PHP防被CC攻击网站系统源码 PHP防被CC攻击网站系统源码 一般的CC攻击没问题本源码仅支持PHP程序，类似百度云加速防CC访问机制，就能拦截一般的CC攻击了。用户访问网站时先经过我们这个防CC页面，这样就可以拦截一般的CC攻击了。内置教程下载网址：https://xhua.lanzous.com/i0rWPf4z17c

通过邮箱查找目标手机号 个人隐私泄漏越来越严重。个人基本信息的重要程度大致排序如下图，最右为最高。 已知某人邮箱为zhxxx@sohu.cn,如何找到他的手机号码？解：工信部《电信网编号计划2017版》规定：公众移动网电话号码为11位，物联网网号为13位。从理论上讲，11位数有1000亿个。第一步：通过“密码找回”获取手机号片段：大多数人会使用相同的邮箱相同的手机号注册微信、微博、京东、淘宝、支付宝、携程、豆瓣、大众点评等应用。在“找回密码”页面输入已知的邮件地址： 京东的密码找回页面 输入邮件地址后，会提示通过邮件验证码或手机短信验证码+其他因素进行双重认证。选择使用手机验证，下一页将提示与目标账户相关联的手机号码片段。 我试验了大部分热门应用的密码重置过程，大致如此，有的是前两位后四位，有的是前三位和后两位……。没有标准，屏蔽位数完全由企业和开发人员决定。 淘宝 APPLE只给两位数 微博 支付宝除了部分手机号，还能看到银行卡开户行和卡号后四位。 携程不错，给的多。还有些应用也得表扬，不一一列出。经过上述找回密码操作，可得到如下结果。158-XXXX-8916如果你的邮件、手机关联了相关应用，那么11个数字已知7个，还差4个。可能性从1000亿个降低到1万个。第二步：使用公开数据库筛选：为什么公布个人信息时一般是隐藏中间4位号码？目前我国手机号码格式为：3位网号 +4位HLR识别号+4位用户号码。139-1234-5678其中139代表运营商（移动），5678是用户号码。1234是HSS/HLR识别码，或者叫地区编码，相当于你手机归属地的运营商服务器编号，记录了客户数据，包括基本资料、套餐、位置信息、路由以及业务状态数据等等。比如1391234是移动江苏常州的HLR编号，1301234是联通重庆的HLR编号。在网上可找到每月更新的手机归属地数据库，字段包括省份、城市、运营商等信息。 假如我知道张三常住北京，根据数据库筛选结果，158移动目前北京有230个号段，1580100~1580169,1581000~1581159。待筛选号码剩下230个。如果是其他省市，158XXXX，上海有210个，成都有170个，西安有108个。如果是二级城市，范围就更小了。 以zhangsanXX在北京为例，生成158XXXX8916的230条手机号码。 先放到网上的空号检测平台（广泛应用于短信群发、电话营销、呼叫中心外包、保险代理等行业），筛选是否为实号，空号，停机，流量卡，沉默号。可再次缩小范围。待筛选号码剩下163个。第三步：反查反查方法一：用筛选后的手机号码来重置密码，获取邮件地址片段进行反向验证。 以京东为例，依次输入手机号码后，选择使用邮件验证，下一页将提示与目标账户相关联的邮件地址片段。 和已知邮件地址特征匹配，大功告成！反查方法二：微信，支付宝反查；将筛选后的手机列表导入手机通讯录，因为现在手机大多都绑定支付宝或微信，导入通讯录后会关联他的微信，通过相关细节可确定手机号；或使用支付宝转账功能反查，通过向手机号或邮箱转账，匹配姓氏，找出可能性接近的进行核实，如果对方没有关闭“通过邮箱找到我”、“通过手机号找到我”，可迅速匹配。 和 支付宝转账时会提示真实姓名片段通过以上一二三步，可在对方无感知的情况下且不使用工具，即可获取与电子邮件地址关联的完整手机号码。如果城市未知或其他情况，还可以采取其他多种方式进一步进行筛选，163个待筛选号码通过相关搜索也可再次缩小范围。通过搜索引擎和相关泄漏数据库查找线索，可进一步获取目标邮件地址的相关信息，比如性别、学校通讯录、姓名、开房记录或兴趣爱好，并可判断大致的年龄；甚至目标有可能将其电话号码留在论坛，网站中。 这是使用某开源情报工具搜索该邮件地址的结果。可看到此邮件地址注册的APPLE、领英、Twitter账户和GOOGLE用户ID，部分社交媒体的头像和ID，部分曾泄露的天涯、机锋、ADOBE等账户信息和密码，均可做为进一步搜索的依据。类似出生日期的78**，可进行身份证推算。由于网络实名制的要求和大数据商业利益驱动，现在大部分的应用都强制要求绑定手机，甚至现在国内注册免费邮箱，几乎没有不要手机号的。短信验证码机制算是性价比相对较高的二次验证方法，但“用隐私交换便捷”，在提供安全保护的同时也是安全隐患所在。仅知道邮件地址，攻击手段限于广告、骚扰及钓鱼等，但如果知道手机号以后，可干的事儿就多多了……建议：1、分类分级将自己在线上和线下的身份区分开，将自己工作和生活的身份区分开，将重要信息和普通信息所关联的身份区分开。工作使用企业邮箱，生活使用个人邮箱，不同APP不同重要级别的账户使用不同的用户名和口令，社交媒体尽量不使用相同账号。不同数据库无法撞库，无法形成关联；2、许多在线服务并没有真正对用户手机号码的业务需求，他们只是想获取你更多的信息。所以除非严格要求，尽可能不在网上提供电话号码，如果必须提供，尽可能使用小号，谨慎公开主要号码。应用提供的安全设置应尽可能仔细逐项设置。更换手机号码要对原来的手机应用进行彻底解绑；3、应用服务商应进一步完善密码找回功能的安全设置及账户注销、解绑、抹除数据等功能。以上。已知常用邮箱和手机号，如何进一步查找对应的身份证号码，下期汇报。---------------------------------------------------------------------------------------- 以上信息均为虚构。“人肉搜索”不能越界。刑法第二百五十三条：【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年5月）：1、“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。2、向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的；未经被收集者同意，将合法收集的公民个人信息向他人提供的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。图片和文字来源：https://www.jd.com 京东https://www.taobao.com/ 淘宝https://www.alipay.com/ 支付宝https://weibo.com/ 微博https://secure.www.apple.com.cn/ APPLEhttps://www.ctrip.com/ 携程https://lampyre.io/https://www.martinvigo.com/http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c5623267/content.html 工信部《电信网编号计划（2017版）》http://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml 《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

BBR Plus一键安装脚本 BBR/BBR Plus/魔改BBR/锐速(LotServer)四合一安装脚本分享 关于BBR Plus：BBR是Google推出的一套拥塞控制算法，集成在最新的Linux内核中。BBR应用在VPS服务器上，可以明显改善服务器的网络传输速度，减少丢包。而BBR Plus版本，以及魔改版BBR，则是网友在原版BBR的基础上，对一些参数进行改良后的修正版本，比原版BBR有着更为显著的加速效果。至于两个改良版本哪个加速效果更好，大家可以分别安装测试，选取最适合自己的版本。下文会提供各版本的一键安装脚本。BBR Plus版本的优点：修正了原版BBR的以下两项缺点，加速效果更好：在高丢包率环境下容易失速收敛慢BBR Plus版本的不足：脚本仍在完善阶段，在少部分系统中可能会安装失败。由于涉及到内核的修改，部分系统环境下，可能会导致重启无法进入系统。虽然加速效果更好，但是考虑到系统数据安全的话，还是建议大家以试用为主，不要在生产环境下尝试安装BBR Plus。BBR Plus一键安装脚本（四合一）本文介绍的BBR Plus一键安装脚本，来自网友cx9208。除了BBR Plus外，还另外集成有原版BBR一键安装、魔改BBR一键安装、锐速（lotServer）一键安装，为四合一版本，四个版本可以切换使用。适用架构：KVM / Xen，不支持OpenVZ（OVZ）。适用系统：CentOS 7、Debian 8、Debian 9、Ubuntu 16.04、Ubuntu 18.04。BBR Plus一键安装脚本使用：1.FinalShell,Xshell,Putty连接VPS服务器，运行如下脚本：wget --no-check-certificate -O tcp.sh https://raw.githubusercontent.com/Mufeiss/Linux-NetSpeed/master/tcp.sh && chmod +x tcp.sh && ./tcp.sh2.接下来会出现菜单选择界面，如下图所示，我们需要先安装对应的内核，之后再开启加速。以BBR Plus版本为例，输入对应的数字2回车，开始安装内核。3.原有内核卸载完毕，新内核安装成功后，会出现下图提示重启，输入Y回车： 4.重启后再次用Putty连接VPS服务器，运行如下命令重新打开脚本：./tcp.sh5.在脚本菜单选项中，输入数字7回车，开启BBR Plus加速： 6.出现下图提示，则表示BBR Plus加速成功开启： 7.如果需要安装或切换其它版本的加速，比如原版BBR、魔改BBR、锐速（LotServer）等，那么需要重新进行以上各流程，选择对应版本的内核，内核安装成功后重启系统开启加速。

图片定位,好友定位 最近有一种通过原图来定位的方法在网上泛滥，原理很简单就是通过照片的EXIF数据 来获取拍摄者的高精度GPS定位数据（学过地理的都知道，有了经度和纬度，就可以准确的一个点的位置）操作方法获取：获取一张原相机拍摄的照片（可以是原相机知道的美颜或者原相机自带滤镜）前提：对方相机开启定位（默认都是开启的）将收到的原图保存（一定要保存原图）简单操作 ☛EXIF数据查看 将照片上传就会得到如下的EXIF数据 点击  查看地图  就可以看到拍摄地点的精准定位自带的定位地图比较简略可以使用 百度拾取坐标系统  输入刚才获取到的经纬度进行更加详细的定位 ps：坐标反查：1)、先勾选住 搜索框后面的 坐标反查框2)、输入一个正确的坐标(比如：116.307629,40.058359 逗号要用英文标点)，点击按钮，就能将该点显示在地图上这个定位方法可以用来干嘛，我就不详细说了，请注意保护他人隐私，以防造成违法！！

typecho 接入 CDN 后获取访客真实 IP 众所周知，当网站接入 CDN 加速后，部分程序例如 Typecho 获取到的 IP 就不再是访客真实 IP 了。在 appnode 和宝塔中，有真实 IP 识别这个功能，但根据我的测试，并没什么用，评论照样显示的是 cdn 服务器的 IP。我最终的解决方案是在 typecho 的根目录中的 config.inc.php 文件添加如下代码：/** 设置真实IP */ if(isset($_SERVER['HTTP_CF_CONNECTING_IP']))$_SERVER['REMOTE_ADDR']=$_SERVER['HTTP_CF_CONNECTING_IP']; else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))$_SERVER['REMOTE_ADDR']=end(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']));如下图所示： 填入文件最底端即可。简单解说：CDN 服务按照行业规范一般会设置 $_SERVER ['HTTP_X_FORWARDED_FOR']，保存来源 IP，当层数多于一层时以半角逗号，分隔。CF 有一个特性，即它还会发送 $_SERVER ['HTTP_CF_CONNECTING_IP'] 保存请求 IP。由于我用的是 CF，所以我优先获取这个参数保存的 IP。关于有人觉得 x-forwarded-for 容易被欺骗，经过 V2EX 网友的测试，CDN 会根据实际的转发情况将这个头部重写，只有 php 裸奔在 web server 的时候才会被欺骗。