之前使用wdcp，被wdcp论坛中的各种一键升级脚本坑得死去活来。因为都是默认编译，所以这些脚本基本都没有附带任何功能。前不久在对抗CC攻击的过程中，文武双全把nginx和php都升级到目前的最高版本，顺便也解决了困扰我许久的wdcp下web服务拿不到真实ip的问题。特此奉上，根据wdcp官方论坛网友提供的nginx升级到任意版本的脚本，并且添加了新的编译语句。该脚本提供了附带识别真实ip的功能，用了各种cdn和阿里云的云盾的wdcp用户推荐使用哦。wdcp下nginx升级脚本的下载和安装nginx升级脚本的下载地址：http://www.yuandekai.com/down/2015/2/nginx_up.sh把脚本丢到服务器的/root目录，或者登陆服务器后，使用wget  http://www.yuandekai.com/down/2015/2/nginx_up.sh  命令下载；然后执行命令 sh nginx_up.sh 1.7.9 ；   这里1.7.9你可以填写你想升级到的任意版本nginx的版本号，我反正是直接升级到目前最高的nginx1.7.9版本了。个人建议：把服务器的nginx停掉再升级。我在nginx跑的时候升级，出现了两次升级完成后nginx.conf配置文件丢失的问题。。。我从老版本的nginx里复制了一份到升级后的nginx目录里，解决了这个问题。脚本增加了http_realip_module...

2015年2月10日下午，文武双全个人网站又被人攻击了，这次是使用webbench1.5压力测试工具发动的攻击。前后持续了一个多小时吧，看上去不像是故意帮我测试服务器的。倒像是用工具，持续不断的靠压测占满带宽，导致网站无法访问的攻击。来自美国单一ip的不间断webbench压力测试攻击此次攻击的ip，是来自于美国的单一ip：198.2.218.18。此ip在nginx里留下了，23716次攻击记录，每秒钟的并发链接在58次。如图所示：攻击的地址跟之前的也不一样，这一次主要攻击的是：http://www.yuandekai.com/category/emarkting  这个页面实际上是不存在的，应该返回404状态码的，但是文武双全的日志里竟然显示200；http://www.yuandekai.com/?s=a 这实际上是个查询页面，利用站内搜索查询所有包含“a”的页面，短期内大量的并发查询实际上对mysql是一个严峻的考验；文武双全个人网站被webbench压测攻击的日志服务器被webbench压测下的状态1，CPU没有被占满，nginx+php—fpm抗住压力；个人网站被webbench攻击下的内存占用并不高2，内存占用低于50%，此次使用阿里云的VNC，可以登录服务器，没有发生内存溢出的行为；3，带宽被占满，我3M的带宽，阿里云监控显示平均带宽占用为3.2M；文武双全解...

2014年底，文武双全个人网站刚刚遭受了一次CC攻击，详见文武双全个人网站遭遇严重CC攻击之总结 。2015年新年刚过，个人博客这又被攻击了。此次攻击是从2015年1月18日凌晨3点开始的，大约在2015年1月22日凌晨0点网站可以正常访问了。下面是此次应对CC攻击的总结，希望能够对大家以后防黑防CC有帮助。文武双全个人网站是在WDCP环境下和阿里云主机上，此文可能对以上用户有帮助。阿里云的云盾和云监控在CC面前很无力网站被CC攻击后的CPU走势图此次被CC攻击后，服务器一度无法VNC。无奈之下，我只能再次将网站加入云盾，寻求短暂保护。将云盾的罚值调整到最低的时候，云盾依然会不工作。云监控里，一点服务器的相关数据都获取不到。发生这种情况很有可能是CC攻击导致服务器内存溢出，linux将云盾和云监控的进程给杀掉了，这是我猜测的哈。而且那个蛋疼的wdcp后台，无法在云盾下获取真实ip的问题，我依然没解决。很有可能是wdcp的后台用的是单独的apache进程，需要修改wdcp的apache进程的配置文件，以后有时间再研究吧。此次CC攻击类型和上次几乎一样还是针对www.yuandekai.com这个网站的域名发动的DDOS攻击，手法跟上次几乎可以说一模一样。利用大量ip伪装成百度蜘蛛，不停的...

最近一个月的时间内，文武双全个人网站经历了三次CC攻击。而最近的这次，是个人博客在2015年遭受到的第二次攻击，编号2015002。这一次攻击大致起始于2015年1月26日凌晨1点，停止于1月28日凌晨2点。跟1月21日的攻击，相差不到一周的时间。文武双全把每一次遭受到攻击，都当做自己学习的好机会。下面是自己在这次攻击中的一些心得体会，希望对大家有帮助吧。此次CC攻击的一些特诊总结1，攻击者使用真实ip和代理ip混合攻击这一次文武双全发现了一个有趣的现象，发动攻击的ip从原来单一的代理ip伪装蜘蛛，改变为由真实ip和代理ip混合攻击。这样，如果仅仅通过seo日志分析软件来分析日志的话，不能够将攻击者的ip全部封掉。攻击手段的变化，意味着攻击者了解了我之前的防御手段。想来他一定是看过我的博客了，O(∩_∩)O哈哈~。2，攻击者每天用100个代理来发动攻击文武双全个人网站的日志做了切割，可以看到每一天的网站的详细日志。通过日志分析，我发现一个搞笑的事情。就是攻击者每天只用100个代理来发动攻击，一个不多一个不少。如果我想把这些ip手动添加到iptables封掉，那么意味着我每天得手动封掉100个ip，我会被这个攻击者玩死。哈哈，我确定这个攻击者看过我的博客，以及我...

ngx_http_proxy_module 模块翻译内容可能已经过旧。你可以通过 英文版本查看最近的更新。配置示例指令     proxy_buffer_size     proxy_buffering     proxy_buffers     proxy_busy_buffers_size     proxy_cache     proxy_cache_bypass     proxy_cache_key     proxy_cache_lock     proxy_cache_lock_timeout     proxy_cache_min_uses     proxy_cache_path     proxy_cache_use_stale     proxy_cache_valid     proxy_connect_timeout     proxy_cookie_domain     proxy_cookie_path     proxy_hide_header     proxy_http_version     proxy_ignore_cli...

配置范例指令     flv模块ngx_http_flv_module 为Flash Video(FLV)文件提供服务端伪流媒体支持通过返回以请求偏移位置开始的文件内容，该模块专门处理在查询串中有start参数的请求,和有预先设置到FLV头部的请求。这个模块并不是默认构建的，必须通过配置参数--with-http_flv_module来启用。配置范例 location ~ \.flv$ { flv; } 指令 语法: flv; 默认值: — 上下文: location 在当前location里使用这个模块处理请求。

HTTPS服务器优化SSL证书链合并HTTP/HTTPS主机基于名字的HTTPS主机带有多个主机名的SSL证书主机名指示兼容性配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置： server { listen 443; server_name www.example.com; ssl on; ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ... } 服务器证书是公开的，会被传送到每一个连接到服务器的客户端。而私钥不是公开的，需要存放在访问受限的文件中，当然，nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中： ssl_certificate www.example.com.cert; ssl_certificate_key www.example.com.cert; 这种情况下，证书文件同样得设置访问限制。当然，虽然证书和密钥存放在同一个文件，只有证书会发送给客户端，密钥不会发送。ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5...

ngx_http_mp4_module 模块示例配置指令     mp4     mp4_buffer_size     mp4_max_buffer_size模块ngx_http_mp4_module为H.264/AAC文件，主要是以.mp4、.m4v、和.m4a为扩展名的文件，提供伪流媒体服务端支持。伪流媒体是与Flash播放器一起配合使用的。播放器向服务端发送HTTP请求，请求中的查询串是以开始时间为参数的(以start简单命名)，而服务端以流响应，这样流的开始位置就能于请求中的时间相对应。例如： http://example.com/elephants_dream.mp4?start=238.88 这样就允许随意拖放，或者从节目的中途开始回放。为了支持随机访问，H.264格式将元数据放到所谓的"moov atom"中。"moov atom"是文件的一部分，放有整个文件的索引信息。为了开启回放，播放器首先需要读取元数据。这是通过发送一个特别的以start=0为参数请求来完成的。许多编码软件会将元数据插入到文件末尾，这样做对伪流媒体来说是不好的：元数据需要在文件开始时定位好，否则整个文件需要下载完才能开始播放。如果文件组织的很好（将元数据放到文件开头），那么nginx仅仅返回文件的内容，否则，nginx不得...

�����ڵ�����Ȩ�鿴����־

一、Redhat/CentOS安装vsftp软件1.更新yum源首先需要更新系统的yum源，便捷工具下载地址：http://help.aliyun.com/manual?spm=0.0.0.0.zJ3dBU&helpId=16922.安装vsftp使用yum命令安装vsftp#yum install vsftpd -y3.添加ftp帐号和目录先检查一下nologin的位置，通常在/usr/sbin/nologin或者/sbin/nologin下。使用下面的命令创建帐户，该命令指定了/alidata/www/wwwroot为用户pwftp的家目录，您可以自己定义帐户名和目录：#useradd -d /alidata/www/wwwroot -s /sbin/nologin pwftp修改该帐户密码:#passwd pwftp修改指定目录的权限#chown -R pwftp.pwftp /alidata/www/wwwroot4.配置vsftp编辑vsftp配置文件，命令如下：#vi /etc/vsftpd/vsftpd.conf将配置文件中”anonymous_enable=YES “改为 “anonymous_enable=NO”取消如下配置前的注释符号：local_enable=YESwrite_enable=YESchroot_local_user=YES保存修改，按ESC键，输入：wq5.修改shell配置vi编辑/etc/shells，如果该文件里没有/usr/sbin/nologin或者/sbin/nologin（具体看当前系统配置）则追加进去6.启动vsftp服务并测试登录使用命令启动vsftp服务：#service vsftpd start然后用帐号pwftp测试下是否可以登陆ftp。目...