老橙子草堂

　　这个世界太内卷了，我这个2核2G的虚拟服务器竟然被黑了，cpu利用率从正常时的1.5%飙升到了50%以上，阿里云来短信说我这里被人用作挖矿了，限期整改，6月10日以前没整好就把我关停！而且整没整好的标准是最后期限2天前有没有再次收到他们的同样短信。我当是没觉得异样，还挺谢谢阿里云的，后来越想越不对劲。你阿里云是咋知道我被攻破用作挖矿的，你是不是侵犯我隐私了，你和黑客的区别何在？何况我花钱买了2年的时间，你管我挖没挖矿呢，难道我就必须空余98.5%的cpu负荷才合得了你的心意吗，我咋嗅出一些奸商的味道呢。再者，就算被人黑掉了不好，你也该和我商量，是不是被黑了，需不需要帮助等等，咋还直接给最后通牒呢！

　　其实6月2号晚上我就觉得不太对劲，当时我正在折腾postgresql，突然新网站就来了8个访客，还以国外某国的居多，我就纳闷了，新网站刚建好几分钟，他们是咋找到这地方了的。我没管它，继续折腾，可接着突然就报错，说数据库无法连接，我一看是网站的数据库被删除了！这个很奇怪，数据库可以出错，可以无法访问，但从没听说会自己把自己删除的。当时时间已经很晚了，我就睡了。

　　3号一早我还在厂车上就接到了阿里云的短信，被最后通牒了，到单位一看这里cpu的占有率确实高得离谱了。接下来就折腾吧，搜攻略，发工单，回滚云盘……到了下午，我感觉正常了，进程的名字和cpu的占有率都可以了，但我心里清楚，黑客的高明和可怕之处恰恰在于他能让你感到一切正常。你能时时感到丝丝的凉意袭来。

　　到了晚上，我下定决心恢复了ECS的“出厂模式”，彻底大扫除，也不回滚快照了，从头搭起。openlitespeed、php和mysql搭好，再把phpBB装上，搞到深夜也就差不多了。今天又装了一些模块，搞了一些安全措施，又修复了一些帖子，基本复原了。

　　教训就是：
　　１、不是用Debian的就是好人，不要乱加别人的源。
　　２、不是门可罗雀就安全，黑客也有调皮和眼瞎的时候，他们也需要练手，苍蝇腿小也是肉啊。
　　３、管好文档的权限，别四门大敞地搁着，现在的黑客软件扫描效率非常高。

　　上网20多年了，中过病毒，遭遇过流氓软件，但直接被攻破，当了肉鸡，给人挖矿，还是头一次，真的很失落，晚节不保啊。

　　由于被黑过，所以我有点儿敏感过度了，看着起名奇怪的文件就怀疑，就焦虑，嘁哩喀喳地删了一些文件。今天debian有更新，结果操作起来怎么都卡在新内核更新不成功，报lib目录下的klibc-*.so文件不存在。一时一筹莫展。本来已经上床午睡了，突然我想到家里的台式机上不是也有debian嘛，可以看看对应目录下有没有像这个名字的文件。这下怎么也睡不着了，干脆起来看看。果然台式机的lib目录下有个名字很长的文件，看起来确实不像好货。把它上传到ECS的对应目录下，一升级就成功了。呵呵。这也行。

　　昨天看到一个消息给我彻底整怂了：

根据Cloudflare 发布的 2024 年应用安全报告，攻击者正越发快速地利用被公开的漏洞，甚至仅在公开后 22 分钟就将可用的概念验证（PoC）漏洞武器化。

https://new.qq.com/rain/a/20240715A062H500 　　22分钟，这点儿时间我现在写个矩阵相乘的两重循环都费劲，人家黑客攻击的程序都写出来，并发动攻击了。莫非是AI写的？根据编译原理，按照高一级的授意自动写低一级的程序是很正常的。

　　安装phpBB3有一个权限真空期，像我这样的熟手，最多留出5分钟的裸奔窗口，就这么短的时间上次这里被种马挖矿，我还很困惑呢，看了上面的新闻，服了。

　　我马上布置了cloudflare的免费版，惹不起咱就躲嘛，躲在高手后面。呵呵。

　　躲在cloudflare后安全是安全了，但有个难言之隐啊，那就是看不到来访观众的真实ip，展示给你的都是cloudflare的专属ip，大一统了。虽然我这里就是2类爬虫横行，但也保不齐十天半个月有一个真人突然来访，我得迎接啊。

　　网上搜到了openlitespeed官方给的解决这个问题的方案（https://openlitespeed.org/kb/show-real- ... flare-ips/），实施挺简单的，但真做起来不简单。我反复试验，发现只要我对openlitespeed做任何配置的上的改动，哪怕是内存消耗从120M改为128M，它就启动不起来了，报503错误，说什么重定向次数太多。实在搞不定。

　　最后，我只好放手一搏，认定是证书问题。我把DNS改回了阿里云，把证书改回了老证书。启动正常，再按攻略做好显示真实ip的设定。然后再切回cloudflare的DNS和证书，相当于让cloudflare重新签一次证书。这次能启动了，但奇慢无比，连lighthouse测速都超时，报你这玩意儿太烂，我完成不了测试，随便报个分数你看个乐子得了。最离奇的是我电脑上有3个浏览器，同时打开这个网址，显示的证书都不一样，靠的，百家争鸣了。

　　我觉得把问题交给时间吧。今早一起来，速度正常了，当然比阿里云略慢。来客的ip正常了，我又见到了msn和bing的bot老朋友。

　　新的搞笑事情出现了，我自己的ip一会儿显示成IPv4，一会儿又变成IPv6了。感觉自己有点儿变态啊。呵呵。

好好研究一下底层安全机制，当一个安全员，挣大钱

健康百年 写了： 2024-07-30 8:43 好好研究一下底层安全机制，当一个安全员，挣大钱

　　我的智商、专注度和毅力都不足以支撑我达到这种高度，这类嘱托以后不提也罢。挽尊，挽尊。

　　我又撤掉cloudflare，直接用阿里云了。首先这里门可罗雀，我还希望不安全，热闹热闹呢。而且没有比较就没有伤害，直接用阿里云的速度快太多了，那种顺手跟脚的感觉真好，一点就有，让人油然生出爽利之气。CF是好，理念先进，类似网购的前置仓策略，奈何总部在国外，来回报信太耽误事儿，所以就算东西摆得离你再近，脑子不好使还是白搭，呵呵。

　　另外，CF下http3的状态不稳定，我好不容易搞定的东西时有时无，我还是难受，呵呵。

　　最近又部署了一次CloudFlare，还是以失败收场，回到了原点，真的很失望。我本意是想利用CF鉴别和阻止机器人的功能来改善本站的卡顿情况。但我实在搞不定CF的turnstile模块。我很难理解为啥获取token在html网页，而验证token却要到另一个php网页，加上phpBB3的加载过程又比较复杂，我虽然实现了验证，但却卡在第二次验证上，因为一个token只能用一次，看着自己被自己的设定卡死的局面，真的很尴尬，很崩溃。

　　CloudFlare是个仗义疏财的好公司，但它进不来国门的现状让我很无奈，看着给我分配的据点在阿姆斯特丹，我就明白卡顿不可避免。另外，它的turnstile文档太高深了，对我们非IT人士不友好，对我们的程度默认太高了。网上的常用网站程序用手指就能数过来，分别指导一下如何配置很难吗？

　　说白了，造成现在脚本黑客横行的重要原因我认为是电脑的算力和宽带的带宽上去了，极大地降低了网络扫描的成本和风险。随便捡台破电脑，网上找个黑客脚本就能全年无休地扫描全网，有枣没枣打几杆试试。如果是当年买卡用Modem拨号上网的时候没谁敢这么豪气。另外，那些被黑当了肉鸡的人，如果仅仅是做个跳板，他们可能都很难发现异常，更不会急眼，从而到处求助网络，甚至报警，以致威胁到黑客的安全。这样大家“相安无事”，所以网络环境越来越糟。

　　于是乎，现在很多网站都变成一打开就验证人机了，比如phpbb的官网最近也这样了，应该是被这些破黑客烦死了，跟苍蝇似的，难受。