这个脚本是与nginx和Cloudflare配套使用的。在一分钟内累计请求数达到1000时，进入under attack模式10分钟，然后解除。 当然，数值是可以根据情况修改的。
原理很简单，每30秒统计一下nginx的访问日志即可。脚本差不多90%是gpt完成的。
功能很简单，不过nginx和cloudflare居然都没有简单的方法实现这一点。cf的rate limit基本就是个废物。因为现在主流的cc都是多ip低访问量的方式。
因为每30秒钟要扫描一次日志文件，如果访问量很大，这脚本当然就不能用了，不然太消耗资源，一般小网站没问题的。

#!/bin/bash

# 日志文件路径
LOG_FILE="/var/log/nginx/access.log"
CHECK_LOG="/var/log/nginx/check.log"  # 输出日志文件路径

# Cloudflare API 相关信息
ZONE_ID="xxxxxxxxxxxxxxxx"  # Cloudflare Zone ID
EMAIL="xxxxxxxxxxx"  # Cloudflare 登录邮箱
API_KEY="xxxxxxxxxxxx"  # Cloudflare Global API Key

# 请求阈值和计时
THRESHOLD=1000
COOLDOWN_TIME=10 # Under Attack 模式保持的分钟数

while true; do
    # 统计过去 1 分钟的请求次数
    REQ_COUNT=$(grep "$(date +'%d/%b/%Y:%H:%M')" $LOG_FILE | wc -l)

    # 检查请求数是否超过阈值
    if [ "$REQ_COUNT" -gt "$THRESHOLD" ]; then
        echo "$(date) - Requests in last minute: $REQ_COUNT. Exceeded!" >> $CHECK_LOG
        echo "$(date) - Enabling 'Under Attack' mode." >> $CHECK_LOG
        
        # 启用 Cloudflare "Under Attack" 模式
        curl -s -o /dev/null -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/security_level" \
            -H "X-Auth-Email: $EMAIL" \
            -H "X-Auth-Key: $API_KEY" \
            -H "Content-Type: application/json" \
            --data '{"value":"under_attack"}'
        
        # 等待 10 分钟后关闭 "Under Attack" 模式
        sleep "${COOLDOWN_TIME}m"
        
        # 取消 Cloudflare "Under Attack" 模式
        curl -s -o /dev/null -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/security_level" \
            -H "X-Auth-Email: $EMAIL" \
            -H "X-Auth-Key: $API_KEY" \
            -H "Content-Type: application/json" \
            --data '{"value":"medium"}'
        
        echo "$(date) - 'Under Attack' mode disabled." >> $CHECK_LOG
    else
        echo "$(date) - Requests in last minute: $REQ_COUNT. No action needed." >> $CHECK_LOG
    fi

    # 等待 30s再检查
    sleep 30
done

刚在gcp上开通了一台机器并搭建了一个typecho网站，debian12，用的是lnmp，apt手搓的。然后再安装了哪吒探针（客户端）和vnstat。这就是这台机器上的所有操作。才1个小时的机器，还不至于健忘忘掉啥。
机器开通1个小时后就被gcp给暂停了，警告存在挖矿行为。
debian是gcp官方装的应该没问题，而且也apt upgrade过了，typecho应该没有0day的(有0day也不至于用到我身上)，apt手搓的nginx mariadb php vnstat应该也不可能有问题，debian官方源来着的。机器防火墙只开放22和80(只允许cf)，22只能密钥登录，我相信没人能在操作系统层面入侵。

福尔摩斯说，当你排除所有不可能的因素之后，无论剩下的多么难以置信，那就是真相。

我倒不是对国产软件有什么误解，我相信哪吒不会挖矿，我只是想，也许它频繁的向主控传送心跳信息符合了某个挖矿的行为模式?
把哪吒禁掉了，继续观察了，如果过了今晚还没问题的话，那肯定就是它了。

bing总是不收录这个博客，然后我进webmaster后台看了看，所有的链接，包括/都被excluded了，K掉了。 向bing投诉，得到的结果是人工审核下来，K得没问题，不能恢复。至于原因不能告诉我。
bing确实是人工审核过，不是网上说的只是套话，因为那天网页统计显示，有近60个微软的ip上来看过。他们人真够多。
再看了看以前的老域名，状态倒是蛮正常的，大概，只是猜的，bing觉得我的新域名是镜像/盗版的老域名站吧，它可不知道都是我的。不过奇怪的是我做了301的啊。想不通。
先不管了，恢复老的吧。 也许又来一次循环，认为我老域盗新域。咳咳。
随便改域名是大忌啊，理解一些了。