ASP防挂马指南

最近09年写的一个网站一直被工具扫描,大约持续了3个月,最终被攻击者获取了web shell。
上传了一个网站跳转和一个小型web站点,内容“不可描述”。
挂马者也是比较聪明,在成功挂马后,并没有马上上传非法内容,而是潜伏了1个多月。
检查数据,发现攻击者一直试图从留言板和简历投递入口注入。
ASP网站,的确已经难以做到非常完美的防止注入,ps:至少我已经完全不知道还能怎么处理了。
还好是一个常年不更新的企业站点,最后决定更换后台管理路径,修改所有前端的留言板和简历投递入口,直接从代码层删除sql写入语句,来杜绝后续可能产生的继续注入的可能性。
在网站建设群里见过很多被注入的网站,强烈建议大家使用帝国CMS,真正良心的CMS,稳如狗!
注:ASP被挂马的2种最常见漏洞,留言板和文本编辑器。

NAS方程式入侵工具包

从工具包泄露历时一个月,在全球人民紧张的气氛中“勒索病毒”爆发了,其手段是通过Windows下SMB服务的445端口,进行主动式入侵。SMB主要用于打印机和文件共享。

在黑客领域,最常见的几个端口都和文件的共享相关。包括以往常见的138、139端口。

避免中招的方法,开启防火墙屏蔽135、137、138、139、445端口。本地安装杀毒软件,避免U盘、光盘自启动传播。

从各个渠道听说得到消息,教育、医疗、公安系统大面积中奖,分析这几个网络架构得知。

此次病毒具有U盘或光盘传播能能力、具备内网自动攻击能力。家庭用户,如果不是公网IP的,不乱使用便携式设备,不存在中毒的可能性。

域名界真心动荡了

最近域名界最大的莫过于管局出台了新的规定,陆续收到各个域名注册商的邮件通知,内容均指向所有.com/.net域名开始施行新注册域名所有人实名制审核管理机制,并且与7月18日开始实行。附带部分注册商推送了关于域名转入优惠的信息。这不免让我想起3月那篇《互联网域名管理办法(修订征求意见稿)》,Web开发又进入了更加严密的管控
我估计整体实施这个意见稿对于先行成千上亿的网站是一个非常大的困难,所以可能使用逐步实施的方法,先针对新注册域名进行要求。

中国互联网又有了更加严密的管制,Web开发同仁,声泪俱下……

中国互联网“新纪元”

最近一篇工信部的一篇:公开征求对《互联网域名管理办法(修订征求意见稿)》的意见估计让不少做站的同学都没了节操。

从2005年3月开始,国内非营利网站进入工信部备案模式,至今运行了10多年,虽然一定程度上减少了非法网站的存在,但是并没有从根本解决非法网站的问题,到是给正常做站的同学增加了一道麻烦的手续,一次备案还需要关站,整个流程下来大约需要21-30天左右。非法的网站依旧通过国外IDC来运作,既然有GFW的存在。其实这备案是没太大意义的。

最新的管理办法简直惨无人道,让我差点以为这是万网或者新网主导的了。

其中第三十七条的规定:在境内进行网络接入的域名应当由境内域名注册服务机构提供服务,并由境内域名注册管理机构运行管理。
在境内进行网络接入、但不属于境内域名注册服务机构管理的域名,互联网接入服务提供者不得为其提供网络接入服务。

总的来说就是要求所有在国内服务器的网站所备案的域名还必须在境内的IDC注册,这是在为境内IDC创收吗?这应该是用法规来扼杀中国互联网的发展。从此想在国内做站,必须只能选择贵的,必须只能选择这些连转移都恶性收费的IDC。

再说这个第三十八条的规定:提供域名解析服务,不得擅自篡改解析信息。未经他人同意,不得将域名解析指向他人的IP地址。这规定该让我们的CNAME何去何从。

这真是中国互联网的“新纪元”啊!!!

超轻量PHP框架 – Fat-Free Framework

很久没写PHP了,可能快有1年多。我竟然很奇葩的想在函数的参数上申明参数类型。也不知道是跟哪个语言的串了。

写过几个ThinkPHP的系统,感觉写一些小的东西的时候,ThinkPHP还是不是很合适,太过复杂,自定义的空间也比较小。百度后找到了个国外的超轻量框架Fat-Free Framework。百度谷歌了很久,基本没找到,关于Fat-Free Framework的中文手册。

通过开发群里的朋友才知道,国内应该只有一个叫“棒主妇商城”的开源系统采用了Fat-Free Framework框架,我下载研究了下,即使这个商城也只是局部使用了Fat-Free Framework,而且用的是3.0版本的Fat-Free Framework。而现行Fat-Free Framework的最新版本是3.5,基本没有太多的参考性。

Fat-Free Framework是一个足够轻量的框架,其压缩后只有60K,解压后Lib在330K,相对ThinkPHP几兆的框架文件,在小型项目的开发中有着天然的优势。

因我自己对Fat-Free Framework也还没研究的很透彻,具体的编程上的就不再做介绍,建议大家可以看Fat-Free Framework官方网站的用户指南和API参考。

《爱情限时恋未尽(5 to 7)》

爱情限时恋未尽

 

开始我看到这部电影的海报,想当然的认为这是一部爱情片,并且觉得,这应该是一部向奥黛丽·赫本致敬的电影,考虑到影片评分较高,打算看一看。

可能是每个国家的生活习惯原因导致,我一直没发现电影中5to7的暗示,导致在电影的前10分钟我一直没发现这其实是一部唯美版的婚外情。婚外情的题材是饱受争议的。为什么我说这是唯美版的。是因为整个主线并不是我们说见的争吵、批斗,而是包容和接受。

这也许是编剧和导演想表达的法国人的“浪漫”。整部影片里贝纳尼丝·玛尔洛的笑容,估计是缓解这个题材的鸡汤。

通过手机远程开启电脑

主要针对具备以下条件的基友们尝试:

1.具备路由器。

2.电脑主板支持唤醒功能。

3.手机是安卓系统。(或者通过另外一台电脑来远程开机

主要用到的工具有Depicus Wake On Lan。

以华硕主板为例:

开机,按DELETE键,进入BIOS,在Power菜单下的APM conifguration选项内打开Power On By PCI/PCIE Device设置为启用。

1

 

进入路由器管理界面配置端口转发、DHCP静态地址分配、ARP静态绑定、花生壳动态DNS绑定,端口转发要求9或1024以上。

2

345

 

在手机上安装Depicus Wake On Lan或访问网页版本。

填写对应Mac、Domian、Port等,即可开机

十年

        凌晨三点,全无睡意,翻看着以往的日记,才发现已经过去十年。现实里的剧情肯定不是和陈奕迅的《十年》一样,我们已经不再算是朋友。

        看着文章,看着语录总还是能回忆起当时的心情。为什么都说创作是一种需要情绪的东西。原来悲伤的创作里总有那么些看着都不像是我能写出来的文字。看着文章归档目录,其实就能看出自己的心情是什么样的状态了,后面的数字越大只能说明那段时间里关于我的爱情是越发不快乐的。因为总有那么多伤感或是烦恼的东西可以写,不是吗。

        真的很久没写点关于生活的东西了,我甚至都觉得,像是回到了10年以前的我,真的不会写作文,更别提会去写日记了。其实心底总是很佩服那些每天都写日记的人,真心不知道为什么每天都能写出点什么。仔细想想自己,其实并不是没东西写,而是真的不想写出来,不想表达出来。一个有太多秘密的人总是活的很累。

        我有太多太多不可言不可记的秘密。

使用WPS制作标书的技巧

8月后来到了现在的公司工作,这份新工作偏向于企宣和售前和标书制作。新公司成立,忙碌的可想而知。标书制作也是我最近几个月才接触,以前仅写过一些解决方案或是设计方案。在同事和百度的帮助下我总结了一些技巧。

一、WPS下建议打开的功能

1.文档结构

11

 

2.显示所有格式标记

22

二、WPS页码加横杠后的目录显示不美观问题

 

1

2

解决方法:

1.首先插入正常的页码 样式选择1,2,3……

3

2.点击页码然后在不去动1这个数字,使用光标点选后在页码“1”的左右添加“-”

4

3.更新目录

5

认真,你就输了

        今天,绣球在群里发了张图,大致内容是这样的,一对情侣一起去买,女生吃了3/7,男生吃掉剩下的4/7,男生比女生多出了4.5,请问这块饼多少钱?然后我就弱弱的打开电脑的计算器,来了个4.5*7,恩31.5,抢答成功。结果答案是4.5彻底明悟了。我很好奇我从来不会和女友AA的人为何会算错,然后绣球说,因为你认真了。

        原来,认真,你就输了!

        最近一段时间很少写日志,真的很忙,忙着写自己的创意工具。工作上却很空闲,真的太过空闲了。日子就这样一天天的少去,生活却没有什么进展。天气凉快了,可是心却太过平静了。我突然觉得自己老了,每天看看新闻,写写代码,日子就这样平静的过去了。这是要哪般?