半夜被盗用，请问可能是哪里有问题？

Dooy / chatgpt-web-midjourney-proxy

One UI is all done with chatgpt web, midjourney, gpts,suno,luma,runway,viggle; Simultaneous support Web / PWA / Linux / Win / MacOS platform

https://vercel.ddaiai.com

MIT License

4.63k stars 1.18k forks source link

半夜被盗用，请问可能是哪里有问题？ #151

Closed hkderekliu closed 6 months ago

hkderekliu commented 6 months ago

半夜被盗用，请问可能是哪里有问题？ centos7.8服务器，安装的宝塔，通过nginx反代，只有这一个网站，没其他服务设置了AUTH_SECRET_KEY、HIDE_SERVER 昨晚1点到6点就把我额度盗用完了。

网络日志出现多个这条记录： 23.94.178.81 - - [08/Feb/2024:06:12:48 +0800] ＂POST /openapi/v1/chat/completions HTTP/1.1＂ 428 121 ＂http://www.xxx.com＂＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36＂ 23.94.178.81 - - [08/Feb/2024:06:12:50 +0800] ＂POST /openapi/v1/chat/completions HTTP/1.1＂ 428 121 ＂https://111.111.111.111＂＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36＂

请问可能是什么问题，如何被盗用的

hkderekliu commented 6 months ago

另外，请问可以如何设置网站title不显示：ChatGPT Web Midjourney Proxy，设置不让搜索引擎抓取

Dooy commented 6 months ago

先升级到 v2.15.3 后台也会验证 AUTH_SECRET_KEY

P/1.1＂ 428 121 ＂应该是没费用提醒了吧？

如果中转能禁用的先全部禁用掉，自己想用的时候解除禁用

Dooy commented 6 months ago

另外，请问可以如何设置网站title不显示：ChatGPT Web Midjourney Proxy，设置不让搜索引擎抓取

下面的NGINX 是禁用爬虫的配置

server {
    listen 80;
    server_name  localhost;
    charset utf-8;
    error_page   500 502 503 504  /50x.html;

    # Prevent crawlers from crawling
    if ($http_user_agent ~* "360Spider|JikeSpider|Spider|spider|bot|Bot|2345Explorer|curl|wget|webZIP|qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|NSPlayer|bingbot")
    {
        return 403;
    }

    location /{
            proxy_set_header   X-Real-IP $remote_addr; #Forward user IP
            proxy_pass http://app:3002;
    }

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

hkderekliu commented 6 months ago

谢谢楼上的提供的方法我去google搜了下ChatGPT Web Midjourney Proxy还是能找出来以这架设的网站补充我的费用是在凌晨6点用完的，中间出现多条那个记录 23.94.178.81 - - [08/Feb/2024:04:24:54 +0800] ＂POST /openapi/v1/chat/completions HTTP/1.1＂ 200 30779 ＂https://111.111.111.111＂＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36＂

这是可以绕过网站，直接调用我的api吗？

Dooy commented 6 months ago

其他补交办法就是不要填真的key 进去想用的时候直接在ui端填 base_url 跟key

Dooy commented 6 months ago

谢谢楼上的提供的方法我去google搜了下ChatGPT Web Midjourney Proxy还是能找出来以这架设的网站补充我的费用是在凌晨6点用完的，中间出现多条那个记录 23.94.178.81 - - [08/Feb/2024:04:24:54 +0800] ＂POST /openapi/v1/chat/completions HTTP/1.1＂ 200 30779 ＂https://111.111.111.111＂＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36＂

这是可以绕过网站，直接调用我的api吗？

如果自己用把你站点停了就好想用的时候再开起来

Dooy commented 6 months ago

谢谢楼上的提供的方法我去google搜了下ChatGPT Web Midjourney Proxy还是能找出来以这架设的网站补充我的费用是在凌晨6点用完的，中间出现多条那个记录 23.94.178.81 - - [08/Feb/2024:04:24:54 +0800] ＂POST /openapi/v1/chat/completions HTTP/1.1＂ 200 30779 ＂https://111.111.111.111＂＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36＂

这是可以绕过网站，直接调用我的api吗？

你日志都有了，还是通过我们这个前端来访问api的

hkderekliu commented 6 months ago

我明白了，通过前端改代码就可以了通过这方式发现了三个网站可以，也不知道咋通知他们奇怪是为啥我的站点最快让人盯上

cageqiu commented 6 months ago

我也是一样的，刚刚充完50，一天就被好几个IP的盗用完了。

cageqiu commented 6 months ago

up能否出个教程，我不太会配置，用宝塔搭建的