以通过这个索引值来得到该行的相关列的数据，使用的是GetItemText（）函数

int CurSel=m_list.GetNextItem(-1,LVNI_ALL | LVNI_SELECTED);

str=m_list.GetItemText(CurSel,col); 0=
CHeaderCtrl *header=m_List.GetHeaderCtrl();
int iCols=header->GetItemCount();
CString s;
HDITEM hditem;
char Buffer[256]={0};
TRACE("\n");
for(int i=0;i{
hditem.mask=HDI_TEXT;
hditem.cchTextMax=256;
hditem.pszText=Buffer;
header->GetItem(i,&hditem);
s.Format("第%d列 标题:%s\n",i,Buffer);
TRACE(s);

}

整合了 ucenter就等于整合了整个php界的所有php程序。

一、功用：
不对，何止整合了整个php界的所有php程序，而是整合了 ucenter就等于整合了所有的asp/asp.net/php/jsp等其它语言的所有web应用程序。（因为ucenter client的api开发包，dz会推出其它语言版）

而且所有整合的程序同步登录，同步退出，同步修改密码。最终用户可以通过它轻松通行在各个应用之中，无需重复登录、注册、退出

一个id可以出入一个站内的所有程序，如cms和bbs,也可以一个id出入www.a.com和www.b.com及www.c.com

a.com的用户可以和b.com的用户互发短消息pm，a.com的用户可以和b.com的用户加好友。

而且可以实现站内信(pm)和其它任意站的任意程序的站内信(pm)互通。

可以实现www.a.com与[url]www.b.com及www.c.com[/url]共享一个用户库，www.a.com的用户可以给www.b.com的用户pm短信.

用户组与discuz不对应的问题也得到解决。因为一般应用程序的用户组是单独的一个应用，和discuz再没有关系，而是和ucenter有关系，而ucenter没有用户组的概念。


二、整合方法：
如果单说整合用户的话，整合时应用程序的改动也非常小，原数据库不用动，原写cookies的代码不用动，原写数据库session的代码不用动，原来的程序不用怎么动，只需改动以下4个文件：

longin.php   register.php   logout.php   修改密码文件.php   （忘记密码.php不用动，用原来的就可以）

4个文件中加上和ucenter api通信的语句和逻辑结构。

另需要针对ucenter新增加一个文件uc.php，这个文件就是应用程序接收ucenter传来的指令并执行的文件。而且他利用p3p技术实现反向登录a.com或是同时反向登录a.com/b.com/c.com的dedecms或是phpcms或是任意所有程序。


共计改4个文件，增一个文件。


如果要是整合站内信pm,好友，头像等功能，思路与方法和整合用户类同。

另外有一点，在不同的系统之间注册的用户，在第一次登录这个从来没有登录过的系统时，会让激活。借用这个激活，可以让用户完善在本应用程序中的资料，如企业注册资料。资料不完善，不可以激活。

如在bbs注册一个用户test,第一次来到b2b的程序中，这时，并不会自动登录，而是要求用户激活，而test在bbs注册时填的字段与b2b中要求的不同。这时让用户完善资料。第二次来就会自动登录。


三、 uc原理：

以用户登录为例介绍，其它注销，改密码，消息，头像，好友均类同。

1.
从用户xxx在某一应用程序的login.php，输入用户名，密码讲起。
先用uc_user_login函数到uc server验证此用户和密码，如正确，则写入session,写入cookies，并更新应用程序会员表中的登录ip，登录时间。用户感觉不到这个过程。
2.
然后通过uc_user_synlogin通知uc server 用户xxx登录成功,这个过程可能使用ajax，用户感觉不到通知过程。
3.
uc server收到这个消息后，马上命令手下，把xxx登录的消息，像令牌环一样，发给所有愿意接收（后台中那个是否开启同步登录）这个消息的其它应用程序。其实就是带参数访问一下各应用程序的uc.php,用户感觉不到这个过程。
4.
各应用程序靠api下的uc.php来接收uc server发来的消息，并对uc server言听计从，让干什么就干什么。现在，收到让xxx用户在你的程序中登录的命令，马上执行。
并写本应用程序的session，并且使用p3p, 写入相同域或不同域的cookies.   用户感觉不到这个过程。

5.最后所有和uc整合的程序，xxx均登录成功。用户从www.test.com/bbs登录后， 跳到www.test.com/news同样显示登录。因为bbs 和news系统在后台均已登录。

6.应用程序与uc server的会话结束。


得益于uc设计的精巧过程，整个过程，用户完全感觉不到ucenter的存在.这是整合程序历史上的创新。完

1，用户登录bbs，通过logging.php文件中，使用函数uc_user_login验证，如果验证成功，将调用函数uc_user_synlogin（位于uc_client下的client.php文件中），在这个函数中调用 uc_api_post('user', 'synlogin', array('uid'=>$uid));之后向UC_API.'/index.php'传递了数据；这里的UC_API就是在config.inc.php中的定义的uc_server之URL地址

2，uc_server的index.php接受参数数据，获得model为user，action为synlogin，就调用control目录下的user.php类中的onsynlogin方法，通过foreach循环，以javascript的方式通知uc应用列表中的应用同步登录；即通过get方式传递给应用目录中api下的uc.php一些数据；

3，uc.php接收通知并处理get过来的数据，并在函数synlogin（位于uc.php中）通过函数_authcode加密数据（默认以UC_KEY作为密钥），用函数_setcookie设置cookie；

4，各个应用在适当的文件中用对应的密钥解码上面设置的cookie，得到用户id等数据；通过这个值来判断用户是否经过其它应用登录过；



以discuz举例：

一、用户登录检查与用户登录验证logging.php

在bbs的logging.php中如下代码段

} elseif($action == 'login') {

if($discuz_uid) {

   $ucsynlogin = '';

   showmessage('login_succeed', $indexname);

}

检查用户id变量$discuz_uid是否为空来判断，用户是否登录（包括从别的应用登录。）

如果用户从bbs登录，则在登录验证成功后通过如下代码：

$ucsynlogin = $allowsynlogin ? uc_user_synlogin($discuz_uid) : '';

通知其它应用----“用户已从bbs登录，请通知其它应用设置cookie”

（uc_server通过javascript调用方式向其它应用的api/uc.php传递数据）

可以在uc应用目录下新建一个名为test.php的文件，来模拟登录成功，请求uc_server通知其它应用。文件内容为：

---------------------文件内容开始----------------------


include_once "config.inc.php";

include_once "./uc_client/client.php";

echo uc_user_synlogin(1);

echo "

";

var_dump($_COOKIE);

echo "

";

?>



---------------------文件内容结束----------------------

ps:这段测试代码还可以测试同步登录不好使的情况，具体使用方法，你可以思考一下(本文后面也有介绍），有问题可以在此文结尾发表评论与我讨论。

运行后，查看源代码即可看到javascript；

这里要注意了：这些javascript的通知中是不包含用户登录的应用的。也就是说只"通知"用户未登录的应用，因为用户通过uc_server登录成功的当前应用，当然不需要uc_server再通知了。具体代码请参看：webroot\uc_server\control\user.php中的onsynlogin函数的这句：

if($app['synlogin'] && $app['appid'] != $this->app['appid'])

代码解释：

$app['synlogin']是uc应用是否允许同步登录

而且应用id不等于用户当前登录的应用id

$app数组就是uc_server\data\cache\apps.php中的数组$_CACHE['apps']；

$this->app就是用户登录的应用

二、接受其它应用的同步登录通知：

在discuz的api目录下的uc.php中的函数synlogin，在这里接受uc_server发送过来的“同步登录通知”，并设置discuz的cookie，在这个函数中你可以查看到cookie的加密密钥的“算法”；

如果你想看看uc_server发送过的的“通知”是什么数据，你可以这么做：

1,修改要接受通知的应用目录下的api\uc.php，在$action = $get['action'];代码下面添加如下代码：

echo "

";var_dump($get);echo "

";die("

---

api\uc.php");

2,将上面建立的test.php文件放置在其它允许同步登录的应用目录下，并在浏览器中运行,然后点击页面中对应第一步的应用链接，即可看到uc_server“通知”给改应用的数据；

---------------------------分割线-------------------------------

function synlogin($get, $post)

在这个函数中通过_authcode函数，以密钥$discuz_auth_key加密了cookie；

在这里为了避免cookie名称冲突，在cookie名称（一般为：auth）前加了前缀（$cookiepre)，这个前缀也就是在config.inc.php中设置的那个cookie前缀值；

请看设置cookie的函数_setcookie：

（通过参数$prefix来判断是否对cookie名称添加前缀$cookiepre）

function _setcookie($var, $value, $life = 0, $prefix = 1) {

global $cookiepre, $cookiedomain, $cookiepath, $timestamp, $_SERVER;

setcookie(($prefix ? $cookiepre : '').$var, $value,

   $life ? $timestamp + $life : 0, $cookiepath,

   $cookiedomain, $_SERVER['SERVER_PORT'] == 443 ? 1 : 0);

}

密钥“算法”：

$discuz_auth_key= md5($_DCACHE['settings']['authkey'].$_SERVER['HTTP_USER_AGENT']);

也就是不同用户加密cookie的密钥可能不同；

三、检查用户是否已登录（无论是那个应用下登录）：

discuz的include目录中common.inc.php中有这样的代码：

$discuz_auth_key = md5($_DCACHE['settings']['authkey'].$_SERVER['HTTP_USER_AGENT']);

list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE['auth']) ? array('', '', 0) : daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);

这段代码就是解码在uc.php中用密钥（$discuz_auth_key）加密的cookie值，以获得用户id（$discuz_uid)

这里的解密函数位于bbs\include\global.func.php中，虽然未给函数传递cookie密钥，但函数中通过全局变量$GLOBALS['discuz_auth_key'])获得密钥。