网站不断被攻击， CPU 100%

应该不是被攻击吧...看看服务器日志..小站攻击成本划不来呀...

可以写个脚本，抵御一些 CC 攻击，具体还得看你是什么类型的攻击？

@xiaohantx
有两种，一种是用 PHP 写的访问记录，记录里有各种试图找漏洞的 URL ；
一种是服务器的日志，日志里显示很多外部 IP 的 SSH 访问。
应该网站本身没有被攻破，但是 CPU 到 100%之后，就无法访问。

另外，那种攻击似乎是程序自动化攻击。

请求频率限制

WAF 可以抵御一下

@wqsfree
应该是 CC 攻击与 SSH 暴力登录尝试攻击比较多。

当时因为没有太多的时间深入分析，不知道是哪种攻击导致的 CPU 100%。

网站用的 Google Cloud Platform。应该可以抵挡 SSH 暴力登录尝试攻击吧？

网站初期没有什么人气，只有几个注册用户，本想能安安静静的建一个网站，但是仍然难逃被攻击的厄运。

哎，想减少折腾都不行。

人气这么少，还有人用多种方式攻击，应该是冲着源代码来的，不然没有意义。

网站比较核心的代码，就是“生辰八字排盘系统”，这类排盘系统网上有很多，所以价值性也不高。

能确定的是，这是楼主原创的，和其它系统的区别就是比较有创意性，很细致，可选项比较多，排盘样式可定制。

装个安全狗试试看

ssh 改个端口基本就解决了 网站不懂

cpu 百分百是内存挤爆的问题，多留点预报内存，别全用完。
一般攻击是不太可能长期 cpu 100 的，除非是逻辑死循环了。

应该是网站被写入了木马文件造成的，不断消耗内存，并不是一直被攻击造成的.

@3dwelcome
这个有可能，只是加内存，费用也会提高。

@wqjdzh
当时也想到这种可能性，但是没有发现多余的文件以及可疑的文件。目前能确定的攻击是 CC 和 SSH，也许还有其它攻击没有发现。

WordPress ？有验证码插件

@ryd994

用的 Laravel 框架。

从后台的请求可以看到，攻击者在猜测各种流行的框架，WordPress 也在其中。

把域名解析转到政府或者军队网站，等对方被抓了，你再解析回来。

@meetocean 上验证码吧
再不济在 Web 服务器上限制频率，就限制后台页面，特别是登录页面
不怕麻烦的话可以限制 127.0.0.1 访问，每次操作都 ssh -D 代理上去

@herozhang 这招好用的，不过有可能会被请去喝茶

试试把 ssh 禁止用户名密码登陆？我之前的服务器也会有人暴力登陆，后来禁止密码登陆后就好了

@Wincer
GCP 平台默认就没有密码登录，用的是 SSH 密钥方式登录。

回复你这个问题时，我查看来一下开发文档，“配置本地 SSH 的快捷登录.md"文件内容，用的密钥，没有使用密码。

上传文件用的 GIT，也是用的调用 SSH 密钥方式。

有没有可能是 mysql 慢查询啥的

@GreatHumorist
这个可能性不大：
1. 当时的数据相当小，真实用户才几个，加上虚拟用户，一起不超过 20。
所以既是出现慢查询，也不会产生实际的慢效果。

2. 本人对 mysql 也算很熟悉，如果有慢查询出现，会优化的。mysql 也有检测查询效率的方法。

只遇到过被 《挖矿程序》 入侵，CPU 100%

很大机会是被人当矿机了

正确答案:网络风暴

网站被盯上，该上 WAF 了，有很多免费的。比如：Janusec 应用网关(Janusec Application Gateway)，提供 WAF (Web Application Firewall, Web 应用防火墙)、CC 攻击拦截、统一 Web 化管理入口、证书私钥保护，Web 路由以及可扩展的负载均衡等功能，是应用安全领域的最佳实践。

如服务器为 Linux, 可以与网站部署在同一台主机上。

楼主试试这个 魔方云盾是一款免费基于云端的抗攻击，访问加速服务，魔方云盾拥有遍布全球的加速抗攻击节点，能够让您在最低成本的情况下 解决掉 99%的 ddos/cc 攻击 一键免费开启 https

魔方云盾官方网站 www.wafcloud.net