注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

数位之墙

个人.家庭.数字化 - 数位之墙

 
 
 

日志

 
 
关于我

黄绍麟,原名黄彦达,1998年 4月创立数位之墙,以观察科技趋势为终身职。曾任职新浪网,台湾大哥大,3G威宝电信。2006年后于大陆工作,曾任职51.com担任总裁助理暨发言人 (后转战略顾问),湖南卫视快乐购旗下电子商务子公司担任首席运营官 ,及阿里巴巴集团旗下第三方支付公司支付宝担任运营总监。目前于著名天使投资嘉丰资本担任投资合伙人,投资科技初创企业。 欢迎关注微信公众号:digitalwallcom

网易考拉推荐

数位之墙的十一年浩劫  

2008-05-14 10:32:19|  分类: 总编笔记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

◎十一年遭一劫

 

正值笔者创办的数位之墙迈入第十一个年头,最近一个月却经历了前所未有的浩劫。网站两度停机,累计停机时间达八天。损失广告收入80美元及数个熬夜的夜晚,以及修复后跌了一半的网站流量。

 

2008年 4月15日,数位之墙的网站代管厂商来信,说网站消耗系统资源过大。由于此类网站代管都是在同一台伺服器上设置多个的网站,因此如果某个网站消耗太多资源,就会影响到其他网站。

 

这间代管厂商直接封了帐号,停了数位之墙,并在信中说明这个帐号不可能恢复请搬家吧。其实资源消耗问题一直都在,他们之前也持续跟笔者沟通,而笔者也改写了部分代码,但没想到这招来得又快又狠。

 

笔者没意识到数位之墙本身已经成长到一个程度,这间网站代管商提供每月美金10元的代管方案便宜好用服务态度佳,笔者相当满意的用了五年以上,但是却没提供任何升级方案,搬家已经是势在必行。

 

搬家到相同等级的代管厂商是没用的,保证会再被踢出来。笔者战战兢兢的选择了使用 VPS(Virtual Private Server)服务,这种网站代管方案每个月成本大约在40到80美金不等。

 

最大的障碍不是急升的成本,而是 VPS相对要求较高的技术能力。这其中包含了有没有能力判断一家 VPS服务供应商所提供的系统环境是否符合自身所需。

 

◎升级挑战技术能力

 

笔者一开始选择的服务供应商,价格相对便宜只要30美金一个月,但随后对方花了三天的时间连个伺服器管理介面(业界常用的 Plesk)都启动不起来。笔者实在没有时间跟他折腾了,赶快换了另一家。

 

系统设定最是头痛,笔者拉了一个精通微软技术的好友帮忙做系统设定,但最后几乎是靠着自己摸索外加服务供应商大量协助在两天时间完成。幸好Plesk 确实好用,也能快速上手。

 

五天过去,网站重新开张,流量掉了一半。令人惊讶的是,停机期间网站是不能连结的,而却没有任何人来询问笔者。网站恢复后,马上涌入大量的公关公司在数位之墙的《产业动态》张贴新闻稿。

 

《产业动态》单元是给科技公司发布新闻稿用的,平常每天会有10篇左右的稿量,已成为科技产业重要的发布讯息管道。这些公司五天连不上网站,已经累积大量稿件蓄势待发。

 

笔者感到意外。一个网站消失五天无人闻问,可能表示这个网站消失50天也可以,换言之可有可无。我以为数位之墙最有价值的地方在于文章,但从反应看,其实是成为科技产业发布讯息的管道最有价值。

 

正当笔者感叹于自己的渺小,数位之墙网站之可有可无,以及「苛刻的网站代管服务商人比黑客还要狠」的时候,2008年 5月 4号,数位之墙网站遭到黑客入侵。

 

◎黑客上门来

 

笔者是因为看到《产业动态》的首页版面有点奇怪,连线到资料库查看时,才发现资料库已经被植入木马。与系统设定无关,对方是利用笔者撰写代码的漏洞,采用了称为 SQL Injection的手法入侵。

 

SQL Injection 并不是难以防范的入侵方式,但笔者不是专业代码设计人员,撰写代码的基本功夫并不扎实。一个被笔者紧急召唤来帮忙的高手朋友,在看过代码以后居然挖苦的说:

 

「你写这样的代码能保持10年不出事,真是不容易」

 

笔者其实在去年就已经发现资料库里经常会多出一些奇怪的Table ,也知道SQL Injection ,但由于没有造成资料的损坏,所以只是把那些Table 删除了事,得过且过,以至于这次资料完全遭到损毁。

 

幸好,VPS 厂商有每天备份资料库。笔者调出 5月 3日的资料,先把它恢复了,网站维持停机状态,请高手朋友开始做代码修改。这一停机,又是三天的时间过去。

 

笔者拿到VPS 服务供应商提供的资料库档案时,不免多少感叹。一个经营了11年的网站,最终以及最精华的心血结晶也就是这个大约40MB的档案而已。一旦被删除,最终还剩甚么?没有了,甚么都没有了。

 

这个代码架构先天不良的网站何以能在黑客手下安然度过11年还有一个原因。以往的黑客多半只是为了证明自己的技术实力,现在的黑客则是为了赚钱。以前的黑客入侵只是来打个招呼,现在则是植入木马。

 

◎网路安全的挑战更加严峻

 

数位之墙11年发展历程中,约略可看出互联网潮流变迁。从1997年开始使用免费个人网页,到1999年正式建立网站仅采用微软Access资料库做资料存储,到最后撑不住流量改用微软SQL Server。

 

网页编码从最早Big5繁体中文,到为了跟上Web 2.0 全面改写UTF-8 ,为了提供RSS 服务,引入XML 文件格式。还曾经为了要提供Widget服务去研究AJAX,接下来说不定会接入各式社交网路开放平台服务。

 

如果有某个公司的网站跟数位之墙一样存在了10年以上,想必也已经修修补补好多次,各种技术杂陈,负责开发网站的人改朝换代交接了不知道多少回。于是最终会遇到的问题是,不知道安全漏洞在哪。

 

这可能是为何前阵子台湾某资讯安全科技大厂被爆出网站出现跨站指令码攻击(Cross-Site Scripting, XSS )安全漏洞的原因:只要不出问题,没人会想翻箱倒柜把以前架构重整,跟笔者心态完全一样。

 

当笔者发现资料库内容遭全面覆盖时,有种万念俱灰的感觉。遥想当年买下digitalwall.com 网址开始写代码建站时,感觉互联网真是小本创业者天堂。11年过去,现在却是更加复杂险峻的环境了。

  评论这张
 
阅读(467)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017