Loading...

经营homezz遇到的一些问题

Filed under: 互联网事 — 江东 @ 2013-01-07 15:34:13 才(17)条评论

有非常多的人认为,他的网站运行在那里,只要自己没有去动代码,就不会出现资源滥用的情况。所以,一个废弃了一年的站点,被我告知滥用,他一定会认为我是冤枉他了。

上周,遇到一个用户,狂发垃圾邮件,根据日志统计,在一个月内,发了90万封垃圾邮件,由于以前发送不频繁,没有被我的反spam程序监测到。而就在上周五,程序更加猛烈的发垃圾邮件,然后就被监测到了,果断挂起。

这位用户比较通情达理,但是问题在于用户不会检查程序,所以在我给他解除挂起的过程序中,又再一次的发送了2k封垃圾邮件,再次被挂起。如此折腾,我只有临时将25端口禁止,给用户足够的时间,但是就算如此,用户也没有搞定。因为用户根本就不熟悉程序,最后只好给数据,退款给用户,让用户另寻高就。

今天更加悲剧,遇到一个用户,资源占用厉害,最厉害的时候,top满屏都是这个用户的进程,而且cpu统计下来,占有率超过36%,内存更是超过了83%。这对于共享主机,是绝对不能容忍的。

然而不幸的是,第一次挂起用户的账户,告知用户滥用资源,用户不配合检查不说,却认为我们的数据不能令他信服,还说要给证据给我(给证据给我??)?问题是我100%的确定了该用户滥用资源,且有统计的结果,用户都不相信。看在是老用户的份上,我默默的屏蔽了几个恶意刷该用户网站的IP,恢复了一段时间。然后告知用户,希望他能安装缓存插件,给我一个冷冰冰的回复,我认为不需要。

前天,收到脚本告警,提示moon服务器响应缓慢,登陆一看,依然还是该用户,只好再次挂起。再次建议安装缓存插件,再次遭受拒绝。

只要放弃这个用户了,用户续费为年付优惠套餐,因为不到一年,所以当然无法按照优惠来退款,这也导致了用户的疑问。

当我提到协议中说到,滥用主机是不会退款的,用户怒道,协议是你们定的!但是您购买的时候,不是多次提到协议么?既然同意了,而且我中途又没有更改,请问难道自己不应该守信么?当然用户可以愤怒的将退款还给我,说,协议规定,不可退款,我一定会无话可说。

不过好的是,90%的用户,在遇到complain的时候,都是积极的配合,最终都会寻找到原因。

也有其他用户的网站同样被恶意apachebench刷,但是那个用户给的方案是:帮我挂起吧,看他能刷到什么时候。

任何程序都有漏洞,任何网站的用户访问数也不是一成不变的,所以,下次遇到这种情况,还是别用本文开头的那句话来回应吧。

2012 DDoS

Filed under: 互联网事 — 江东 @ 2012-01-05 19:35:57 才(11)条评论

好吧,2012才4天,我的旗下服务器就被DDoS 5次,NULL掉IP 5次

homezz.com 更是被追着DDoS 2次,NULL掉IP 两次。

那位发动主机的“同行”,你不感到羞耻么,一个封闭且需要邀请机制的虚拟主机网站,一个一年盈利一两万边上且业余搞着玩的站点,也值得你费这么大心思来DDoS。宁愿花心思花钱来搞同行,也舍不得用点心做自己的服务,难怪也就做得那么失败了。

D吧,随便了,农民工的活,尽情的玩吧。

加密的md5可以逆向解密么

Filed under: 互联网事 — 江东 @ 2011-12-26 12:51:56 才(8)条评论

最近csdn,天涯,1713密码泄漏传得沸沸扬扬。所以我也在这里写写自己的看法。

我认为,用户一旦注册了某个网站,则表示对某个网站的信任。密码是否加密保存则体现了一个网站对用户的负责态度。

当然,如果网站方能保证你的用户数据库不会被盗,那么就算你明文保存也是没有任何问题的,毕竟用户登陆的时候,输入的密码就是明文(这和传输过程加密否无关),网站方要获取用户的密码那是很容易的事情。而实际上,没有任何一家网站能保证自己的用户数据库不会被泄漏,谁都不能,包括google。因为泄漏的渠道实在太多,至少包括一下几种可能:

  1. 被黑泄漏,这是多数人所理解的泄漏;
  2. 被数据库管理员泄漏;
  3. 被内部员工泄漏;
  4. 被不可抗拒的政治因素泄漏;

在8年前,我还在上大学的时候,帮某人开发一个网站,雇主要求明文保存密码,原因是便于自己查看,我说这没有必要,你要查看,可以在用户登陆的时候获取,没有必要进入数据库查看,明文保存的用户信息,一旦被泄漏,用户就要找你兴师问罪了,最终,该雇主放弃了明文保存密码的要求。

那么常用的md5加密是否真的安全,不是传说有在线可破解md5加密的么?

理论上,md5加密的字符串是不可能反向解密的,而网上的破解md5只是利用有限的库来匹配而已。也就是说该破解系统中已经保存了常用的字符串md5的结果,当你提供的md5在该库中,则可以将原来的字符串给匹配出来。反之,如果原始密码并不常见,那么则是无法反向解密的。

举一个简单的例子,这里提供一个md5之后的字符串:e10adc3949ba59abbe56e057f20f883e,其实他是字符串 123456 md5之后的结果,我们用这个字符串去“http://md5crack.com/crackmd5.php”  点击 点 Crack that hash baby,一定能“破解”得出来原密码。

可能有人会问,如果我的密码比较简单,那用上面的方法就能破解罗?

回答是肯定的,确实如此,但是任何一个网站都不可能白痴到对用户的密码只做简单的md5加密。常规的做法是在加密之前对原始密码做“加盐”处理。打个比方,您的密码是123456,网站程序会预处理处理你的字符串,如添加上你的用户名,添加上一个固定或者随机的字符串,这样在加密之前,你的123456就可能变成了 homezz_123456_cosbeta_2011_12-01_uid=***然后再md5,这个时候md5的结果就是:b699a46b0e15fedb151293a35e002d73, 您再去“http://md5crack.com/crackmd5.php”搜索看看,一定没有。 当然http://md5crack.com/crackmd5.php这个网站可以自学习,只要你输入字符串,做一次md5处理,该网站就会记录下对应关系了。

所以,md5实际上依然是无法反向解密的,除非你遇到了很白痴的站点,直接对简单的密码不做任何处理然后md5加密保存。

最近很多网站用户密码被泄漏出来,天涯,csdn,他们肯定也知道密码要加密保存的道理,但是为啥会明文,我相信每个人的猜测都不一样。

 

 

 

密码保护:预装VPN的VPS系统开发完毕

Filed under: 互联网事 — 江东 @ 2011-10-21 19:18:47 要查看留言请输入您的密码。

这是一篇受密码保护的文章,您需要提供访问密码:

197IP电话不靠谱

Filed under: 互联网事 — 江东 @ 2011-10-10 12:35:42 才(22)条评论

前几天公司来了一个推销197 IP电话的人,说通过197拨打电话长途非常便宜,1毛一分钟。

当我问,你们和电信之间的话费需要用户出么?197IP电话的推销人员说不用,他们自己和电信结算,对于用户来说,不需要再次加收市话接入费用的。

于是,我用电信的座机拨打197,然后接入了广州的长途,拨打几分钟之后,查询电信的余额,果然没有少,于是就认为这个197IP电话很靠谱,不是骗人的,实际上,我发现,我还是被骗了。因为现在我无法拨通197了!没有任何提示,没有话费用完的提示,而且那只是一个传真机,最保守的估计,都不可能这么快用完。

短期开通,随后不可用,197IP电话就是一个骗局。

还是直接电信的17951 17909靠谱,贵就贵点吧

无辜中枪 被hostloc的论坛用户DDoS

Filed under: 互联网事 — 江东 @ 2011-09-20 17:34:55 才(28)条评论

昨晚,linode推出日本机房的vps,一时间网上议论纷纷。

linode的用户纷纷要求迁移到日本东京机房,没有linode有信用卡的用户纷纷下手注册。

没有linode也没信用卡的用户只有观望,或者需求商家代购。

商家代购的盈利方式很简单,代购一次就有20usd的推介入账。

于是有人在hostloc论坛上发了一个帖子(我曾经注册过这个论坛,后来注销了账户,原因相信很多人都知道),说我的vps.homezz.com提供自动代购。

这下让那些做代购的郁闷了,马上开动肉鸡,对我的网站发动ddos攻击,inbound 1G左右的流量,网站很快就不可用了。

没辙,只好对ip做了null route处理。

我不知道某些国人是什么心态,任何一个行业,竞争对手千千万万,最好的打击竞争对手的方式是做好自己的产品。花钱买肉鸡干体力活的ddos能对你的业务有所帮助?

我这个代购,本无任何盈利,然而也被视为眼中钉。

但是问题是,你攻击了我,花钱买了肉鸡,你能得到啥好处,帮你的其他竞争对手赢取更多的客户,你顺便分一点,这是不是很不划算?这么简单的道理,竟然都不明白?

损人不利己的事情,为什么还有人要做?

好吧,任何东西都无下限的,我还能说什么呢?

 

ns污染万岁!dns屏蔽万岁

Filed under: 互联网事 — 江东 @ 2011-08-28 21:40:08 才(18)条评论

最近,部分朋友反应网站无法反应,经过我们查证,原因基本都一样,那就是用户的域名在国内无法解析。

所以,解决的办法只有一个,让你的域名正常解析。

由于部分朋友不懂dns和主机的关系,所以我这里继续做一个简单的解释。

当我们访问某个网站,如homezz.com,电脑首先是将这个域名转换成IP来访问,如果该域名无法转换成IP,或者转换成了错误的IP(中国这个无耻的国度特有官方dns污染会导致此现象),就算服务器正常你也无法访问,因为,域名的错误解析没有正确的将电脑引导到正确的服务器上去。

域名的解析(将域名转换成IP地址)是由DNS服务器来完成,比如你的域名在goaddy注册,默认情况,ns就是godaddy提供的ns。一旦中国的wall将其屏蔽,则国内就无法获取域名的解析结果。

就目前中国倒退的互联网发展趋势来看,任何国外的dns服务器都可能被间歇的屏蔽。所以,部分用户将域名解析到ns1.homezz.net一样也会面临网站间歇无法访问,特别是非电信的的网络,对此屏蔽更加疯狂。

那么到底要怎么办才好?

1.将域名的ns修改到国内,如dnspod。但是由于是在国内,我猜想将来的某一天,也是必须备案的域名才能解析;

2.淡定。都这样了,你除了淡定,还能怎样呢?目前我个人是采用的此种方法。你生在这个国度都能淡定,还有什么不能淡定的。

月饼万税。

oh,局域网也万岁。

再谈图床

Filed under: 互联网事 — 江东 @ 2011-08-17 16:48:46 才(16)条评论

早些时间,我开发了一个基于s3的图床,所有的图片都存在amazon S3云端,虽然成本比较高,但是这样可以保证文件的高可靠。

该图床支持web批量上传,也支持域名绑定,同时还用了几个vps作为分发,这样s3的流量全部用vps分担了。

但是有用户又有新的需求,说需要支持ftp,便于wordpress离线发布。

还说需要支持ssh,可以打包压缩转移;

又说要支持防盗链支持;

于是,我觉得还不如采用方案:

  1. 用户需要廉价的存储,所以放弃s3,用vps->独立服务器存储文件;
  2. 需要数据可靠,则用需要用不同服务器异地增量备份;
  3. 需要支持ftp,所以要提供ftp server;
  4. 需要http引用,需要服务器装上apache ,然后根据用户绑定的域名,为该用户建立vhost
那么,现在根据这个需求,衍生出了下面的一个服务,该服务有以下特性:
  1. 注册时可选机房,当然,每一年可搬家几次;
  2. 大容量的存储和大容量的流量(参见后面的配置);
  3. 用户可以绑定域名到系统指定目录,ftp传到该目录下的文件均可以通过绑定的域名http访问;
  4. 支持ssh登录,便于打包搬移,便于查看web和ftp日志;
配置大体如下:
套餐 A B C D E F
存储 5G 10G 20G 50G 100G 1000G
月流量 100G 200G 400G 1000G 2000G 20000G
年付价格 ¥100.00 ¥200.00 ¥300.00 ¥1000.00 ¥2000.00 ¥20000.00
实时开通 professional online FTP storage service Instant Setup professional online FTP storage service Instant Setup professional online FTP storage service Instant Setup professional online FTP storage service Instant Setup professional online FTP storage service Instant Setup professional online FTP storage service Instant Setup
FTP professional online FTP storage service FTP Access professional online FTP storage service FTP Access professional online FTP storage service FTP Access professional online FTP storage service FTP Access professional online FTP storage service FTP Access professional online FTP storage service FTP Access
 HTTP访问/.htaccess防盗链支持 professional online FTP storage service Public HTTP Access professional online FTP storage service Public HTTP Access professional online FTP storage service Public HTTP Access professional online FTP storage service Public HTTP Access professional online FTP storage service Public HTTP Access professional online FTP storage service Public HTTP Access
SSH professional online FTP storage service SSH Access professional online FTP storage service SSH Access professional online FTP storage service SSH Access professional online FTP storage service SSH Access professional online FTP storage service SSH Access professional online FTP storage service SSH Access
自定义域名 professional online FTP storage service Addon Domain professional online FTP storage service Addon Domain professional online FTP storage service Addon Domain professional online FTP storage service Addon Domain professional online FTP storage service Addon Domain professional online FTP storage service Addon Domain

上面的价格只是一个初步的想法,看看各位潜在的用户有什么其他的要求,比如价格等等方面的,欢迎大家踊跃留言。

补充:

  1. 关于API,因为ftp是知名的协议,所以其实不需要api即可方便程序开发,不过我可能会为此开发一个插件