王白石

西门子供应商大会，嘿嘿
去凑热闹。周五晚上回来。

刚才在网上又挖到一文，Link: 恐怖的Dreamhost超额流量费，是关于花儿开了的一篇因为受到恶意下载以及Dreamhost错误的统计方式而造成的超高流量费：虚惊一场！

我看了一下，觉得两个问题造成这场虚惊：
1. 事主放了两集《越狱》在服务器上，晕啊，这可是当红下载，一旦链接泄露或者被爬虫挖到，后果可想而知。不管是受到攻击还是过多的流量，都会给自己造成影响。
2. 来自特定IP的过多请求，类似于攻击的情况下，DH做了错误的统计，让你在国内链接DH（类似攻击的IP来自国内），从来没奢望达到过234M/s的速度，事主是在7.5小时里被人用掉了6TB的流量，显然是不可能的。

看来，在自己的服务器上放置流行下载的东西是很危险的，例如MP3，电子书，MV或者电影，特别是你被Baidu或者google链上后，容易变得一发不可收拾。

另外，服务器在美国，适用美国法律，提供像MP3以及电影这种带有版权的东西的下载是违法的，提醒一下要小心。

最近几个月以来，垃圾Comments和Trackback每天都有几百的速度在涨，如果哪几天忘了看，几千的spam让人实在没心情看哪些是正经的comments和TB，另外CPU使用时间实在太多，真不知道哪天DH会KILL掉我的mt-tb.cgi。

上网去查，发现CCode&TCode不错，最新支持MT3.3.1，刚碰巧还有几个朋友同时也在头痛spam，也正在试这个CCode&TCode，于是自己也试装了一下。实际效果不错，插件改变了entry id，让spamer无从下手（总不能从1到10位数这样扫过去……）。今天是第三天，还未发现一例垃圾。

安装方法极简单，阿alongblog上去下载源文件到/mt目录下，并解压：

wget http://alogblog.com/downloads/dn.cgi?CTCode-3.3.01.tar.gz
tar -zxvf CTCode-3.3.01.tar.gz

注意把/mt-static文件夹下的东东COPY到相应位置。

转到你的后台管理界面，在Templates下面，找到单篇归档和评论预览两个模板，在里面找到<form>标签，把<$MTEntryCCode$>添加进在下文后面：

<input type=”hidden” name=”entry_id” value=”<$MTEntryID$>” />

<$MTEntryCCode$>

同时，在<head>标签里把下面这段添加进去：

<script type=”text/javascript”
src=”/url_to_mt/default_templates/obfuscator.js”></script>

重建单篇模板，OK。

补充一个Chedong和平生一笑推荐的第二重防SPAM方法：
将mt-tb.cgi和mt-comments.cgi改名，再修改mt-config.cgi，添加：

TrackbackScript new_trackback_file_name.cgi

CommentScript new_comments_file_name.cgi

这样针对mt-tb.cgi的spamer可以被你滤掉了，不知道这个方法还能有效多久，常换就是了。
另外还要注意把自己的mt-config.cgi保持权限为600，以确保安全。

Hacker gallery

Originally uploaded by Christnan.

早上没事，想起来很久没打开过gallery看看，那里没人去，不料想打开之后吓了一跳，一幅图片，醒目位置写着：

STOP!
No war in Lubnan

落款是：AYYILDIZ TEAM

显然，网站被hack了，有意思的是还在顶部留下了操作人的ID：”HACKED BY - TNCAkadro”. 当然，我没得罪过什么人，应该是被殃及了。上网一查，马上查到同时有很多网站被HACK，不知道是冲着美国去的（我的主机在美国）还是冲着以色列：总而言之，被殃及了。

以前从没注意过网站安全的重要，现在开始要学习一下如何把网站建设得更安全。