做一个通用反代规则就可以了，所以网站自动反代

REMOTE_ADDR 是无法伪造的
当使用了 cdn ， REMOTE_ADDR 是 cdn 的 ip 。
但是 cdn 一般会传回一个客户的真实 ip 在 header 里。
比如 cf:HTTP_CF_CONNECTING_IP 就是 cdn 接受到的 remote_addr(也就是客户的真实 ip)。
所以隐藏是不太可能的。
但可以这样:穿透 cdn 找到源站 ip(虽然不容易，却也不是没办法)， hosts 指向。在每次请求头加入"HTTP_CF_CONNECTING_IP"，当然如果对方限制了仅 cdnip 可访问那就没办法了。
但是，这是根据程序逻辑来的，有的网站只获取 xff 并不校验，那修改 xff 就够了，同理 clientip 也是这样。

备案域名，与机器无关，阿里云是强制要求接入阿里的备案系统

1G 内存绰绰有余吧

@USCONAN -site: Google 好像没用啊，不但没屏蔽，反而更多了

目录 404 应该是删除了网站文件夹吧。。

@Jaylee 抱歉打错

@just1 一直折腾，最后发现这个命令就行

昨天刚装完，很多坑。直接 perl install mongo 搞定

@49 往钓鱼站叉 xss 吗，不过程序不断更新，效果越来越弱了，很多都有做处理

沉了？

主要是会不会网站倒了，这才是重点

export PS1

发到 zone.wooyun.org 马上就干掉，哪里那么麻烦

@49 xss 要在它域，本域的 cookie 有什么用，本域 cookie 本来就是自己控制的。

@Cavolo
@ARCWelder 我不知道你们的想法是什么，但那是不切实际的。盗取 cookie 在现行机制下是不可能的，除非利用 uxss 或者内核漏洞，但只要不用 ie 或者过老浏览器或者渣渣浏览器(比如 115 这种降低安全要求的)一般没有事，而且很少出现该类挂马现象。

document.write 仅仅作为 javascript 的一个函数，并没有什么危害性，仅仅是向页面输出文本。
我刚刚看了一下该操作:
1.嵌入一个 frame;/robot/fuck
2.加载一个 js:/robot/fuck/AAAAAA 没有 (少打了几个 a)
3.再次加载一个 frame:/netword.asp
4.最后跳转 index.asp?XXXXXX
我不知道你们这种甚为无脑的观点是从何而来的。被什么影响了？
说话态度可能不是很好，见谅。

楼主真有钱， do 域名好贵的说

分析加载更多的请求，模拟就可以了

其实跟 python 一点关系都没有，应该到问与答