拼拼被攻击网站求大神看漏洞

网站 subhd.com
VPS Linode
DNS防护 CloudFlare Business Plan
程序语言 PHP + MYSQL + Redis + Sphinx

现在的问题是，DDoS攻击一上来网站就挂，Linode就把IP挂空，等攻击结束才会恢复。
给CF客服写信，说流量bypass了CF，没有全部通过CF，所以可能是通过什么方法得到了网站的真实IP。
话说对这种攻击，即使我服务器本身做了IP限制，攻击只要得到我的服务器IP，流量一样会到机房，Linode依旧会挂空IP吧，所以我服务器怎么设置都没啥用，唯一办法是确定流量都通过CF进行防护。

所以求大神看下我的网站，是否可以通过扫描端口，或者PHP程序本身有什么漏洞导致的IP地址露出？
http://subhd.com/upload <== 是否是因为上传呢？