V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
haotian22
V2EX  ›  Cloudflare

Cloudflare 反代导致账户被暂停

  •  
  •   haotian22 · 2022-12-09 12:14:31 +08:00 via Android · 8260 次点击
    这是一个创建于 742 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我此前一直使用 Cloudflare Worker 来反代我的 Sharepoint(Onedrive)网盘来提高下载速度
    在 11 月 15 号被人刷了 1k 请求之后(默认免费是 100k ),被 netcraft 举报说钓鱼欺诈,然后 cf 就说因为违反服务条款而暂停了我的账号 和他们发邮件申诉,他们也认定我违反了条款,并说暂停是永久的
    有人遇到过相同的情况吗?能否指明是违反了哪个条款,要如何后续处理?以后还能不能用 cf 做反代,有什么要注意的?   zRc9jx.md.jpg zRcpg1.md.jpg

    25 条回复    2023-02-06 14:48:07 +08:00
    kokutou
        1
    kokutou  
       2022-12-09 12:26:14 +08:00 via Android
    内容是什么呢。。。
    dingwen07
        2
    dingwen07  
       2022-12-09 12:37:17 +08:00
    估计是他们扫的时候发现了你的网站和微软的相似度很高,然后就举报了
    现在也只能给 Cloudflare 发邮件说明你的用途,看看能不能解封了
    下次记得绑定域名然后用 Access 限制一下访问
    cxh116
        3
    cxh116  
       2022-12-09 12:45:33 +08:00 via Android   ❤️ 1
    不是反代的问题,是被误认为钓鱼的问题。


    有人举报钓鱼,这种肯定封。
    XIU2
        4
    XIU2  
       2022-12-09 13:05:52 +08:00
    如果你是高级套餐,那么可以连续 Cloudflare 解释一下。
    如果是免费套餐,那么就彻底 GG 了,官方社区里压根不会解决这类问题,发了也是白发。。。

    我在 Github 里某个 Issues 见过有个人提到过,他也是用来反代的,但不是用 Worker ,只是单纯的服务器反代套了 Cloudflare CDN 罢了,但也被这货(似乎,记不清了)举报疑似钓鱼导致账号被暂停。。。
    我当时还给出了点主意,但都没用,那个人已经放弃治疗了,又偷偷注册了个 Cloudflare ,换了个域名。。。
    haotian22
        5
    haotian22  
    OP
       2022-12-09 13:26:46 +08:00 via Android
    @kokutou 单纯做了我 sharepoint 独立域名的反代,理论上后面加什么都是直接从微软那边获取的(但是理论上不登录没 cookie 什么也看不到的吧)
    [![zRReC4.md.jpg]( https://s1.ax1x.com/2022/12/09/zRReC4.md.jpg)]( https://imgse.com/i/zRReC4)
    docx
        6
    docx  
       2022-12-09 13:36:18 +08:00 via iPhone
    把网址还原看看是个什么文件 /页面
    haotian22
        7
    haotian22  
    OP
       2022-12-09 13:38:20 +08:00 via Android
    @dingwen07 说了邮件,感觉没用,要重开了吧……
    '''
    Cloudflare team:
    Hello.

    I have to admit that I use Cloudflare Worker as a reverse proxy in order to speed up my files download rate from Microsoft Onedrive in China(Mainland), and I don't think it should be a fraudulent content, which was mentioned by Anonymous in the phishing report(74fb208592bf1d46).

    By the way, I did see a large amount of requests(1.3k) on Nov 15, the day I received the email of phishing report. That's a lot more than I usually use. I must say sorry for that, although it is less than the limitation(100k).

    If you really think it is a fraudulent content, should I disable or delete the Worker, which is still available on my account in order to lighten the affect to Microsoft?

    If this is not considered fraudulent content after your re-evaluation, can my account suspension be removed?

    Regards,
    Hao Tian
    '''
    回复
    '''
    Removing or disabling the worker isn't going to solve the issue. The suspension is permanent for violating our terms of service
    '''
    haotian22
        8
    haotian22  
    OP
       2022-12-09 13:49:17 +08:00 via Android
    @dingwen07 另外 access 貌似限制最多就一个月?没其他方法了吗
    netnr
        9
    netnr  
       2022-12-09 14:03:59 +08:00 via Android
    遇到过,用的自己的域名,域名被 Ban ,间隔一段时间又解了,账号没问题

    现在使用在防火墙配置了一些策略,没出问题了,主要是限制视频和高频使用,代理加了日志记录,方便调控
    maomaomao001
        10
    maomaomao001  
       2022-12-09 14:26:16 +08:00
    @dingwen07
    是用 zero trust 那个吗 ? 有没有具体的添加 basic authentication 的方法 ?
    (不是在 worker 代码里写 https://developers.cloudflare.com/workers/examples/basic-auth/)
    (也不想要 zero trust 里的什么邮箱登录 , 就想要一个简简单单的 basic authentication)
    而是直接在 域名上控制的那种.
    我看 access 那个控制基本都是 按照,ip ,国家什么的限制 。
    如果我只想自己用的话, 有没有什么好的 cloudflare 自带的方法呢 ?
    ungrown
        11
    ungrown  
       2022-12-09 14:38:14 +08:00
    @netnr #9 是单纯的误判、意外,还是有人针对性地捣乱?
    dingwen07
        12
    dingwen07  
       2022-12-09 15:41:32 +08:00 via iPhone
    @maomaomao001 #10
    不是 BA ,我弄了个 GitHub OATH 验证,这样不用邮箱验证码,你也可以把有效期设置为 30 天

    Access 那边本身设置就是通过域名的,甚至某个路径都是可以的,在 Application 那边添加就可以了
    maomaomao001
        13
    maomaomao001  
       2022-12-09 17:22:47 +08:00
    @dingwen07 这种我试过, 和邮箱登录差不多, 也是差不多需要借助一个外面的 provider ,
    我想要最最简单的 , 服务器上设置好账户密码, 所有客户端 (电脑, 手机, 或者其他设备 (这个设备很可能没登录 github ) )用一个最简单的方式访问到 , 又能阻止别人访问的方法
    netnr
        14
    netnr  
       2022-12-09 18:16:28 +08:00 via Android
    应该不是误判,公开的服务被滥用了
    haotian22
        15
    haotian22  
    OP
       2022-12-09 18:19:31 +08:00 via Android
    好了,我把所有用到反代的网站都在域名-安全性-WAF 设置了地区限制
    反代这种东西,内容和源站相同是不可避免的,被误认为仿冒网站也是必然的,看来只有设置访问限制才能保证不被举报了
    muzuiget
        16
    muzuiget  
       2022-12-09 18:25:49 +08:00
    老问题了,条款未定义的行为,到底是允许还是禁止呢?

    如果你是免费账号,明显客服没义务给你或者回答争取什么的,其中界线自己揣摩。
    learningman
        17
    learningman  
       2022-12-10 19:20:22 +08:00 via Android   ❤️ 1
    我之前反代 github ,域名被谷歌扔到欺诈网站清单里了。加了个 basic auth 就给放出来了
    feizhuqaq
        18
    feizhuqaq  
       2022-12-24 11:38:04 +08:00
    @XIU2 没错,就是我
    建议站点还是不要有 netcraft 客户的页面的样式,不然被举报发现了肯定被认定钓鱼,netcraft 一封邮件无论你是什么 CDN 提供商立马给你 ban 掉
    haotian22
        19
    haotian22  
    OP
       2022-12-24 20:04:49 +08:00
    @feizhuqaq 主流网站都有 netcraft 吗?或者说有哪些是 netcraft 的客户?
    另外设置地区屏蔽之类的对他有用吗(或者是地区验证浏览器防机器人?不知道他们是机器评估还是人工评估)
    feizhuqaq
        20
    feizhuqaq  
       2022-12-24 21:20:08 +08:00
    @haotian22 目前没有 netcraft 的客户列表,从 [netcraft]( https://www.netcraft.com/) 官网介绍看来他们的客户都是主要互联网巨头,所以像微软,apple 这些都要小心

    地区屏蔽应该有用,仅允许大陆访问应该好点,毕竟我感觉他们对大陆的关注应该比较少,那时候我被认定钓鱼后一个
    英国 IP 连续访问了 2 个月那个页面,之后 netcraft 官网就显示检测到钓鱼页面删除了,所以应该是 netcraft 的爬虫

    验证浏览器估计是没用的了,netcraft 的机器人肯定是 cloudflare 的白名单
    是否人工评估我无法确定
    stcode
        21
    stcode  
       2023-01-10 16:34:18 +08:00
    刚看了下我的反代 github 也被举报了,收到好多封警告邮件,现在被谷歌浏览器直接给弄成恶意名单了,提交了解除要求,不知道能不能解除.
    404www
        22
    404www  
       2023-02-05 23:40:51 +08:00
    @dingwen07
    请问怎么用 access 来限制呢,有教程吗?我在 zero trust 里找不到
    404www
        23
    404www  
       2023-02-05 23:42:09 +08:00
    @maomaomao001 请问 zero trust 里的邮箱登录怎么添加到 worker 里?
    maomaomao001
        24
    maomaomao001  
       2023-02-06 13:44:54 +08:00
    @404www 加到 worker 里应该要用平台 api 之类的, 比较费劲。
    简单的方法就是,
    你 写好了 worker , 部署了, 然后给这个服务自定义域名。
    然后用 zero trust 给这个域名加防护 (也就是邮箱验证, 然后把时间设置到最高 30 天) , 这样就可以非常简单的防护 worker 本身的内容了
    404www
        25
    404www  
       2023-02-06 14:48:07 +08:00
    @maomaomao001
    感谢回复,我的意思就是
    > zero trust 给这个域名加防护 (也就是邮箱验证, 然后把时间设置到最高 30 天) , 这样就可以非常简单的防护 worker 本身的内容了

    但是在 zero trust 哪里可以加防护?界面太乱了,找不到
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3695 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 05:08 · PVG 13:08 · LAX 21:08 · JFK 00:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.