好吧，2012才4天，我的旗下服务器就被DDoS 5次，NULL掉IP 5次

homezz.com 更是被追着DDoS 2次，NULL掉IP 两次。

那位发动主机的“同行”，你不感到羞耻么，一个封闭且需要邀请机制的虚拟主机网站，一个一年盈利一两万边上且业余搞着玩的站点，也值得你费这么大心思来DDoS。宁愿花心思花钱来搞同行，也舍不得用点心做自己的服务，难怪也就做得那么失败了。

D吧，随便了，农民工的活，尽情的玩吧。

最近csdn，天涯，1713密码泄漏传得沸沸扬扬。所以我也在这里写写自己的看法。

我认为，用户一旦注册了某个网站，则表示对某个网站的信任。密码是否加密保存则体现了一个网站对用户的负责态度。

当然，如果网站方能保证你的用户数据库不会被盗，那么就算你明文保存也是没有任何问题的，毕竟用户登陆的时候，输入的密码就是明文（这和传输过程加密否无关），网站方要获取用户的密码那是很容易的事情。而实际上，没有任何一家网站能保证自己的用户数据库不会被泄漏，谁都不能，包括google。因为泄漏的渠道实在太多，至少包括一下几种可能：

1. 被黑泄漏，这是多数人所理解的泄漏；
2. 被数据库管理员泄漏；
3. 被内部员工泄漏；
4. 被不可抗拒的政治因素泄漏；

在8年前，我还在上大学的时候，帮某人开发一个网站，雇主要求明文保存密码，原因是便于自己查看，我说这没有必要，你要查看，可以在用户登陆的时候获取，没有必要进入数据库查看，明文保存的用户信息，一旦被泄漏，用户就要找你兴师问罪了，最终，该雇主放弃了明文保存密码的要求。

那么常用的md5加密是否真的安全，不是传说有在线可破解md5加密的么？

理论上，md5加密的字符串是不可能反向解密的，而网上的破解md5只是利用有限的库来匹配而已。也就是说该破解系统中已经保存了常用的字符串md5的结果，当你提供的md5在该库中，则可以将原来的字符串给匹配出来。反之，如果原始密码并不常见，那么则是无法反向解密的。

举一个简单的例子，这里提供一个md5之后的字符串：e10adc3949ba59abbe56e057f20f883e，其实他是字符串 123456 md5之后的结果，我们用这个字符串去“http://md5crack.com/crackmd5.php”  点击 点 Crack that hash baby，一定能“破解”得出来原密码。

可能有人会问，如果我的密码比较简单，那用上面的方法就能破解罗？

回答是肯定的，确实如此，但是任何一个网站都不可能白痴到对用户的密码只做简单的md5加密。常规的做法是在加密之前对原始密码做“加盐”处理。打个比方，您的密码是123456，网站程序会预处理处理你的字符串，如添加上你的用户名，添加上一个固定或者随机的字符串，这样在加密之前，你的123456就可能变成了 homezz_123456_cosbeta_2011_12-01_uid=***然后再md5，这个时候md5的结果就是：b699a46b0e15fedb151293a35e002d73, 您再去“http://md5crack.com/crackmd5.php”搜索看看，一定没有。 当然http://md5crack.com/crackmd5.php这个网站可以自学习，只要你输入字符串，做一次md5处理，该网站就会记录下对应关系了。

所以，md5实际上依然是无法反向解密的，除非你遇到了很白痴的站点，直接对简单的密码不做任何处理然后md5加密保存。

最近很多网站用户密码被泄漏出来，天涯，csdn，他们肯定也知道密码要加密保存的道理，但是为啥会明文，我相信每个人的猜测都不一样。

前几天公司来了一个推销197 IP电话的人，说通过197拨打电话长途非常便宜，1毛一分钟。

当我问，你们和电信之间的话费需要用户出么？197IP电话的推销人员说不用，他们自己和电信结算，对于用户来说，不需要再次加收市话接入费用的。

于是，我用电信的座机拨打197，然后接入了广州的长途，拨打几分钟之后，查询电信的余额，果然没有少，于是就认为这个197IP电话很靠谱，不是骗人的，实际上，我发现，我还是被骗了。因为现在我无法拨通197了！没有任何提示，没有话费用完的提示，而且那只是一个传真机，最保守的估计，都不可能这么快用完。

短期开通，随后不可用，197IP电话就是一个骗局。

还是直接电信的17951 17909靠谱，贵就贵点吧

昨晚，linode推出日本机房的vps，一时间网上议论纷纷。

有linode的用户纷纷要求迁移到日本东京机房，没有linode有信用卡的用户纷纷下手注册。

没有linode也没信用卡的用户只有观望，或者需求商家代购。

商家代购的盈利方式很简单，代购一次就有20usd的推介入账。

于是有人在hostloc论坛上发了一个帖子（我曾经注册过这个论坛，后来注销了账户，原因相信很多人都知道），说我的vps.homezz.com提供自动代购。

这下让那些做代购的郁闷了，马上开动肉鸡，对我的网站发动ddos攻击，inbound 1G左右的流量，网站很快就不可用了。

没辙，只好对ip做了null route处理。

我不知道某些国人是什么心态，任何一个行业，竞争对手千千万万，最好的打击竞争对手的方式是做好自己的产品。花钱买肉鸡干体力活的ddos能对你的业务有所帮助？

我这个代购，本无任何盈利，然而也被视为眼中钉。

但是问题是，你攻击了我，花钱买了肉鸡，你能得到啥好处，帮你的其他竞争对手赢取更多的客户，你顺便分一点，这是不是很不划算？这么简单的道理，竟然都不明白？

损人不利己的事情，为什么还有人要做？

好吧，任何东西都无下限的，我还能说什么呢？

早些时间，我开发了一个基于s3的图床，所有的图片都存在amazon S3云端，虽然成本比较高，但是这样可以保证文件的高可靠。

该图床支持web批量上传，也支持域名绑定，同时还用了几个vps作为分发，这样s3的流量全部用vps分担了。

但是有用户又有新的需求，说需要支持ftp，便于wordpress离线发布。

还说需要支持ssh，可以打包压缩转移；

又说要支持防盗链支持；

于是，我觉得还不如采用方案：

1. 用户需要廉价的存储，所以放弃s3，用vps->独立服务器存储文件；
2. 需要数据可靠，则用需要用不同服务器异地增量备份；
3. 需要支持ftp，所以要提供ftp server；
4. 需要http引用，需要服务器装上apache ，然后根据用户绑定的域名，为该用户建立vhost

套餐	A	B	C	D	E	F
存储	5G	10G	20G	50G	100G	1000G
月流量	100G	200G	400G	1000G	2000G	20000G
年付价格	¥100.00	¥200.00	¥300.00	¥1000.00	¥2000.00	¥20000.00
实时开通
FTP
HTTP访问/.htaccess防盗链支持
SSH
自定义域名

上面的价格只是一个初步的想法，看看各位潜在的用户有什么其他的要求，比如价格等等方面的，欢迎大家踊跃留言。

补充：

1. 关于API，因为ftp是知名的协议，所以其实不需要api即可方便程序开发，不过我可能会为此开发一个插件

上周开始，有用户抱怨主机不稳定，说刷新几次都无法访问了，而每当用户反馈这个问题的时候，我却能打开用户的站点。并且登录到服务器看日志，httpd也没有任何宕机的记录，所以按道理说一定就是用户网络的问题，毕竟中国的网络已经被那个狗日的校长干扰得不成样子了。

后来，依然有用户陆续反应这个问题，而问题集中在fremont机房的服务器，再加上我家的小区宽带会莫名其妙的无法访问fremont的机房我所有的服务器，于是，又归咎于网络的问题，当然实际上有部分也是因为网络问题导致。

昨晚，casparant同学提交了有问必答，同样遇到了这个怪异的问题，就是当自己无法访问的时候，换一个ip却可以访问，并且根据我的要求给出了tracert的结果。

另外，casparant还提供了一个有用的信息，那就是他用homezz自动数据转移功能换了几个服务器，换了不同的机房，这个问题依然存在。这个时候我意识到，问题应该是服务器防火墙导致。

然后我在电脑上用ab做并发连接测试，发现果然IP被临时屏蔽，基本可以肯定是我的那个防火墙脚本导致。

原来，当初调试防火墙脚本的时候，将并发的ip限制设置成30。也就是某个ip对服务器的并发连接数超过了30，则服务器认为是攻击行为，便临时屏蔽该ip 5分钟。所以用户刷新网页频繁的时候，很容易就超过30，于是服务器就对此ip做了屏蔽，该用户就无法访问他的站点，而这个时候，其他IP是可以正常访问的。

现在我将这个限制提高了10倍左右，也就是说正常的单IP对服务器的访问并发基本不会超过300，超过，也有刷流量的嫌疑了，目前看来，问题已经解决。

为什么要写这个防火墙脚本？

某日，有用户告知他的流量迅速被某个单独的ip给刷完了，希望给出一个解决方案，所以我们写了这个防火墙的脚本，

但是上周安装这个脚本的时候，忘记修改初始值了，所以导致管理员管理网站多次刷新的时候，IP被加入了防火墙。不过这对其他用户其实基本没有影响（也可能有，不过很小）

该死的功夫网，粗心的某人，为解决次问题走了不少弯路啊