继前几天帮朋友的一个站阻挡了DDOS攻击后，他的另一个站又遭受了CC攻击。
该站用的是ECSHOP系统，朋友给我截图，底部显示当前在线人数接近3000。待我去访问时，网站已经挂掉，显示：

The table ‘ecs_sessions’ is full…

汗！查了下数据库，ecs_sessions这个表的记录数居然达10多万条之多，清空该表后刷新网站，已能访问。
但不到一分钟，又变得极慢，再查数据库，该表又有了2万多条数据。

ecs_sessions表是ECSHOP用来记录当前在线用户的，每次有新的用户访问，都会将session信息写入该表。这无疑给CC攻击提供了机会，攻击者只要伪造大量用户请求，很快即可使该表爆掉。

查了一分多钟内的数据，约有40多IP在同时发起攻击，每IP的用户数在几百不等。
与上次DDOS攻击的IP对比了下，有不少重复的肉鸡，应该是同一（伙）人所为。

在服务器上（利用.htaccess）将这些IP加入黑名单后，虽然攻击力度有所减弱，但ecs_sessions表的数据还是增长迅速，又有新的肉鸡加入，网站访问越来越慢，迟早还会挂。

这样手动去加黑名单总不是办法，写了个脚本检测攻击和加入黑名单，问题终于搞定！
分享出来，希望对相同遭遇的朋友有所帮助： (»阅读全文…)

一朋友的香港空间昨天挂了，起初是数据库连接出错，后来干脆不能访问了，出现Service Unavailable。

询问空间商，说是：

這個域名是由於有太多的連接連到這域名，已超出這個域名的連線上限，所以才會出現無法顯示或連不到數據庫。這個域名的網站連線限制是 500。

我查了站长统计，发现IP和PV数和以前皆无甚出入。

找空间商要了近两日的空间访问日志，发现前天的日志文件只有22M左右，而昨天的日志（未满24小时）竟达169M，相差甚大。

分析了昨天的日志，发现有500多个不同IP共100多万次访问都是针对 /xxx.asp ，这个页面是产品的详情页面, 而正常情况下，用户是不可能访问到这个页面的，而只能通过其他页面的链接访问到/xxx.asp?id=xxx(必须带ID)。

而恰恰朋友用的这套程序居然没对这种不带ID的情况做处理，直接让数据库查询失败而出错。这样的错误达到一定量必然引起数据库挂掉，后来我修复这个错误后，但随着攻击力度的加大，突破了IIS分配给空间连接数的上限，还是彻底挂掉了。

从技术上分析，这应该算是DDOS攻击，近年常有发生，一些大型网站都屡屡遭殃，这小小的虚拟空间又如何禁受得起？！

今日空间商帮忙更换了IP，我也是灵机一动，想到一个绝妙的办法，竟然可以利用GFW来防御DDOS ： (»阅读全文…)

今天和同事发现一个诡异的问题, 系统邮件发出后, 在Gmail中点击邮件中的链接时,部分链接在IE7/IE8下不能正常访问(IE6正常).
具体为: 不能打开含有分号(;)的链接, 从gmail中点开后分号及以后的内容丢失, 从而出现找不到页面.

初步测试, 发现Gmail在打开链接时, 会由js修改click事件, 将目标链接改为gmail自己的一个中间页, 再在该页做跳转(可能google利用这过程做了一些统计工作吧)
当目标链接地址含有分号(;)时, IE7/8都不能正常跳转, 而其他浏览器却是正常的.

起初以为这是Gmail的Bug, 怀疑google对目标链接用js做了些编码转换,而不同浏览器对这个编码转换支持有差异.

我抓取了跳转页的内容, 其实就一行标准的refresh代码: (»阅读全文…)

1. 打开PUTTYGEN.exe 生成公私密钥。
2. 保存private key在本机（一个.ppk文件），注意此处不要填passprase，我们的目的本就是不想输密码。
3. 复制public key内容，粘贴到服务器你的用户目录下的 .ssh/authorized_keys，没有该文件的话请自行创建。
4. chmod 600 .ssh/authorized_keys
chmod g-w .ssh .ssh/authorized_keys 不改权限可能登不了。
5. 在putty中导入私钥。
相关截图： (»阅读全文…)

自从用上Chrome，在家就很少用Firefox，只是拿它来做些前端开发与调试。

前天发现Godaddy的SSH空间不能翻墙了，又找了另一家的VPS。

分了个SSH账户给朋友用，但他还是上不了Facebook，Twitter也打不开，但Youtube，wikipedia等其他同为GFW黑名单的网站则可以正常访问。

远程帮他试了很久也是不行，后来发现用IE的代理设置则可以。
但IE的代理开关不是很方便，还是想用Firefox的代理来上。
google了一下，说有可能和DNS的劫持有关，修改Firefox的配置即可。试了下，果然可行。

附具体方法：
1. 在Firefox的地址栏输入 about:config
2. Firefox 会有安全警告提示，不管它，点按钮继续
3. 找到“network.proxy.socks_remote_dns”这一项，设为True（默认是False），搞定！

李开复老师自Google离职后，创办了一家“协助中国青年成功创业”的风投公司 — 创新工场。
其网站昨日开始内测，域名为innovation-works.com。
据说还有一双拼的cn（chuangxin.cn）也被李老师拿下，根据whois信息显示，应该不假。
还据说李老师为投资人和创业者省钱，域名和网站都是自己亲自上阵砍价的。
网站是找学生兼职做的，开发设计+一年维护费用只花了7500元。
这显然和李老师的身份和创新工场的定位有点相差太远，呵呵。不过当然，在华强北，300块钱也有人做。
出于好奇，昨天访问了下这个网站，发现竟是asp的，除了收集简历那几页是动态程序外，其他页面均是静态页面。
顺手帮他“内测”了一下，找到一个小漏洞，已发给网站上写的联系邮箱。
今天又有人发现，创新工场的网站设计界面和Sony官网如出一辙，上去围观了一下，果然。
网站模板明显是抄袭自Sony的，截图为证：
(»阅读全文…)

一直对Alexa排名不感冒, 这种统计基本是不靠谱的.
昨天无聊时查了我的几个域名的PR和Alexa排名情况.
有一个域名的返回结果很奇怪:
(»阅读全文…)

前不久收到Dreamhost的邀请：

Hey Honk!

This email is to let you know that you, yes you, have just been invited
to our still-new DreamHost PS (Private Servers) and/or our DreamHost PS
MySQL service!

Check it out at: http://www.dreamhostps.com/

$10/month for every 100MB of memory，免费试用一个星期，听起来貌似还不错，就去提交申请了。
(»阅读全文…)