Bot 与 Test .env 清理清单:上线前移除测试密钥和演示路由
当日志出现 /bot/.env、/test/.env、demo/test 路由探测时,用防御清单清理旧机器人密钥、测试配置、演示入口和日志里的敏感字段。
购买安全加固 ZIP(USDT 自动交付)查看 ClawSkills 安全包说明返回模板商店
边界:仅限站点所有者防御、日志复盘、配置加固和无害验证;不提供漏洞利用、扫描自动化、凭据获取或收益承诺。
为什么要处理这个日志信号
即使请求最终是 404,持续出现的配置/环境文件探测也说明公开站点正在被通用扫描器枚举。把它转成可索引的防御页,可以同时教育真实访客并导向自动交付模板包。
建议优先级
- 把 Telegram/Discord/交易所/AI API bot 的 token 从项目目录迁到 root-only env 文件或 systemd EnvironmentFile。
- 删除公开 test/demo 目录,保留内部 staging 域名或本机回环访问。
- 为机器人日志加脱敏:不写完整 token、chat id、用户输入、钱包地址或支付回调 secret。
- 如果仓库或站点曾公开过测试密钥,按服务商文档轮换,而不是只删除文件。
可购买模板包包含什么
Nginx/OpenResty deny 片段、Cloudflare Worker 安全头、.env/API key 保护清单、日志脱敏中间件、事故响应 checklist 和验证命令。
常见问题
能用于币圈/AI bot 吗?
可以,但只做安全加固和内容/工具站运营,不提供交易建议、刷量或灰产代理。
买包后自动交付吗?
DontCallMePretty 的 USDT checkout 会生成精确 TRC20 金额,确认后自动解锁 ZIP。
是否保证收益?
不保证。页面目标是把已有安全需求转成可购买模板包,同时降低站点风险。