全球主机交流论坛

标题: 用cloudflare r2要注意,一直被扫,别把卡给弄爆了 [打印本页]
作者: uptime    时间: 2024-5-8 16:59
标题: 用cloudflare r2要注意,一直被扫,别把卡给弄爆了
昨天刚开的,用的r2.dev域名,今天发现被扫了(未公开子域名),虽然不多,但要是有人恶意还是挺危险的,现在换成自己的域名了,过2天再看看

作者: cnmt    时间: 2024-5-8 17:01
谢谢提醒



测评 CCS 国外十二年老牌商家 10刀/年 无限流量 可WIN系统挂机 可刷PT 可建站 稳定流畅
作者: aqinhai    时间: 2024-5-8 17:04
怎么取消
作者: 直男    时间: 2024-5-8 17:05
R2出去的流量又不要钱,只有储存空间是要钱的,只要你不公开api他扫归他扫又影响不到你
作者: uptime    时间: 2024-5-8 17:13
本帖最后由 uptime 于 2024-5-8 17:16 编辑
直男 发表于 2024-5-8 17:05
R2出去的流量又不要钱,只有储存空间是要钱的,只要你不公开api他扫归他扫又影响不到你 ...


流量是不要钱,但是A类和B类是有限额的,我这1天什么都没操作,AB都上涨了,不是被人扫了还有别的什么原因呢?

我也不懂是外人是怎么触发AB的:
  1. Class A Operations include ListBuckets, PutBucket, ListObjects, PutObject, CopyObject, CompleteMultipartUpload, CreateMultipartUpload, ListMultipartUploads, UploadPart, UploadPartCopy, ListParts, PutBucketEncryption, PutBucketCors and PutBucketLifecycleConfiguration.

  3. ​​Class B operations
  4. Class B Operations include HeadBucket, HeadObject, GetObject, UsageSummary, GetBucketEncryption, GetBucketLocation, GetBucketCors and GetBucketLifecycleConfiguration.
复制代码
作者: louiejordan    时间: 2024-5-8 17:14
直男 发表于 2024-5-8 17:05
R2出去的流量又不要钱,只有储存空间是要钱的,只要你不公开api他扫归他扫又影响不到你 ...

请求被刷了也是很恐怖的
作者: lixiaofei    时间: 2024-5-8 17:36
这个怎么注意呢,总归是要放出去给人用的
作者: uptime    时间: 2024-5-8 17:42
lixiaofei 发表于 2024-5-8 17:36
这个怎么注意呢,总归是要放出去给人用的

我这绑的master借记卡,里面只放一点美刀,不怕被刷,这里只是提醒一下各位要注意
作者: 苍山有井名为空    时间: 2024-5-8 17:44
我没有钱 那就爆不了我喽
作者: lixiaofei    时间: 2024-5-8 17:49
uptime 发表于 2024-5-8 17:42
我这绑的master借记卡,里面只放一点美刀,不怕被刷,这里只是提醒一下各位要注意 ...

除了这个没别的办法了吗
作者: uptime    时间: 2024-5-8 17:57
@lixiaofei @aqinhai
不用的关闭就可以了,用的话我也不知道怎么办,限制一下信用卡的消费额度?
作者: 直男    时间: 2024-5-8 18:15
本帖最后由 直男 于 2024-5-8 18:17 编辑
uptime 发表于 2024-5-8 17:13
流量是不要钱,但是A类和B类是有限额的,我这1天什么都没操作,AB都上涨了,不是被人扫了还有别的什么原 ...


会不会是你api被调用了,你递归一下吧,别用什么乱七八糟的程序。

绝对不是刷r2的地址被扫造成的,除了你的api泄露或者程序在执行操作才会产生ab的请求,其他场景不可能会产生ab请求的。
作者: Kaze_Kaze    时间: 2024-5-8 18:18
本帖最后由 Kaze_Kaze 于 2024-5-8 18:19 编辑

A类每月免费100w次,B类每月免费1kw次,这点请求有啥关系

另外A类操作包括ListBuckets, PutBucket, ListObjects, PutObject, CopyObject, CompleteMultipartUpload, CreateMultipartUpload, ListMultipartUploads, UploadPart, , UploadPartCopy, ListParts,PutBucketEncryption和PutBucketCors。PutBucketLifecycleConfiguration

​​B 类操作
B 类操作包括HeadBucket、HeadObject、GetObject、UsageSummary、GetBucketEncryption、GetBucketLocation和GetBucketCors。GetBucketLifecycleConfiguration

你被扫能出现这种操作?
作者: lixiaofei    时间: 2024-5-8 18:21
直男 发表于 2024-5-8 18:15
会不会是你api被调用了,你递归一下吧,别用什么乱七八糟的程序。

绝对不是刷r2的地址被扫造成的,除了 ...

R2如果设置成公开读,别人使用R2的地址就能产生GetObject调用吧
作者: lixiaofei    时间: 2024-5-8 18:22
Kaze_Kaze 发表于 2024-5-8 18:18
A类每月免费100w次,B类每月免费1kw次,这点请求有啥关系

另外A类操作包括ListBuckets, PutBucket, ListOb ...

GetObject呢?别人直接访问R2的资源地址会产生GetObject调用吗?要是不产生的话,那CF真是大善人了
作者: Kaze_Kaze    时间: 2024-5-8 18:31
lixiaofei 发表于 2024-5-8 18:22
GetObject呢?别人直接访问R2的资源地址会产生GetObject调用吗?要是不产生的话,那CF真是大善人了 ...

肯定产生啊。。。但是b类操作很便宜的,0.36刀 100w次
作者: lixiaofei    时间: 2024-5-8 18:32
Kaze_Kaze 发表于 2024-5-8 18:31
肯定产生啊。。。但是b类操作很便宜的,0.36刀 100w次

发到论坛里,mjj一会就能干爆
作者: 万亩斜阳    时间: 2024-5-8 18:37
就那10G的空间。搞不懂都非要强上是为了什么。
手里连个大硬盘,或者连个超过10G的vps都没有?
挂上cdn有什么区别。
正常使用对象存储,请求数是一笔不小的费用。不要看免费额度给的不少。真要用起来是不经用的。更别说恶意刷的。
作者: lixiaofei    时间: 2024-5-8 18:40
万亩斜阳 发表于 2024-5-8 18:37
就那10G的空间。搞不懂都非要强上是为了什么。
手里连个大硬盘,或者连个超过10G的vps都没有?
挂上cdn有什 ...

mjj都喜欢白piao,尤其这个还免流量
作者: aqinhai    时间: 2024-5-9 08:49
uptime 发表于 2024-5-8 17:57
@lixiaofei @aqinhai
不用的关闭就可以了,用的话我也不知道怎么办,限制一下信用卡的消费额度? ...

怎么关闭没看见关闭R2的选项
作者: hao123456    时间: 2024-5-9 09:03
r2.dev是测试环境用的域名,有请求速率限制,放心吧,刷不爆的。
最好还是绑个自己的域名,然后设置WAF防火墙规则和速率限制规则,基本不会出问题。
作者: qweasdbnm    时间: 2024-5-9 09:05
除非报销,别用对象存储,一旦被剑皇就是小五位数账单起步



欢迎光临 全球主机交流论坛 (https://www.91ai.net/) Powered by Discuz! X3.4