Archive for the ‘网站建设’ Category

很久很久没有关注网络安全方面的信息了，偶然看到乌云被关了，于是看了下乌云的微博，看到了这个漏洞，本地测试了下无力巨大，找了个目标进行了测试可能数据量不够效果不明显。

攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求头, 并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表.
Read more

CSDN600W用户数据泄露，人人网500W用户数据泄露，最近接连的黑客泄露用户名信息的发生，也许有人会鄙夷那些黑客的毫无道德，也许有人会困惑为何黑客会如此短时间内泄露如此多的数据呢？

几百万数据的窃取无论从数据量还是时间跨度来看都非常专业，黑客完全不必公开这些数据去黑市卖一个好价格。在这个是简单发生这么一件事，所有的真相直指一件事情——网络实名制。在世界上唯一实行“互联网实名制”的韩国，所有大网站都要求用户用真实姓名和身份证号码进行注册。结果，2011年7月，韩国发生了前所未有的信息外泄案件。韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄。泄露的用户信息非常详尽，包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。该案件涉及面广，几乎牵涉到了所有韩国网民。

想象一下，如果中国互联网业实行了网络实名制，那么这次大规模泄露事件将是何等恐怖？最近在Twitter上已经公布了中国互联网网络实名制的技术方案，预计明年将会正式开始。而正在这时，中国的黑客用自己的方式警告当局者——千万别一意孤行，否则后果不堪设想。

文章写得有点晚，漏洞是前几天看到的。

漏洞大致情况是在人人网发布日志的时候，在插入图片地址的地方放入人人网登出连接。（如果想做点修饰的话，可以把地址转化为短地址），然后发表日志。所有浏览了该日志的用户全部都自动登出了。

我刚测了不到半小时，想看看还有什么其他的利用价值的时候，漏洞就被补上了。如果把地址换成新浪微博的登出地址，浏览后新浪微博也同样会被登出，应该请求图片的时候，访问了那个地址，把session给清空了，但其他操作都不能执行。

《nginx下Fastcgi解决挂起卡死》和《webbench对nginx进行压力测试》两篇文章中提到智力网站晒晒IQ网经常出现服务器挂起的情况。将服务器切换到apache，问题还是依旧。服务器使用的双核CPU，lovelucy发现其中一个CPU一直保持在100%，重启MYSQL后，情况稍好，但过了一会儿一个CPU又保持在100%。登录到mysql

/usr/local/mysql/bin/mysql -u用户名 -p密码

show processlist;

Read more

晒晒IQ网博客原本使用apache，最近改为了nginx。使用了一段时间发现，有部分附件无法上传。主要状况是图片全部都可以上传，但是部分FLASH文件却无法上传。出现http 错误，如图。
Read more

在《nginx下Fastcgi解决挂起卡死》提到的问题并没有完全解决。在流量不断增加的情况下，不想增加服务器配置的话只能做更多的优化。为了选择nginx合适的子进程数，对智力网站晒晒IQ网进行了压力测试。没有用ab，而是选择用webbench。

1、适用系统：Linux

2、编译安装：
1. wget http://www.sfr-fresh.com/unix/privat/webbench-1.5.tar.gz
2. tar zxvf webbench-1.5.tar.gz
3. cd webbench-1.5
4. make && make install

3、使用：

1. webbench -c 3000 -t 30  http://www.33iq.com

参数说明：-c表示并发数，-t表示持续时间(秒)

我使用了webbench -c 300 -t 10  http://www.33iq.com 分别在子进程数为20 、25、30、35、40、50的情况下进行了测试。测试结果如下：

根据数据最终选择了35。但结果不到10分钟fast-cgi又挂起了。后来想了想，最后把keepalivetime的时间下调到5秒（原来为30）.减少服务器同一时间的连接数。目前暂时稳定。

还是智力网站晒晒IQ网，使用的是万网云主机。配置是nginx+Fastcgi+mysql，问题情况是网站有时会莫名其妙出现2-3分钟卡死，页面空白在刷新，有时一直卡着，有时会报502错误，网站可以PING得通，内存、CPU都显示正常。网上找了下，感觉可能是因为Fastcgi挂起卡死了。找了些相关资料，修改了相关配置，具体如下。

调大缓存区

fastcgi_buffer_size 128k;
fastcgi_buffers 8 128k;
如果你使用的是nginx的负载均衡Proxying，调整
proxy_buffer_size  16k;   这里参数调大
proxy_buffers   4 16k;

调大子进程数

max_children 20 （可以调更大 我原来只设置了8。。）

调整之后目前还没有发现相关问题。

参考文档：

1、php-fpm.conf参数详解

2、nginx报的http错误解决方法

3、[php-fpm自动拉起]从nginx的502错误出发谈锁机制在服务器自动监控脚本中的应用

如果你的网站之前主页的title上有一个关键词，比如注册公司。并且这个关键词在百度和谷歌搜索排名中都排在前10.当你将首页中注册公司这个词全部去掉后，当搜索引擎重新更新你的网站后，你再在谷歌中搜索注册公司，你会发现即使你的网站根本已经没有这个词了，但是谷歌还是将你排在比较靠前，谷歌认为你的网站内容与这个词已经相关联了，即使没有任何这个次的出现。

当然咯，不出所料的是，度娘果断地把站点排除了前10，没有这个词当然和这个词所代表的内容无关咯，哈哈。

在godaddy上购买空间或者是域名，都会赠送一个免费godaddy邮箱，可自己绑定域名。

根据网上的方法进行了配置，发现只能用POP进行收邮件，而不能用SMTP发邮件。

总结了发现，在新增邮箱的时候，会让你选择邮箱的区域，美洲、欧洲、亚洲。如果选取了亚洲，就最好不要使用网上的方法，使用主站的SMTP和POP服务器，而应该使用亚洲的服务器。

Incoming (POP3) server: pop.asia.secureserver.net

Outgoing (SMTP) server: smtpout.asia.secureserver.net

经过测试邮件送达的速度比较慢，而且还是被归在垃圾邮件,ORZ……

MYSQL数据库里有一个表，有三个字段,id、type(课程名)、number(学号)，课程名假设有三种，语文、数学、英语，学生有50名，每名学生可以任意选择课程（可都不选，也可都选），现在要列出选择全部课程学生的名单。

好吧，这看上去不像是个很难的问题，教科书中都应该有答案，来个否定之后的否定，not exist，结局是MYSQL经过40多秒后返回了正确答案。

看来这不是一个好方法，试了下group by,将选择三门课程的学生列出来。的确快了很多，但是再多出几个字段后，速度就慢了很多。

select * from jishuzhibiao where number in (select * from jishuzhibiao group by number, date, signal, frequency having count(distinct type)=3) and date in (select * from jishuzhibiao group by number, date, signal, frequency having count(distinct type)=3) and frequency in (select * from jishuzhibiao group by number, date, signal, frequency having count(distinct type)=3) and signal in (select * from jishuzhibiao group by number, date, signal, frequency having count(distinct type)=3)

（分别对number, date, signal, frequency进行分组，运行速度再次超过40秒）

最后通过创建视图还是解决了这个问题，

创建视图：create view st(number, date, signal, frequency) as select * from jishuzhibiao group by number, date, signal, frequency having count(distict type)=3

查询：select * from jishuzhibiao, st where jishuzhibiao.number=st.number and jishuzhibiao.date=st.date and jishuzhibiao.signal=st.signal and jishuzhibiao.frequency=st.frequency