Discuz!x2防CC攻击设置详细教程

在config_global.php文件中有如下代码

	$_config['security']['attackevasive'] = 0;

可以设置的值有:

0表示关闭此功能
1表示cookie刷新限制
2表示限制代理访问
4表示二次请求
8表示回答问题(第一次访问时需要回答问题)

同时也可以设置为组合的方式,如1|2表示同时启用cookie刷新限制和限制代理访问。

在source/class/class_core.php文件中可以找到如下代码

if($this->config['security']['attackevasive'] && (!defined('CURSCRIPT') || !in_array($this->var['mod'], array('seccode', 'secqaa', 'swfupload')))) {
require_once libfile('misc/security', 'include');

$this->config[‘security’][‘attackevasive’]为config_global.php文件里设置的$_config[‘security’][‘attackevasive’]的值。

找到source/misc/misc_security.php文件

	if(is_string($this->config['security']['attackevasive'])) {
	//如果$this->config['security']['attackevasive']是字符串
	        $attackevasive_tmp = explode('|', $this->config['security']['attackevasive']);
	        根据分隔符|分割$this->config['security']['attackevasive']得到数组$attackevasive_tmp
	        $attackevasive = 0;
	        foreach($attackevasive_tmp AS $key => $value) {
	                $attackevasive += intval($value);
	                //将数组$attackevasive中每项的值加起来得到$attackevasive
	        }
	        unset($attackevasive_tmp);
	} else {
	        $attackevasive = $this->config['security']['attackevasive'];
	}

	$lastrequest = isset($_G['cookie']['lastrequest']) ? authcode($_G['cookie']['lastrequest'], 'DECODE') : '';

获取上一次请求的时间。
$_G[‘cookie’][‘lastrequest’]为记录上一次请求时间的cookie。

if($attackevasive & 1 || $attackevasive & 4) {
	        dsetcookie('lastrequest', authcode(TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
	}

如果设置的是cookie刷新限制($attackevasive & 1)或者二次请求($attackevasive & 4)的方式,那么创建以当前时间为值的上一次请求的cookie。

	if($attackevasive & 1) {
	        if(TIMESTAMP - $lastrequest < 1) {
	                securitymessage('attackevasive_1_subject', 'attackevasive_1_message');
	        }
	}

cookie刷新限制的方式:当前时间-上一次请求的时间<1的时候会有页面重载的提示。

	if(($attackevasive & 2) && ($_SERVER['HTTP_X_FORWARDED_FOR'] ||
	        $_SERVER['HTTP_VIA'] || $_SERVER['HTTP_PROXY_CONNECTION'] ||
	        $_SERVER['HTTP_USER_AGENT_VIA'] || $_SERVER['HTTP_CACHE_INFO'] ||
	        $_SERVER['HTTP_PROXY_CONNECTION'])) {
	                securitymessage('attackevasive_2_subject', 'attackevasive_2_message', FALSE);
	}

限制代理访问的方式。

	if($attackevasive & 4) {
	        if(empty($lastrequest) || TIMESTAMP - $lastrequest > 300) {
	                securitymessage('attackevasive_4_subject', 'attackevasive_4_message');
	        }
	}

二次请求的方式:当前时间-上一次请求时间>300秒的时候会有页面重载的提示。

	if($attackevasive & 8) {
	        list($visitcode, $visitcheck, $visittime) = explode('|', authcode($_G['cookie']['visitcode'], 'DECODE'));
	        if(!$visitcode || !$visitcheck || !$visittime || TIMESTAMP - $visittime > 60 * 60 * 4 ) {
	                if(empty($_POST['secqsubmit']) || ($visitcode != md5($_POST['answer']))) {
	                        $answer = 0;
	                        $question = '';
	                        for ($i = 0; $i< rand(2, 5); $i ++) {
	                                $r = rand(1, 20);
	                                $question .= $question ? ' + '.$r : $r;
	                                $answer += $r;
	                        }
	                        $question .= ' = ?';
	                        dsetcookie('visitcode', authcode(md5($answer).'|0|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
	                        securitymessage($question, '<input type="text" name="answer" size="8" maxlength="150" /><input type="submit" name="secqsubmit" value=" Submit " />', FALSE, TRUE);
	                } else {
	                        dsetcookie('visitcode', authcode($visitcode.'|1|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
	                }
	        }
	
	}

回答问题的方式:第一次访问时需要回答问题。

落花生

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2012.11.23

    Windows Server 2012 上安装 IIS 8 图文教程

    今天弄了台机器,下载了 Windows Se…

  2. 没有图片

    2010.12.01

    WordPress日志、分类批量管理插件:Batch Cat

    本来菠萝筐的日志分类相当多,最多的时候达到2…

  3. 没有图片

    2012.12.12

    WordPress后台面板配色插件: Colors Branding

    很少有人对WordPress后台进行改动或美…

  4. 没有图片

    2013.12.31

    如何制作 Mountain Lion 全新安装U盘(转)

    昨天搞到手一台 MACBook Pro 15…

  5. 没有图片

    2011.05.17

    支持WordPress Multisite 的TimThumb文件

    我们都知道WordPress 3+已经支持多…

  6. 没有图片

    2011.09.14

    几行代码让你的WordPress页面添加摘要功能

    WordPress 在发布日志的时候,会有摘…

评论

  1. 凌乱 2012.06.27 5:22下午

    呃,重复了,记得很早之前李大哥你已经分享过了

About

马拉松运动员,沉迷于跑步;关注科技前沿,关注互联网!与跑者、程序员、设计师为伍,一起跑步健身,一起编写程序,为自由而战!