前幾天朋友說他的站消耗雲豆厲害,然後看日志發現大部分是訪問的cron.php。然後還不是內網IP訪問的,也沒加過監控之類的,估計是被別人惡意訪問了。但是覺得修改名稱也有些不安全,把IP加黑名單效果也不會很強。
因為IP可以隨時換,所以我加了一段代碼來解決了這個問題。是把cron.php加了一個get傳遞了參數,然後在config.yaml修改了一下cron,就把惡意訪問的問題解決了,這幾天消耗肯定也減少了。
這個例子告訴我們,如果你使用的是開源程序,當別人找到你的這個開源程序時,可以看代碼想方設法消耗你的雲豆。所以我們要吃一塹長一智,雖然技術含量不怎麼高,但是還是會安全很多的。畢竟他不知道你的雲豆消沒消耗,他也只是去試著去攻擊你的程序。。但是我設置的比較猥瑣的,因為一開始,cron是輸出ok的,現在他沒有GET去傳遞數據,也是返回的ok,但是現在的真正執行成功了,返回的是yes。
下面就進入正題吧,先把cron.php中加入下面的這句話。
if (empty($_GET['password']) || $_GET['password'] != 'user@test') exit('ok'); //password和user@test都是可以任意修改的
//訪問方式就是 域名/程序名.php?password=user@test
然後修改config.yaml文件,
把單純的cron.php後面加上“程序名.php?password=user@test”
這裡的“程序名.php?password=user@test”不是絕對的哦。
如果你在if那個地方修改過password和user@test,那麼這裡也是需要修改的。
如下面這個例子。
- description: Task url: cron.php?password=user@test schedule: */1 * * * *
本文來自於【系統之家】 www.xp85.com
