普通视图

发现新文章,点击刷新页面。
昨天以前首页

Cloudflare Tunnel前置代理支持

作者 Alliot
2024年9月1日 19:00

  赛博大善人的 Cloudflare Tunnel(前 Argo Tunnel) 只需要一个域名、一个 Cloudflare 帐号便可以将服务接入到 Cloudflare 的网络,提供了非常方便的内网穿透方式, 同时还提供了 ZeroTrust、防护等功能, 而这一切基本几乎都是免费的,相信看到此文的小伙伴已经薅上一段时间了,不过由于 Cloudflare Tunnel 官方的服务节点分布有限,在部分时空/场景下,Tunnel 连通性会面临一些挑战, 这时候要是能够通过前置代理去连接到 Tunnel 服务,问题便能得到解决,可惜官方目前并没打算支持这个特性

网站镜像攻击2024第一版

作者 石樱灯笼
2024年10月10日 22:14

又是网络攻击的一年,又是新花样掺老花样,无聊得想拉屎。

我发现每次我遇到无聊得想拉屎的事情的时候,股票啊基金啊虚拟货币啥的都暴跌。


又是网站镜像攻击

我大概2007年开始写博客,2010年正式建立这个网站。

那几年里,垃圾站、抄袭站、镜像站 堪称行业定义。你去买个域名买个空间,如果卖家发现你不是做这些粪坑玩意的,都会鄙视你。

以至于我到现在,电脑里还保留着某个流氓软件……的快捷方式。

b85m-win540-snap

清晰记得那时候校学生会和院学生会都偷偷在学校官网里塞私链给自己的垃圾站引流,然后颐指气使地对我这种无官无位的普通学生鄙夷不屑。

然后突然有一天谷歌更新了收录算法,一下子就把所有垃圾站砍光了。百度倒是一直那个德行,除了垃圾其他什么都不搜,不过就算收录了也没啥用,你在上面也搜不到你想要的内容。


国内博客网站被大批镜像

这最近一个月,突然好多博客在写如何避免自己网站被镜像。招数还是10多年前时候的那些招数,只不过 javascript 的语法比以前干净了,

就有点奇怪了,这十多年从来没人担心过这种问题,怎么突然全在提这个问题。

然后随手搜了一下,果不其然本站也被镜像了。

screenshot_on_b85m_by_flameshot_at_2024-10-09_19-27-47

screenshot_on_b85m_by_flameshot_at_2024-10-09_17-57-07

镜像就镜像呗,反正谷歌收录又不是识别不出来。

screenshot_on_b85m_by_flameshot_at_2024-10-09_19-46-03

b85m-win541-snap

唉草,谷歌现在这么垃圾了吗?原创不收录,反而优先收录镜像站。

我这十多年老域名的含金量还不如一个一年的镜像站了?


分析

随便看了一眼 access.log

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-48-31

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-47-47

IP 是 103.233.9.190 ,一个香港的主机。

原本会以为会是什么云服务商的 Worker 啥的,结果就是个普通的主机。顿时觉得没意思了。

之前这货用的IP是 154.39.149.128 。上个季度我网站流量排第二的就是这个IP。

前端是套的 cloudflare 。但是后面这个 103.233.9.190 基本没藏,所有有趣的设置都在 103.233.9.190 上而不在 cloudflare 上。我估计是工作量太大了根本设置不过来。

直接访问会报 404 错误。

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-58-15

必须用美国(此处存疑)的IP访问才能正常访问,如果用欧洲或者其他国家的IP还是404,感觉就是为了搞谷歌收录。

screenshot_on_b85m_by_flameshot_at_2024-10-10_19-57-51

刚才也说了,后面的真是主机基本没藏。

直接用静态解析就能访问到。

screenshot_on_b85m_by_flameshot_at_2024-10-10_20-04-20

screenshot_on_b85m_by_flameshot_at_2024-10-10_20-05-48

没啥意思。

用 Internet Archive 搜了下,这个域名去年也是在做某些网站的镜像。看来是老杂种了。

PS:写文的时候 Internet Archive 挂了,疑似是被攻击,还被拖库,这是有够惨。反正网站是打不开了,没得截图。


共情

随便在网上搜了下这两个IP,看来受害者还挺多。

Cloudflare 和 Google 的 DCMA 投诉啥的虽然略有效果,但是收效甚微,最多就是恢复下当前的收录。

很明显这坏人不像是处于经济动机做这些恶心事。而且国庆假期期间还搞事也说明了就是个社会闲散人员。

除了几个提供警示和反制手段的博客之外,也有不少精神胜利法的。上来先猜一波方法是什么动机是什么目的是什么,最后猜了一圈就给出个大结论,连access.log都不会看;然后在搞什么收录搞什么投诉再搞什么举报,最后就精神大胜利了,非常阿Q。


处理

随便写了 rewrite 策略糊弄了事。

是的这一块我不太关心。这玩意就是猫捉老鼠,跟实际上看猫和老鼠完全不一样,很无聊。

想一下如果我是坏人,那我有什么办法?我办法多了去了,网上多数人的防御和反制手段基本都拦不住我。问题是缺德的事情我不做,更别说这事情本身就没有经济价值。


结论

写完这篇文章后搞不好又得遭一波 DDOS CC 攻击。

参考资料和引用资料我就不放了,别再被爬去被用作攻击列表。毕竟有些博主的反制能力不是很强。

请不要尝试去访问攻击者的镜像。

The post 网站镜像攻击2024第一版 first appeared on 石樱灯笼博客.

Cloudflare 与 OneKey Card

作者 青山
2024年9月1日 22:47

Cloudflare 与 OneKey Card - 第1张图片

原本标题可以类似于“开通 Cloudflare R2,创建免费图床”、“域名转入 Cloudflare,香”、“OneKey Card 虚拟信用卡注册激活教程”等等,但我只取了其中两个关键词,诸如此类的教程随便 Google 一下就是一大堆,我没有必要照抄别人的内容,替换自己的图,然后标题一改或者索性不改,那叫什么,那tmd叫洗稿

赛博佛祖

不止一次听过 Cloudflare 赛博佛祖的外号,也一直想把域名转入到 Cloudflare,使用它的一些免费服务,但信用卡对我来说是一个门槛,没有办理,不知道该办理哪种信用卡,目前也不太想过早使用信用卡,所以 Cloudflare 在我这里还没有派上太大用场。

Cloudflare 与 OneKey Card - 第2张图片

前段时间参与 Dogs 的空投(它的狗头画得真丑),昨天发现已经到账 Telegram 的 Wallet,46刀,正想着如何把它用掉,便想到很早之前注册过的 OneKey Card,因为当时需要充值 USDC 或 USDT 才能激活,兴趣不大,就搁置了,轻松几步,就将 Telegram Wallet 里的 Dogs 转入到 OneKey Card,并开通了虚拟 Visa 卡。

信用卡有了,那就开始用 Cloudflare。在将 OneKey Card 绑定到 Cloudflare 作为主要支付方式时,账单地址填写遇到了一点小问题,应该是地址需要稍微调整,不过我挺好奇,外国人非常喜欢邮寄账单吗,听上去是一种很传统的形式,虽然在美剧里也看到过邮寄水电煤账单和选票之类的情节。

Cloudflare R2

Cloudflare R2 的使用,参考了 PseudoyuLeslie 的文章,写得非常详细,我是两篇一起看的,理论上不冲突,但个人愚钝,差点搞混了里面的步骤。通过 Pseudoyu 的教程,进行了 Cloudflare 的基础设置,以及 WebP Cloud 的开通;通过 Leslie 的教程,部署了一个球大佬开发的 R2 Uploader 工具,部署简单,界面也很简洁美观,和他博客一样。

我对 WebP Cloud 的理解,相当于国内云存储平台的图片处理功能,可以对图片进行体积压缩、添加水印、缓存等等,也有免费额度。

R2 Uploader 即是一个图片上传工具,替换 Cloudflare R2 后台简陋的上传页面,据 Leslie 的文章介绍,还有图像压缩、大文件上传等功能。

Cloudflare 与 OneKey Card - 第3张图片

将 WebP Cloud 和 R2 Uploader 联动起来,实现一键上传和代理。我在 Piclist 上也进行了相关设置,主要是想使用从剪切板上传上传后自动复制 markdown 链接这两个功能,隔空喊话一个球大佬,后续是否有计划给 R2 Uploader 加上这两个功能。

域名转入不再赘述,就和将大象装进冰箱一样简单。仍然纳闷的是,为何国外域名服务商转移域名如此之快,6年前将一个域名从国内某主机服务商转入腾讯云,花了10天,今天从 Porkbun 转到 Cloudflare,10分钟左右搞定。

OneKey Card

不记得什么时候注册的账号,当时一起的似乎还有 Depay,或者说 Dupay,不知道它们什么关系,现在情况如何。

看网上的消息,现在 OneKey Card 免月费,不用白不用,趁此机会绑定了支付宝,虽然不知道为什么无法在淘宝上使用这张卡,但在美团上实打实能支付,中午点了麦当劳外卖、买了团购优惠券,本想再充个话费,似乎不太行。

Cloudflare 与 OneKey Card - 第4张图片

头一回知道虚拟货币还能这样使用,也算是开了眼界。用它作为 Cloudflare 的主要支付方式,也非常方便,只不过以后需要支付,还得往里面充值虚拟货币。

OneKey Card 现在还能注册,Google 账号一键登录即可,建议尝试一下。

Cloudflare 与 OneKey Card - 第5张图片

Cloudflare 与 OneKey Card》最先出现在印记

Cloudflare 与 OneKey Card

作者 青山
2024年9月1日 22:47

Cloudflare 与 OneKey Card - 第1张图片

原本标题可以类似于“开通 Cloudflare R2,创建免费图床”、“域名转入 Cloudflare,香”、“OneKey Card 虚拟信用卡注册激活教程”等等,但我只取了其中两个关键词,诸如此类的教程随便 Google 一下就是一大堆,我没有必要照抄别人的内容,替换自己的图,然后标题一改或者索性不改,那叫什么,那tmd叫洗稿

赛博佛祖

不止一次听过 Cloudflare 赛博佛祖的外号,也一直想把域名转入到 Cloudflare,使用它的一些免费服务,但信用卡对我来说是一个门槛,没有办理,不知道该办理哪种信用卡,目前也不太想过早使用信用卡,所以 Cloudflare 在我这里还没有派上太大用场。

Cloudflare 与 OneKey Card - 第2张图片

前段时间参与 Dogs 的空投(它的狗头画得真丑),昨天发现已经到账 Telegram 的 Wallet,46刀,正想着如何把它用掉,便想到很早之前注册过的 OneKey Card,因为当时需要充值 USDC 或 USDT 才能激活,兴趣不大,就搁置了,轻松几步,就将 Telegram Wallet 里的 Dogs 转入到 OneKey Card,并开通了虚拟 Visa 卡。

信用卡有了,那就开始用 Cloudflare。在将 OneKey Card 绑定到 Cloudflare 作为主要支付方式时,账单地址填写遇到了一点小问题,应该是地址需要稍微调整,不过我挺好奇,外国人非常喜欢邮寄账单吗,听上去是一种很传统的形式,虽然在美剧里也看到过邮寄水电煤账单和选票之类的情节。

Cloudflare R2

Cloudflare R2 的使用,参考了 PseudoyuLeslie 的文章,写得非常详细,我是两篇一起看的,理论上不冲突,但个人愚钝,差点搞混了里面的步骤。通过 Pseudoyu 的教程,进行了 Cloudflare 的基础设置,以及 WebP Cloud 的开通;通过 Leslie 的教程,部署了一个球大佬开发的 R2 Uploader 工具,部署简单,界面也很简洁美观,和他博客一样。

我对 WebP Cloud 的理解,相当于国内云存储平台的图片处理功能,可以对图片进行体积压缩、添加水印、缓存等等,也有免费额度。

R2 Uploader 即是一个图片上传工具,替换 Cloudflare R2 后台简陋的上传页面,据 Leslie 的文章介绍,还有图像压缩、大文件上传等功能。

Cloudflare 与 OneKey Card - 第3张图片

将 WebP Cloud 和 R2 Uploader 联动起来,实现一键上传和代理。我在 Piclist 上也进行了相关设置,主要是想使用从剪切板上传上传后自动复制 markdown 链接这两个功能,隔空喊话一个球大佬,后续是否有计划给 R2 Uploader 加上这两个功能。

域名转入不再赘述,就和将大象装进冰箱一样简单。仍然纳闷的是,为何国外域名服务商转移域名如此之快,6年前将一个域名从国内某主机服务商转入腾讯云,花了10天,今天从 Porkbun 转到 Cloudflare,10分钟左右搞定。

OneKey Card

不记得什么时候注册的账号,当时一起的似乎还有 Depay,或者说 Dupay,不知道它们什么关系,现在情况如何。

看网上的消息,现在 OneKey Card 免月费,不用白不用,趁此机会绑定了支付宝,虽然不知道为什么无法在淘宝上使用这张卡,但在美团上实打实能支付,中午点了麦当劳外卖、买了团购优惠券,本想再充个话费,似乎不太行。

Cloudflare 与 OneKey Card - 第4张图片

头一回知道虚拟货币还能这样使用,也算是开了眼界。用它作为 Cloudflare 的主要支付方式,也非常方便,只不过以后需要支付,还得往里面充值虚拟货币。

OneKey Card 现在还能注册,Google 账号一键登录即可,建议尝试一下。

Cloudflare 与 OneKey Card - 第5张图片

Cloudflare 与 OneKey Card》最先出现在印记

Cloudflare Tunnel前置代理支持

作者 Alliot
2024年9月1日 19:00

  赛博大善人的 Cloudflare Tunnel(前 Argo Tunnel) 只需要一个域名、一个 Cloudflare 帐号便可以将服务接入到 Cloudflare 的网络,提供了非常方便的内网穿透方式, 同时还提供了 ZeroTrust、防护等功能, 而这一切基本几乎都是免费的,相信看到此文的小伙伴已经薅上一段时间了,不过由于 Cloudflare Tunnel 官方的服务节点分布有限,在部分时空/场景下,Tunnel 连通性会面临一些挑战, 这时候要是能够通过前置代理去连接到 Tunnel 服务,问题便能得到解决,可惜官方目前并没打算支持这个特性

Cloudflare 与 OneKey Card

作者 青山
2024年9月1日 22:47

Cloudflare 与 OneKey Card - 第1张图片

原本标题可以类似于“开通 Cloudflare R2,创建免费图床”、“域名转入 Cloudflare,香”、“OneKey Card 虚拟信用卡注册激活教程”等等,但我只取了其中两个关键词,诸如此类的教程随便 Google 一下就是一大堆,我没有必要照抄别人的内容,替换自己的图,然后标题一改或者索性不改,那叫什么,那tmd叫洗稿

赛博佛祖

不止一次听过 Cloudflare 赛博佛祖的外号,也一直想把域名转入到 Cloudflare,使用它的一些免费服务,但信用卡对我来说是一个门槛,没有办理,不知道该办理哪种信用卡,目前也不太想过早使用信用卡,所以 Cloudflare 在我这里还没有派上太大用场。

Cloudflare 与 OneKey Card - 第2张图片

前段时间参与 Dogs 的空投(它的狗头画得真丑),昨天发现已经到账 Telegram 的 Wallet,46刀,正想着如何把它用掉,便想到很早之前注册过的 OneKey Card,因为当时需要充值 USDC 或 USDT 才能激活,兴趣不大,就搁置了,轻松几步,就将 Telegram Wallet 里的 Dogs 转入到 OneKey Card,并开通了虚拟 Visa 卡。

信用卡有了,那就开始用 Cloudflare。在将 OneKey Card 绑定到 Cloudflare 作为主要支付方式时,账单地址填写遇到了一点小问题,应该是地址需要稍微调整,不过我挺好奇,外国人非常喜欢邮寄账单吗,听上去是一种很传统的形式,虽然在美剧里也看到过邮寄水电煤账单和选票之类的情节。

Cloudflare R2

Cloudflare R2 的使用,参考了 PseudoyuLeslie 的文章,写得非常详细,我是两篇一起看的,理论上不冲突,但个人愚钝,差点搞混了里面的步骤。通过 Pseudoyu 的教程,进行了 Cloudflare 的基础设置,以及 WebP Cloud 的开通;通过 Leslie 的教程,部署了一个球大佬开发的 R2 Uploader 工具,部署简单,界面也很简洁美观,和他博客一样。

我对 WebP Cloud 的理解,相当于国内云存储平台的图片处理功能,可以对图片进行体积压缩、添加水印、缓存等等,也有免费额度。

R2 Uploader 即是一个图片上传工具,替换 Cloudflare R2 后台简陋的上传页面,据 Leslie 的文章介绍,还有图像压缩、大文件上传等功能。

Cloudflare 与 OneKey Card - 第3张图片

将 WebP Cloud 和 R2 Uploader 联动起来,实现一键上传和代理。我在 Piclist 上也进行了相关设置,主要是想使用从剪切板上传上传后自动复制 markdown 链接这两个功能,隔空喊话一个球大佬,后续是否有计划给 R2 Uploader 加上这两个功能。

域名转入不再赘述,就和将大象装进冰箱一样简单。仍然纳闷的是,为何国外域名服务商转移域名如此之快,6年前将一个域名从国内某主机服务商转入腾讯云,花了10天,今天从 Porkbun 转到 Cloudflare,10分钟左右搞定。

OneKey Card

不记得什么时候注册的账号,当时一起的似乎还有 Depay,或者说 Dupay,不知道它们什么关系,现在情况如何。

看网上的消息,现在 OneKey Card 免月费,不用白不用,趁此机会绑定了支付宝,虽然不知道为什么无法在淘宝上使用这张卡,但在美团上实打实能支付,中午点了麦当劳外卖、买了团购优惠券,本想再充个话费,似乎不太行。

Cloudflare 与 OneKey Card - 第4张图片

头一回知道虚拟货币还能这样使用,也算是开了眼界。用它作为 Cloudflare 的主要支付方式,也非常方便,只不过以后需要支付,还得往里面充值虚拟货币。

OneKey Card 现在还能注册,Google 账号一键登录即可,建议尝试一下。

Cloudflare 与 OneKey Card - 第5张图片

Cloudflare 与 OneKey Card》最先出现在印记

一次失败的换机

作者 大灰
2024年8月14日 11:50
本来就想着更新没想到12号早上给我来了一个惊喜,瞬间我感觉天塌了… 发现故障 2024.8.12 8:00 早上8点发现网站无法打开,各个子站点也是宕机状态,我第一反应就是会不会被打了?按道理我加了防火墙,还有CloudFlare的加持,想打死也没那么简单。等我查看vps状态的时候,我才感觉大事不妙,莫名其妙关机?重启依然连接不上,查看vnc信息,我以为是内核的原因,因为我月初升级过系统,但是没有重启。后来经过高手指点原来是硬盘挂了,我尼玛还没用几天就崩了,主机商你踏马用的石头盘么? 寻求帮助 2024.8.12 8:30 只能提交工单解决,我估计客服的水平都没我高,因为它之前一直只是在重复重 […]

利用Cloudflare WARP科学设置上网方式

作者 从良未遂
2023年7月25日 13:57

1、Cloudflare是什么?

Cloudflare是一家全球领先的云端网络服务提供商,它提供了一系列的网络安全、性能优化和CDN加速解决方案,同时也是最大的域名解析商。

2、Cloudflare WARP是什么?

Cloudflare WARP是Cloudflare推出的一项虚拟私人网络服务。WARP旨在提供更安全、更快速的互联网连接,保护用户的在线隐私和安全。由于Cloudflare有着全球最强大的IP库,所以基本不用担心被封锁的问题。非常牛的1.1.1.1这个IP,就是鼎鼎大名的Cloudflare所拥有。我们可以看一下这个简洁而又霸气的主页,我们可以看到支持苹果,安卓,macOS,Windows,Linux,也就是在所有设备上都可以用。

3、iOS设置教程

首先你需要一个国外的苹果账号,这个非常简单,3分钟就能免费注册一个,怕麻烦的话可以直接某宝购买一个。

然后在应用商店搜索 warp,找到 1.1.1.1:Faster Internet然后下载安装。

打开之后可以看到WARP+套餐每个月6.98刀每月,推荐朋友的话每推荐一个朋友+1GB,当然订阅套餐不是我们的目标,我们是想白嫖无限流量。

点击右上角的三条横线打开设置。

可以看到有两个选项,一个是 1.1.1.1,这个作用比较简单,就是做DNS服务器用的,我们要用的是下面这个WARP+,也就是使用VPN来翻墙的功能。

然后点击下面的账户,点击按键,点击更改密钥

这个密钥怎么获得呢?



4、如何获得密钥

使用Telegram电报搜索generatewarpplusbot,找到这个机器人,点击开始,然后点击/generate

它要求我们订阅两个群组,直接订阅就行,后面可以再取消订阅。

然后再次点击/generate,可能会要求我们做一个小学一年级的加减乘除,直接输入/generate空格然后加减乘除的结果就行,就会给我们生成密钥:

把Key复制到密钥那里面。

把密钥填进去,返回可以看到剩余数据: 24.6PB,也就是2460万G的流量,就是这辈子你正常用都用不完的流量。

然后回到主页面连接WARP+就可以了。然后这个时候打开 https://whatismyipaddress.com,看一下ISP也就是网络服务提供商,是Cloudflare,就连接成功了,城市它会自动给你匹配一个相近的城市。

其他平台差不多的步骤,就不赘述了,最主要的还是生成密钥,记得提前准备好相关环境。

用 Cloudflare R2 作图床,迁移 WordPress

作者 雪糕
2024年1月7日 07:11

我的博客之前放在一台荷兰的主机上,那台主机上有 Minio 图床,有 WordPress, 还有一个额外的 web server. 我的主页是放在额外的 server 上的。之前,域名的 DNS 服务商还是 Fastmail. 虽然知道可以通过 cname 的方式来使用 Cloudflare 的 CDN, 但秉持着能用就不折腾的原则,我干脆没有用 Cloudflare 的任何服务。

而我搬进 Cloudflare 的初衷也很纯粹,单纯是想看有多少人访问了我的博客/网站。我之前没有加过任何的 tracker, 也完全不知道有多少访问量。Cloudflare 可以直接告诉我我的网站有多少访问。我不知道这个数据算高还是低,但光是看统计数据本身,就很让我着迷。

从 Minio 迁移到 Cloudflare R2

迁移过程需要 rclone. 一是因为我的博客年代久远,还有过一段时间是静态博客,所以文件路径不都遵循 WordPress 的默认规则,直接从 Minio 拷贝到 Cloudflare R2 是最简单省事儿的。二是现在 Cloudflare R2 的网页端上传有着诸多限制,网页上传繁琐且低效。

在 macOS 里安装 rclone, 并且分别添加响应的配置文件(CLI,很友好)。

brew install rclone
rclone config

Minio 和 Cloudflare R2 都属于 Amazon S3 Compliant Storage Provider, 直接选择对应的选项即可。 注意,在迁移完成之前可以先不修改图床所用域名的指向记录。Cloudflare 的 API 会提供 end-point URL, 而 Minio 的 end-point URL 在大部分情况下可能是你图床的地址。

在添加完 remote 之后,就可以开始迁移了。

rclone copy /path/to/source folder remote:destination --progress

由于我们是从一个 remote 迁移到另一个 remote, 所以可以写成

rclone copy minio:source-folder cloudflare:destination --progress

可能需要等待一段时间才能复制完毕,添加 --progress 可以查看进度。

迁移完毕之后,可以在 Cloudflare R2 的 buckets 里看到目录结构。

将图片默认上传到 Cloudflare R2

我一直以来使用的插件是 Media Cloud. 在 WordPress 后台直接搜索即可下载,可以选择很多服务商。我用 Minio 的时候就用的 Media Cloud 插件。在迁移到 Cloudflare R2 之后,直接在 Media Cloud 的设置里添加对应 provider 的配置文件,插件会自行验证有没有足够的权限(添加,查看,删除等)。

迁移 WordPress

WordPress 的迁移出乎意料地简单。先在现有的 WordPress 里安装 UpdraftPlus 插件,并且备份一切内容(数据库和上传的文件等)。在新的服务器上部署完 WordPress 之后,只需要安装 UpdraftPlus 插件,然后把之前备份的文件上传,即可直接恢复。新环境和旧环境最好使用相同版本的数据库和 PHP. 但我新环境是 php 8.2, 旧环境是 php 7.x 没有出现什么问题。But, YMMV. 使用 UpdraftPlus 恢复的插件和主题会因为权限问题无法修改删除,需要手动 chmod 一下。谨慎起见,还可以使用 WordPress 自带的重新安装功能让自己更安心。

在迁移过程中,可以暂时修改 hosts 文件来确认新环境下的 WordPress 是否成功运行。在确认没有问题之后,就可以在 DNS 服务商那里修改指向,然后上线了。

在迁移之后,理论上来说我的访问速度会提高。相比较之前在荷兰的服务器,我现在在美东,新服务器在美东,我这里 Cloudflare 回源美东会更快。不幸的消息是,在亚洲太平洋地区的朋友们访问可能会慢一些,但只要我这里快就够了。

The post 用 Cloudflare R2 作图床,迁移 WordPress first appeared on 雪糕.

视障同学通过电子邮件完成 hCaptcha 验证的方法

作者 Armstrong
2023年1月7日 14:51

  最近玩 OpenAI ChatGPT 的视障同学挺多的(我也是其中之一),在注册和登陆的时候,我们会遇到 hCaptcha 人机验证。跟谷歌的 reCAPTCHA 一样,hCaptcha 提供视觉验证,但不同的是,hCaptcha 的“绿色通道”是通过电子邮件来完成的,这难倒了不少同学(您先别急着表示不屑,没准您是一位运气王)。下面,让我们开始吧!

准备一个能接收国外邮件的电子邮箱

  这个很容易获得,你有 QQ 邮箱吧?这就挺好,如果你还绑定了微信,那就更好了,那位说了,我还在电脑上登陆了微信,诶呀,这就太好了。

触发挑战

  在有 hCaptcha 验证码的页面上,通常你会碰到“hCaptcha复选框。选择以触发挑战,或者如果您具有可访问性cookie,则绕过它”复选框。按空格键选定这个复选框,然后你会听到“获取有关hCaptcha和辅助功能选项的信息。 菜单按钮 已折叠”,这里按空格键。按下空格键后,会打开一个菜单,第一个选项就是“辅助功能”,按回车键。你会听到“对话框”,这里,按 Tab 到“检索可访问性cookie”链接,然后按回车键。

输入邮箱,获取验证链接

  现在打开了一个新的页面,在“电子邮件”中,输入你的 QQ 邮箱账号,然后点击“注册”按钮。十秒钟后,你的 QQ 邮箱就会收到 hCaptcha 的邮件,标题是“Instructions for using hCaptcha Accessibility”。
打开这封邮件,按 Tab 可以导航到“获取可访问性 Cookie”链接,点击它就可以访问 hCaptcha 的验证页面。不过,微信打开 QQ 邮箱后有个问题,点击“获取可访问性 Cookie”链接后,会要求登陆 QQ 邮箱。所以,变通的解决方法是复制它下面的链接,通常以 https://accounts.hcaptcha.com/verify_email 开头,复制的时候要注意删掉读屏软件在末尾添加的“链接”,复制后,回到“Sign up for hCaptcha Accessibility Access”页面,在地址栏粘贴。

获取辅助功能 Cookie

  完成了上面的步骤后,我们来到了 hCaptcha 的验证页面。按 Tab 可以导航到你的邮箱账号,例如我这里是 armstrong@contoso.com,再按一下 Tab 就可以导航到“设置Cookie”按钮。用空格键点击这个按钮,顺利的话,就会听到“Cookie集”的语音提示,如果没有听到,按一下下光标也可以导航到这句话上面。听到这句提示,就表示验证通过了,可以进行后续操作。

疑难排解

  上面的操作很顺利吧?是的,我们没有遇到任何问题。实际上,我们会经常遇到下面的情况:

无法发布Cookie。如果此问题继续发生,请发送电子邮件至support@hcaptcha.com。

  使用代理服务器上网的同学经常会遇到这个问题,这个问题是由于 hCaptcha 阻止了代理服务器的 IP 导致的,可以暂时关掉代理,或者切换到其他节点,然后在点击一次“设置Cookie”按钮。

点击“设置Cookie”按钮后,一分钟还是没有收到 Cookie?

  请查看你的邮箱的垃圾箱是否有 hCaptcha 的邮件,如果没有,更换一个邮箱。或者,输入邮箱后,点击注册,你听到了错误提示,就请暂时关掉代理,也可以尝试换一个节点。

后续步骤

  经过前面的操作,我们就可以进行后续步骤了。关掉提示“Cookie集”的页面,然后点击“封闭模态”按钮,焦点就会回到“hCaptcha复选框。您已通过验证”。现在就可以进行下一步操作啦,比如登陆,注册等等。

后记

  根据我的观察,使用 hCaptcha 验证码系统的网站除了 openai 还有 CloudFlare,解决问题的方法也都是一样的。同学们一定要举一反三哦。

最近折腾的东西

作者 大灰
2023年11月20日 20:13
好长时间没更新文章,wordpress现在都6.4.1了…… 代码啥的真玩不转了,有那么一段时间总是想用静态的程序,太折腾遂放弃。 这几天没事折腾了DNSECC、Gravatar、CloudFlare、RSS(这里就不再累赘介绍了)。 DNSECC DNS 安全扩展 (DNSSEC) 为 DNS 增加了一层额外的身份验证,确保请求不会路由到欺骗性域。 灰常记忆转入CF的时候就开启了DNSECC,主要是其他域名还没设置,今天全部把DNSECC设置完了。 namesilo域名管理一步步参照CloudFlare的给的结果设置就好。   Gravatar 想必这个做博客的朋友都知道,国内目前 […]

立秋小记

作者 大灰
2023年8月8日 23:40
又一个月没更新,写着写着就写不下去了…… 天气也是越来越热了,每天都是在高温中度过。(八月温度似乎没那么高了) 前几天收到腾讯域名续费邮件&CloudFlare域名扣费失败的邮件,有点不想续费了,关键是觉得留着也没啥意义。这几年一直在舍弃一些无用的域名,果断忽略邮件提醒,当断不断反受其乱。 自从网络上的的花费一直做减法,我的支出就持续下降。各种付费的会员差不多都掉了,也没多大用处,最最恶心的是有的视频明明是充值VIP下载的,会员到期却不能观看下载好的,真是接受不了,特地在网络上找了几个看视频网站,总的来说还是很不错,想看的都能找到。 妞宝近一个月都挺好的,只不过现在正是调皮捣蛋的时候,打又打不 […]

又遭大规模 DDoS 攻击 2023 第二版

作者 石樱灯笼
2023年7月21日 00:55

我就跟你说我招人恨吧!

注:本文于2023年7月20日中午开始撰写,所以请以20日为当前日期阅读。(因为写得太慢导致时间观都错位了)


发现

我跟你讲这次我完全就没发现。

我甚至都不知道攻击是从什么时候开始的。

就是今天中午又发现博客打不开。本以为只是GFW又开始抽风,毕竟眼看就要开大运会了。谁知道等半天甩出来一个纯文字的超时错误……不该是Apache报错吗,怎么一堆文字出来。

登上服务器一看果然是大规模 DDoS 攻击 2023 第二版


处理

随便写了个 Cloudflare 规则糊弄了事。


分析(Part1)

我甚至不知道这次攻击是啥时候开始的。就好像昨天还在回复 挨踢路 – 老狼评论,还在那想办法弄清谷歌索引抽风的问题。仔细一看,什么?!两天前?!?!? 那我昨天干啥去了?

尤其是我刚刚重温完《速水玲香诱拐杀人事件》,中间差一天这事情或许是某种邪恶的阴谋?

z6sJqJk75r7SszezK5ddLbYBdFwiXvXS5PJswqEN

开始重新看 Cloudflare 的汇总信息。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-05

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-22

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-11-32

没啥收获。

24小时内流量一直是平的。7天内和30天内虽然有波动,但是有一部分流量是因为《幽灵诡计》发布了Steam版而一大堆人来看我当初转载的那篇幽灵诡计无剧透文字攻略

现在的互联网真是惨,那个攻略的原文因各种原因最终被和谐的一干二净,以至于原作者是谁我都不知道。

看看流量统计。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-17-01

再看威胁统计。

screenshot_on_b85m_by_flameshot_at_2023-07-20_16-17-31

都没看出啥名堂。

就好像是有多次攻击,也消耗了不少资源,但我也没感觉到的样子。

点点防火墙拦截日志。

screenshot_on_b85m_by_flameshot_at_2023-07-20_13-45-34

这IP是真的有够多,感觉脚本小子不应该能有这么个规模的资源,这莫不是 花钱 找的什么黑产吧?

……

算了还是回归看 access.log 吧。


分析(Part2)

打开 access.log,扑面而来一堆屎。

screenshot_on_b85m_by_flameshot_at_2023-07-20_14-04-49

Yee

screenshot_on_b85m_by_flameshot_at_2023-07-21_00-00-35

这个攻击者脾气还挺大,关键字里一大堆脏话。

看来攻击是从14日就开始了,然后……好像攻击没啥效果,也可能大部分被 Cloudflare 给拦截了还是怎样。正式能造成性能问题的攻击应该是开始于7月18日夜间,而我在回复过老狼的评论之后也一直没有注意过博客,总之一直到刚才我才发现。

总不会是网站都挂了整整一天了才发现吧。

也真是太懒,我都提到过多少次我有个监控工具了但是一直不部署,就有种中国人特有的大病,啥玩意都拖到治不了了才求医似的。


分析(Part3)

然后就是这个攻击者,妥妥的是本站的读者,攻击的目标页面也刚好是《又遭大规模 DDoS 攻击 2023 第一版》,简直就是想要公开挑战。

……谁想理你似的。

但是你模拟攻击前能不能先搞个肉鸡跳板啊,这重庆的IP记录得一清二楚。

这可就有趣了,因为我在现实生活中基本上不认识多少重庆人,网络上认识的重庆人就更少,但唯独这个IP却是知道的:

screenshot_on_b85m_by_flameshot_at_2023-07-20_23-40-22

一看这小屁孩发言……

罢了罢了,以后自然会有其他人教他做人,我才懒得动弹。


结论

黑客这玩意在国内早就完犊子了,乌云网昨天不是刚刚好被关站7年么。

上一次我也说了,就连小学生都在做当黑客攻击五角大楼的白日梦,老奶奶都开始吹牛逼,那黑客就跟股市房市一样,基本上已经完犊子了。

现在这天气热啊,天热就想多喝水,多喝水就总想上厕所,总想上厕所就睡不着觉。

screenshot_on_b85m_by_flameshot_at_2023-07-21_00-53-43

防护规则开了大概12个小时,就已经有一百七十万次已拦截攻击了,是上一次攻击力度的两倍。这是比上一次多花了不少钱吧。

哦对了,那个小屁孩的 IPv6 地址我也有,但没有采取措施的必要。

毕竟,我已经懒到宁可憋尿都不想起床了。

The post 又遭大规模 DDoS 攻击 2023 第二版 first appeared on 石樱灯笼博客.
❌
❌