|
|
|
#1
2008-05-19, 01:17 PM
|
||||
|
||||
數位之牆的十一年浩劫
作者:黃紹麟
現在的環境卻要求著自行架站者必須懂得更多了。 ◎十一年遭一劫 正值筆者創辦的數位之牆邁入第十一個年頭,最近一個月卻經歷了前所未有的浩劫。網站兩度停機,累計停機時間達八天。損失廣告收入 80美元及數個熬夜的夜晚,以及修復後跌了一半的網站流量。 2008年 4月15日,數位之牆的網站代管廠商來信,說網站消耗系統資源過大。由於此類網站代管都是在同一台伺服器上設置多個的網站,因此如果某個網站消耗太多資源,就會影響到其他網站。 這間代管廠商直接封了帳號,停了數位之牆,並在信中說明這個帳號不可能恢復請搬家吧。其實資源消耗問題一直都在,他們之前也持續跟筆者溝通,而筆者也改寫了部分程式,但沒想到這招來得又快又狠。 筆者沒意識到數位之牆本身已經成長到一個程度,這間網站代管商提供每月美金10元的代管方案便宜好用服務態度佳,筆者相當滿意的用了五年以上,但是卻沒提供任何升級方案,搬家已經是勢在必行。 搬家到相同等級的代管廠商是沒用的,保證會再被踢出來。筆者戰戰兢兢的選擇了使用 VPS(Virtual Private Server)服務,這種網站代管方案每個月成本大約在40到80美金不等。 最大的障礙不是急升的成本,而是 VPS相對要求較高的技術能力。這其中包含了有沒有能力判斷一家 VPS服務供應商所提供的系統環境是否符合自身所需。 ◎升級挑戰技術能力 筆者一開始選擇的服務供應商,價格相對便宜只要30美金一個月,但隨後對方花了三天的時間連個伺服器管理介面(業界常用的 Plesk)都啟動不起來。筆者實在沒有時間跟他折騰了,趕快換了另一家。 系統設定最是頭痛,筆者拉了一個精通微軟技術的好友幫忙做系統設定,但最後幾乎是靠著自己摸索外加服務供應商大量協助在兩天時間完成。幸好Plesk 確實好用,也能快速上手。 五天過去,網站重新開張,流量掉了一半。令人驚訝的是,停機期間網站是不能連結的,而卻沒有任何人來詢問筆者。網站恢復後,馬上湧入大量的公關公司在數位之牆的《產業動態》張貼新聞稿。 《產業動態》單元是給科技公司發布新聞稿用的,平常每天會有10篇左右的稿量,已成為科技產業重要的發布訊息管道。這些公司五天連不上網站,已經累積大量稿件蓄勢待發。 筆者感到意外。一個網站消失五天無人聞問,可能表示這個網站消失 50天也可以,換言之可有可無。我以為數位之牆最有價值的地方在於文章,但從反應看,其實是成為科技產業發布訊息的管道最有價值。 正當筆者感嘆於自己的渺小,數位之牆網站之可有可無,以及「苛刻的網站代管服務商人比駭客還要狠」的時候,2008年 5月 4號,數位之牆網站遭到駭客入侵。 ◎駭客上門來 筆者是因為看到《產業動態》的首頁版面有點奇怪,連線到資料庫查看時,才發現資料庫已經被植入木馬。與系統設定無關,對方是利用筆者撰寫程式的漏洞,採用了稱為 SQL Injection的手法入侵。 SQL Injection 並不是難以防範的入侵方式,但筆者不是專業程式設計人員,撰寫程式的基本功夫並不紮實。一個被筆者緊急召喚來幫忙的高手朋友,在看過程式碼以後居然挖苦的說: 「你寫這樣的程式能保持10年不出事,真是不容易」 筆者其實在去年就已經發現資料庫裡經常會多出一些奇怪的Table ,也知道SQL Injection ,但由於沒有造成資料的損壞,所以只是把那些Table 刪除了事,得過且過,以至於這次資料完全遭到損毀。 幸好,VPS 廠商有每天備份資料庫。筆者調出 5月 3日的資料,先把它恢復了,網站維持停機狀態,請朋友開始做程式碼修改。這一停機,又是三天的時間過去。 筆者拿到VPS 服務供應商提供的資料庫檔案時,不免多少感嘆。一個經營了11年的網站,最終以及最精華的心血結晶也就是這個大約40MB 的檔案而已。一旦被刪除,最終還剩甚麼?沒有了,甚麼都沒有了。 這個程式架構先天不良的網站何以能在駭客手下安然度過11年還有一個原因。以往的駭客多半只是為了證明自己的技術實力,現在的駭客則是為了賺錢。以前的駭客入侵只是來打個招呼,現在則是植入木馬。 ◎網路安全的挑戰更加嚴峻 數位之牆11年發展歷程中,約略可看出網際網路潮流變遷。從1997年開始使用免費個人網頁,到1999年正式建立網站僅採用微軟Access資料庫做資料存儲,到最後撐不住流量改用微軟SQL Server。 網頁編碼從最早Big5繁體中文,到為了跟上Web 2.0 全面改寫UTF-8 ,為了提供RSS 服務,引入XML 文件格式。還曾經為了要提供Widget 服務去研究AJAX,接下來說不定會接入各式社交網路開放平台服務。 如果有某個公司的網站跟數位之牆一樣存在了10年以上,想必也已經修修補補好多次,各種技術雜陳,負責開發網站的人改朝換代交接了不知道多少回。於是最終會遇到的問題是,不知道安全漏洞在哪。 這可能是為何前陣子台灣某資訊安全科技大廠被爆出網站出現跨站指令碼攻擊(Cross-Site Scripting, XSS )安全漏洞的原因:只要沒出問題,沒人會想翻箱倒櫃把以前架構重整,跟筆者心態完全一樣。 當筆者發現資料庫內容遭全面覆蓋時,有種萬念俱灰的感覺。遙想當年買下網址開始寫程式建站,感覺網際網路容易入門,真是小本創業者天堂。11年過去,現在的環境卻要求著自行架站者必須懂得更多了。 
|
|
#2
2008-05-19, 03:55 PM
|
|||
|
|||
|
Nice info.
我想就此文涵蓋範圍的某一部分提供一些相關的觀察: 相較於國內的虛擬主機服務, 美國的 hosting services 便宜又大碗, 不少 servers 提供 1000G+ 空間 和 3000G+ 流量 並可 host 無限個域名. 缺點是不少美國 servers 軟體於其 HTML 儲存頁 都將中文轉成特殊碼 (我未去考究是否就是 punycode) 儲存, 因此中文在該種系統中很難做好中文化的 SEO, 在以中文搜尋為主的市場, 那些美國的便宜又大碗的 hosting services 反而非利多. 真的是青春與長壽不可得兼. 但或許不久的將來, 美國的 hosting services 為努力拓展中文市場, 將優化其系統軟體, 讓中文得以在其 HTML 儲存頁中完整原文呈現. .
|
|
#3
2008-05-19, 04:26 PM
|
|||
|
|||
|
引用:
這小弟第一次聽到. 有例子可以參考嗎? 用 emeditor等文字編輯器打開然後另存新檔, 文件編碼所擇所要用的編碼例如 UFT-8或Big-5, 然後在網頁本文 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> charset 改符合網頁編碼的設定值 應該是這樣吧? 真的是第一次聽到web server和HTML會有關聯滴... 我一直都是用國外主機.
|
|
#5
2008-05-19, 04:44 PM
|
|||
|
|||
|
引用:
我說的例子是 該系統 HTML 網頁編寫時可以中文寫入, 但儲存後, 所有的中文都被轉成別的碼儲存. 我之前使用過 HostMonster 的 hosting , 當時查詢時得知 BlueHost 也是一樣. 我已經一年沒用美國的 servers 了, 也許那些公司所用軟體中文相容性已改良? . 補註: 我那時是直接用 HostMonster 系統的 HTML 編輯介面, 但當時並未見到該介面有 emeditor 等文字編輯器可供選項. . 此篇文章於 2008-05-19 05:08 PM 被 domainnext 編輯。
|
|
#6
2008-05-19, 05:32 PM
|
|||
|
|||
|
引用:
您是用系統的HTML編輯器吧? 那是經過資料庫的處理再輸出, 資料庫編碼的關係和 HTML 是沒有關係的 上網查一下 "mysql 中文亂碼" 就知道有不少文章在討論 這都是系統預設值, 國內是因為主機商有調過 一般英文系國家是不動這個的..... emeditor 是 windows的應用軟體.........不是web文字編輯介面......
|
|
#7
2008-05-19, 06:12 PM
|
|||
|
|||
|
引用:
悉滴 ~ 我那時是直接用 HostMonster 系統的 HTML 編輯介面 . . . 也許不久的將來, HostMonster 或 BlueHost 會增益其系統 HTML 編輯器, 使其有可供各個帳戶 各自調整系統預設值的選項. .
|
|
#8
2008-05-19, 07:11 PM
|
||||
|
||||
|
引用:
有沒有人知道是哪一家?是戰國時代的那一家嗎? 
__________________
域名徵求合作 | NetShopping.com.tw | Motels.com.tw | eBoss.com.tw | eBooks.com.tw | / 南元休閒農場優待卷 / 阿里山櫻花季登場 / 走馬瀨農場門票 / 烏山頭水庫風景區 / 尖山埤江南渡假村 / / 台南汽車旅館住宿 / HTC沒有告訴你的事 / 梅嶺風景區 |
|
|
#9
2008-05-19, 07:40 PM
|
|||
|
|||
|
網路駭客是很可惡沒錯
但有些人連門都沒鎖 被人偷了也是活該  這位牆主不就是擺明了要人來偷嗎? 連基本的自己放一份備份都沒有 這個真的就有點太大意了  如果沒有防護能力 反正主機死了 就拿出最簡單的方法 砍掉重練 又是好漢一條  但我覺得有人擺明了就是不相信主機會被攻擊 不會這麼衰 可是我學會了架主機之後 LOG檔一拿出來看看 嚇到晚上睡不著  有的被當成跳板的主機 還是些赫赫有名的單位 我覺得如果還是這種態度 主機商通知你 叫你服務要改PORT 你不改 不用的服務要關掉 你就大辣辣的開在那 VPS更好用? 我保證你死得更快 要知道 一般來說 租用一台VPS 主機商可是連防火牆都是不管你的
|
