短信接口防刷保护 之前遇到客户得罪人，被人恶意攻击，批量刷项目的短信接口，导致一天内被刷了上千条短信。当时项目已有的防刷机制只大概包括：验证手机号格式检测该手机号请求频率，最高一分钟一次，一天最多发送三次检测IP的请求频率，一小时内最多请求五次但是这种情况下还是被一天刷了上千条。后台看了下请求记录，发现攻击者使用了高匿代理轮询请求服务器，就是相当于模拟不同用户的手机号和不同IP发送请求，这让我们很难判断来请求的究竟是真实用户还是机器人。但是我从记录发现了一点：对方是直接攻击的API接口这样一来就有了个初步的解决办法：让程序在请求短信接口前 先从服务器获取一个特征码，然后在请求短信接口的时候把这个特征码和手机号一起发送到接口，服务器再根据这个特征码验证是否成功。最直接的方法就是生成一个随机码存到Session中，然后前端请求短信接口时服务器判断Session中的随机码和前端请求时发送过来的随机码是否相同，为空或者不同则验证不通过但是这样一来也有个问题，当攻击者不了解请求流程还好，如果攻击者理解了参数含义，还是能直接拿到特征码再提交过来，同样防止不了刷短信的问题。于是又衍生出了另一种解决方案：图形验证码像网易等大厂注册时也是采用了这种方法服务器先生成图形验证码返回到前端，在请求短信接口前先验证图形验证码，然后再决定是否发送短信这种方法生成的图形验证码一般机器人识别起来有一定难度，虽然同样有被破解的可能（AI训练和打码平台），但是也无形中增加了攻击者的攻击成本，能大大减少被攻击的概率。只不过这种方式在手机端相对于用户体验可能不是很好，不过安全至上，也无伤大雅吧

比特币应用 今天想起来登录另一台服务器时，发现服务器上的mysql又被删库了。为什么说又。上一次是因为自己人登录服务器把我的数据文件给删了，只好重装。这次不一样了。因为我发现，这次数据库里，多了一个名叫warning的数据库。打开来看，只有一张表，readme。出于好奇，我打开看了看我大概猜到发生了什么。对方留下了邮箱、比特币账户、一段话，并贴心地给了一个比特币交易平台。又出于国家政策和对方隐私的考虑，我隐藏了对方的邮箱以及比特币账户，并仔细地查看了remark。Your DataBase is downloaded and backed up on our secured servers. To recover your lost data: Send 0.2 BTC to our BitCoin Address and Contact us by eMail with your MySQL server IP Address and a Proof of Payment. Any eMail without your MySQL server IP Address and a Proof of Payment together will be ignored. You are welcome.我：？？？？就不能留下中文？打开有道词典，翻译。对方：我保留了你被删除的库，你需要向我支付0.2个比特币， 才能返还你的数据， 不用客气。我：我没有比特币？对方：site栏有购买比特币的网站，支持支付宝、银行卡等多种方式，不用客气。0.2个比特币，在今天（10月19日）换算成人民币价格（￥35713/币），大约是7100。我心里是有mmp要说的。通过日志，我已经发现对方只是通过暴力破解猜到了我数据库的弱密码（对，就是123456）但是我也保留了对方的ip，来自浙江省湖州市 电信那么大家都是国人，为什么要讲英语？但是，对方也不用屁股想一下。能用弱密码当做登录口令的，里面的数据能有多重要？也许我的服务器只是批量破解的其中一个不过我现在已经重装，密码改成另一个弱口令，对方的ip被我拉黑也许事情已经结束了，也许才刚刚开始且随疾风前行，身后亦需留心