homezz.com 更是被追着DDoS 2次，NULL掉IP 两次。

那位发动主机的“同行”，你不感到羞耻么，一个封闭且需要邀请机制的虚拟主机网站，一个一年盈利一两万边上且业余搞着玩的站点，也值得你费这么大心思来DDoS。宁愿花心思花钱来搞同行，也舍不得用点心做自己的服务，难怪也就做得那么失败了。

D吧，随便了，农民工的活，尽情的玩吧。

我认为，用户一旦注册了某个网站，则表示对某个网站的信任。密码是否加密保存则体现了一个网站对用户的负责态度。

当然，如果网站方能保证你的用户数据库不会被盗，那么就算你明文保存也是没有任何问题的，毕竟用户登陆的时候，输入的密码就是明文（这和传输过程加密否无关），网站方要获取用户的密码那是很容易的事情。而实际上，没有任何一家网站能保证自己的用户数据库不会被泄漏，谁都不能，包括google。因为泄漏的渠道实在太多，至少包括一下几种可能：

1. 被黑泄漏，这是多数人所理解的泄漏；
2. 被数据库管理员泄漏；
3. 被内部员工泄漏；
4. 被不可抗拒的政治因素泄漏；

在8年前，我还在上大学的时候，帮某人开发一个网站，雇主要求明文保存密码，原因是便于自己查看，我说这没有必要，你要查看，可以在用户登陆的时候获取，没有必要进入数据库查看，明文保存的用户信息，一旦被泄漏，用户就要找你兴师问罪了，最终，该雇主放弃了明文保存密码的要求。

那么常用的md5加密是否真的安全，不是传说有在线可破解md5加密的么？

理论上，md5加密的字符串是不可能反向解密的，而网上的破解md5只是利用有限的库来匹配而已。也就是说该破解系统中已经保存了常用的字符串md5的结果，当你提供的md5在该库中，则可以将原来的字符串给匹配出来。反之，如果原始密码并不常见，那么则是无法反向解密的。

举一个简单的例子，这里提供一个md5之后的字符串：e10adc3949ba59abbe56e057f20f883e，其实他是字符串 123456 md5之后的结果，我们用这个字符串去“http://md5crack.com/crackmd5.php”  点击 点 Crack that hash baby，一定能“破解”得出来原密码。

可能有人会问，如果我的密码比较简单，那用上面的方法就能破解罗？

回答是肯定的，确实如此，但是任何一个网站都不可能白痴到对用户的密码只做简单的md5加密。常规的做法是在加密之前对原始密码做“加盐”处理。打个比方，您的密码是123456，网站程序会预处理处理你的字符串，如添加上你的用户名，添加上一个固定或者随机的字符串，这样在加密之前，你的123456就可能变成了 homezz_123456_cosbeta_2011_12-01_uid=***然后再md5，这个时候md5的结果就是：b699a46b0e15fedb151293a35e002d73, 您再去“http://md5crack.com/crackmd5.php”搜索看看，一定没有。 当然http://md5crack.com/crackmd5.php这个网站可以自学习，只要你输入字符串，做一次md5处理，该网站就会记录下对应关系了。

所以，md5实际上依然是无法反向解密的，除非你遇到了很白痴的站点，直接对简单的密码不做任何处理然后md5加密保存。

最近很多网站用户密码被泄漏出来，天涯，csdn，他们肯定也知道密码要加密保存的道理，但是为啥会明文，我相信每个人的猜测都不一样。

这是一篇受密码保护的文章。您需要提供访问密码：

密码：

当我问，你们和电信之间的话费需要用户出么？197IP电话的推销人员说不用，他们自己和电信结算，对于用户来说，不需要再次加收市话接入费用的。

于是，我用电信的座机拨打197，然后接入了广州的长途，拨打几分钟之后，查询电信的余额，果然没有少，于是就认为这个197IP电话很靠谱，不是骗人的，实际上，我发现，我还是被骗了。因为现在我无法拨通197了！没有任何提示，没有话费用完的提示，而且那只是一个传真机，最保守的估计，都不可能这么快用完。

短期开通，随后不可用，197IP电话就是一个骗局。

还是直接电信的17951 17909靠谱，贵就贵点吧

有linode的用户纷纷要求迁移到日本东京机房，没有linode有信用卡的用户纷纷下手注册。

没有linode也没信用卡的用户只有观望，或者需求商家代购。

商家代购的盈利方式很简单，代购一次就有20usd的推介入账。

于是有人在hostloc论坛上发了一个帖子（我曾经注册过这个论坛，后来注销了账户，原因相信很多人都知道），说我的vps.homezz.com提供自动代购。

这下让那些做代购的郁闷了，马上开动肉鸡，对我的网站发动ddos攻击，inbound 1G左右的流量，网站很快就不可用了。

没辙，只好对ip做了null route处理。

我不知道某些国人是什么心态，任何一个行业，竞争对手千千万万，最好的打击竞争对手的方式是做好自己的产品。花钱买肉鸡干体力活的ddos能对你的业务有所帮助？

我这个代购，本无任何盈利，然而也被视为眼中钉。

但是问题是，你攻击了我，花钱买了肉鸡，你能得到啥好处，帮你的其他竞争对手赢取更多的客户，你顺便分一点，这是不是很不划算？这么简单的道理，竟然都不明白？

损人不利己的事情，为什么还有人要做？

好吧，任何东西都无下限的，我还能说什么呢？

最近，部分朋友反应网站无法反应，经过我们查证，原因基本都一样，那就是用户的域名在国内无法解析。

所以，解决的办法只有一个，让你的域名正常解析。

由于部分朋友不懂dns和主机的关系，所以我这里继续做一个简单的解释。

当我们访问某个网站，如homezz.com，电脑首先是将这个域名转换成IP来访问，如果该域名无法转换成IP，或者转换成了错误的IP（中国这个无耻的国度特有官方dns污染会导致此现象），就算服务器正常你也无法访问，因为，域名的错误解析没有正确的将电脑引导到正确的服务器上去。

域名的解析（将域名转换成IP地址）是由DNS服务器来完成，比如你的域名在goaddy注册，默认情况，ns就是godaddy提供的ns。一旦中国的wall将其屏蔽，则国内就无法获取域名的解析结果。

就目前中国倒退的互联网发展趋势来看，任何国外的dns服务器都可能被间歇的屏蔽。所以，部分用户将域名解析到ns1.homezz.net一样也会面临网站间歇无法访问，特别是非电信的的网络，对此屏蔽更加疯狂。

那么到底要怎么办才好？

1.将域名的ns修改到国内，如dnspod。但是由于是在国内，我猜想将来的某一天，也是必须备案的域名才能解析；

2.淡定。都这样了，你除了淡定，还能怎样呢？目前我个人是采用的此种方法。你生在这个国度都能淡定，还有什么不能淡定的。

月饼万税。

oh，局域网也万岁。

该图床支持web批量上传，也支持域名绑定，同时还用了几个vps作为分发，这样s3的流量全部用vps分担了。

但是有用户又有新的需求，说需要支持ftp，便于wordpress离线发布。

还说需要支持ssh，可以打包压缩转移；

又说要支持防盗链支持；

于是，我觉得还不如采用方案：

1. 用户需要廉价的存储，所以放弃s3，用vps->独立服务器存储文件；
2. 需要数据可靠，则用需要用不同服务器异地增量备份；
3. 需要支持ftp，所以要提供ftp server；
4. 需要http引用，需要服务器装上apache ，然后根据用户绑定的域名，为该用户建立vhost

套餐	A	B	C	D	E	F
存储	5G	10G	20G	50G	100G	1000G
月流量	100G	200G	400G	1000G	2000G	20000G
年付价格	¥100.00	¥200.00	¥300.00	¥1000.00	¥2000.00	¥20000.00
实时开通
FTP
HTTP访问/.htaccess防盗链支持
SSH
自定义域名

上面的价格只是一个初步的想法，看看各位潜在的用户有什么其他的要求，比如价格等等方面的，欢迎大家踊跃留言。

补充：

1. 关于API，因为ftp是知名的协议，所以其实不需要api即可方便程序开发，不过我可能会为此开发一个插件

后来，依然有用户陆续反应这个问题，而问题集中在fremont机房的服务器，再加上我家的小区宽带会莫名其妙的无法访问fremont的机房我所有的服务器，于是，又归咎于网络的问题，当然实际上有部分也是因为网络问题导致。

昨晚，casparant同学提交了有问必答，同样遇到了这个怪异的问题，就是当自己无法访问的时候，换一个ip却可以访问，并且根据我的要求给出了tracert的结果。

另外，casparant还提供了一个有用的信息，那就是他用homezz自动数据转移功能换了几个服务器，换了不同的机房，这个问题依然存在。这个时候我意识到，问题应该是服务器防火墙导致。

然后我在电脑上用ab做并发连接测试，发现果然IP被临时屏蔽，基本可以肯定是我的那个防火墙脚本导致。

原来，当初调试防火墙脚本的时候，将并发的ip限制设置成30。也就是某个ip对服务器的并发连接数超过了30，则服务器认为是攻击行为，便临时屏蔽该ip 5分钟。所以用户刷新网页频繁的时候，很容易就超过30，于是服务器就对此ip做了屏蔽，该用户就无法访问他的站点，而这个时候，其他IP是可以正常访问的。

现在我将这个限制提高了10倍左右，也就是说正常的单IP对服务器的访问并发基本不会超过300，超过，也有刷流量的嫌疑了，目前看来，问题已经解决。

为什么要写这个防火墙脚本？

某日，有用户告知他的流量迅速被某个单独的ip给刷完了，希望给出一个解决方案，所以我们写了这个防火墙的脚本，

但是上周安装这个脚本的时候，忘记修改初始值了，所以导致管理员管理网站多次刷新的时候，IP被加入了防火墙。不过这对其他用户其实基本没有影响（也可能有，不过很小）

该死的功夫网，粗心的某人，为解决次问题走了不少弯路啊

有同学认为百度很优秀，有很多优秀的东西，因为他在里面实习过，有调查就有发言权。这点我承认，作为这么大的一个公司，必然有优秀的员工，所以百度的员工从来就不应该是讨伐的对象，特别是百度的技术员工更是不应该为百度挡枪，实际上，网络上也认识一些百度的员工，他们也如homezz的qq群中提到的那样优秀。

不过我的看法依然是百度很烂，很流氓很无赖。正是由于他这个特点的存在，所以他才能在我朝存在，而且越来越强大。

百度的销售总会不断的给我电话，而每次给我电话的时候我都要看看我的网站访问来源，结果都是来自百度搜索的总会排在最后一位，所以我就问对方，我网站的访问来源，连已经退出中国的google都比你百度要多，我为什么要相信你能给我带来推广效果？

转入正题，下面就我所了解的情况来对比一下google和百度的广告显示的区别。

排名：

百度的销售人员说，他们的排名是标准的竞价排名，就是谁给的钱多，谁就能排在最前面。

google的排名当然也和价格相关，但是google还有一个指标，那就是关键字的质量。比如你关键字是旅游，实际的页面显示的却是汽车，那么这样的关键字的质量就不高，就算价格再高，也未必能排到前面。

从这一点来说，google的广告就是一个良性规则，质量高的关键词排名在前是一个双赢的选择。对于商家来说，访客点击了精准的关键词，转化率才高，因为访客需要的就是他想点击的东西。对于访客来说，google的广告很准确，因为点进去的就是自己想找的，也大大的为广告受方节约了时间。

展示方式：

以前有50%的概率用百度，直到某年央视曝光百度的医药推广之后，我才发现，原来自然搜索的结果中居然隐藏着推广广告，这些广告和自然搜索结果唯一的区别在于那个非常容易被忽略的推广二字。广告 和自然搜索结果之间没有颜色差异，没有底色差异。

google的广告非常的明显，任何一个正常的人都能区分广告和自然搜索结果。

在我朝，也许百度的方式是更加适合，因为广告就是靠骗，夸张来获取效果。实际上个人觉得，让用户知道这是一个广告，无论从商业和道德上讲，都是合情合理的。道德上咱们不敢表，单从商业的角度说，广告投放者不希望他的广告被误点，因为这给广告投放者和广告浏览者都没有任何好处，唯一能获利的就是广告商，如果广告投放者投放的广告一大部分都被广告商给骗走了，请问这还是合格的广告商家么？当然，如果这家广告商一家独大，广告投放者就无法选择。

有人说，这是市场选择的结果。

市场选择的结果？若无政治干预，你真的相信会是这个结果？

或许，对于多数天真的人们，这真是市场选择的结果，中国特色市场选择的结果。

PayPal recently received a Temporary Restraining Order (“Order”) concerninga lawsuit filed in the United States District Court for the SouthernDistrict of New York, relating to the sale of counterfeit goods bearingtrademarks including THE NORTH FACE and POLO RALPH LAUREN. The Orderrequires that your account and current balance be temporarily restrained(locked) until PayPal is advised otherwise by the Court.  It is ourunderstanding that you have been or will soon be served with a copy of thisOrder.

接下来，收件箱中同时收到标题为：The North Face Apparel Corp. and PRL USA Holdings, Inc. v. Fujian Sharing, et al., Civil Action No. 10-Civ-1630 (AKH)的邮件。

我仔细看了看，意思就是我网站在销售侵权的东西，所以paypal的收入自然也非法，于是将我的账户禁止。

然后在互联网上搜索了一下The North Face Apparel Corp. and PRL USA Holdings ，发现这和我毫无相关，我根本没有在互联网上卖过服装，我卖的只是虚拟产品，而且也不可能违反美国的法律，怎么就这么给我禁止了。

百思不得其解，遂回复了邮件，告知对方，我根本不卖实体产品，问他们是不是搞错了，同时也给paypal电话和邮件，澄清此情况。

很快paypal给了回复：您的账户是依照美国地区法院纽约南区法院的指令而被限制(冻结)。如果您需要询问更多关于该法院指令的信息，请您联系原告代理人RoxanneElings(elingsr@gtlaw.com)，并建议您与您的律师取得联系。

那么没有办法，只好等对方回答了。

第二天没有回信，于是又给对方发了一封邮件，强烈要求对方告知pp，要求恢复我的帐号，并且告知对方我仅仅销售虚拟产品，和他们的产品毫无关系。

这个时候我突然想到，最有可能的就是有仿牌的用户在我这里注册了域名，而没有修改whois信息，于是默认的whois信息就成了我的email地址了，所以对方就认为这个站点是归我所有。

一定是这个原因了。

第三天，对方的律师回信了，说他在外办公，有事情电话联系，他的助理会协助处理此事。于是将邮件抄送给他的助理。

今天，对方的助理回信了，说已经发信给pp要求激活我的账户了。

联系pp，pp告知，要等对方律师的邮件才可以，这怎么办，只有再次要求对方律师亲自发邮件，而不是助理发。

然后就耐心的等待了……

教训：千万不要用常用的email地址做paypal账户，我的教训，你看到了？！

更新：经过多次交涉，现在对方律师已经要求paypal解除限制，至此，我的paypal已经解封