別忘記 忘記密碼 測試 同樣后臺有記錄

簡單 密碼 如 111111 等才有可能與非法IP有關

但不會單獨測試一個用戶名

你的圖片見的 只是會員忘記密碼嘗試而已

與非法IP嘗試爆破密碼無關

DISCUZ登陸限制IP繞過
https://www.jianshu.com/p/8edca45ea4c5
偽造ip撞庫登錄 有什么好辦法禁止嗎
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IFP4G
DZ論壇爆破工具 V1.2.1 免費正式版
https://www.jb51.net/softs/611268.html
Discuz論壇自動爆破工具原理分析
https://www.freebuf.com/articles/web/68002.html

看來是歷史問題了，好像還沒有好的解決方案。

沒有開通uid登錄。

后臺  關閉  UID 登錄

通知用戶強化密碼

三個月沒上線  后臺設定鎖定用戶

即可

source/class/discuz/discuz_application.php中有個獲取IP的函數, 執行修改去掉clent-ip和x-forwarded-for設置ip這句,只以addr作為用戶真實IP

如果你加了CDN或負載均衡的話, 要自己另外寫代碼, 只以x-forwarded-for倒數第1個作為用戶真實IP(目前DZ原始是以第1個作為真實IP來判斷的,肯定別人是可以隨便偽造, 與IP是否合法無關, 因為別人也可以隨便設置成1.1.1.1,2.2.2.2這種正常IP的,只是你沒發現罷了)

DZ配置文件里已經加了：

1. $_config['security']['onlyremoteaddr']                = 1;

復制代碼

還是不行。