狗爺語錄 » Site maintenance

Yahoo Site Explorer SUCKS. Big time.

Abel — Sun, 12 Jul 2009 20:08:43 +0000

(For those who don’t know about what “webmaster tool” is and what it does: webmaster tool allows site administrators to control how their sites are crawled by search engines. Please refer to this Digital Purview post for a brief introduction.)

While Google Webmaster tool does its job well (even Microsoft one too), Yahoo Site Explorer (interesting that it’s not named Webmaster tool like the others) simply adds no value to webmasters except confusion, impatience and disappointment. The reason?

While Google and Microsoft one allows authentication of site using META tag, similar function by Yahoo simply fail. No idea, and no comprehensive error message. Yahoo just fails and tells you it would retry again later.
Once Yahoo fails to validate your site, what’s next? Revalidate immediately? NO! Even if you choose alternative method (uploading a file into web root folder), it would just indicate that validation will be pending some time soon. How long? No idea.
Therefore, for people impatient enough to demand immediate validation, one have to remove and readd the site, and revalidate afterwards using file upload method. No other choice.
Once validated, can I just revert to previous site content? OK for Google, not for Microsoft and Yahoo. In Yahoo it is indicated clearly:

We will revalidate your site ownership by checking this file regularly.

We will revalidate your site ownership by checking this META tag regularly.
Taiwan version of Site Explorer is equally stupid, one have to stick an image on web page for validation! Speechless. Can’t it just use some less intrusive method for validation?
Too bad that Yahoo doesn’t accept any sort of XML sitemap.

For the functionalities after validation — well, my opinion is, no one is perfect (a combination of all 3 as a single website management tool is most desirable). However, if I were to pick one, I absolutely would not pick Yahoo. So far the only thing worth mentioning is, Yahoo allows removal of selected URLs containing certain substrings or GET parameters.

Blog spam 越來越聰明

Abel — Wed, 08 Apr 2009 03:16:55 +0000

如果某天有人在有關 WordPress 的 blog post 留言：

Nice plugin – I think I will use it in my next wordpress project and check it out

那麼會不會高興？可是我將它標記為 spam。因為那篇根本和 plugin 無關，而且連結來自信用咭網站。

現在似乎更多 spammer 懂得使用更個人化的 spam 工具了，拆解 JavaScript 就不用說 (WordPress Hashcash 漸漸被廢武功，不然我也看不到這種留言)，更開始因應內容而決定送出哪些留言。大概可以想像，某一天能從 facebook 等 social network 搜集個人資料，然後好像 Google Ad 般產生更針對性的廣告內容塞滿留言，日子也許不會太遠。

感謝性愛用品留言

Abel — Sun, 11 Jan 2009 19:34:06 +0000

致「永久愛」讀者：

本人十分感謝閣下抽空回應本人的文章之餘，還提供性愛、自慰、SM 用品以及壯陽藥物的連結，本人會好好地考慮一下的。
— Abel

性愛用品留言

吹爆餿狗大行動

Abel — Tue, 19 Aug 2008 15:48:53 +0000

竟然這麼快就說上次的 iptables rule 太絕了？那些規則用了不到三天就不用了！何解？

餿狗實在太自私兼聰明了，發覺一段短時間沒有 traffic，它就會自行中斷連線；拖字訣對它完全無效。相反地，百度反而有用，一直都是等很多分鐘才 timeout。
近來開始做一些網站統計分析，但這些賤種搜尋引擎對於 traffic 的統計百害而無一利，所以要想個辦法將它永遠趕走，淨是 timeout 還是不太夠。

第二個階段，嘗試讓它們自家打自家：用 Apache 的 RewriteRule，將百度的 request redirect 去餿狗，再將餿狗的 request 丢到百度去，因為它們互為天敵，所以看到我煽風點火，理應不再管我才是。結果我猜錯了，還是陸續有來，餿狗最高每 3-5 秒一次，百度最高速度也有 3-5 分鐘，而且仍是拼命找我禁止 index 的地方。

最後按捺不住了，出最後的殺手鐧，找專人侍候它們。

iptables -t nat -A PREROUTING -j DNAT -p tcp -s 220.181.0.0/16 –dport 80 –to-destination :81

這些搜尋引擎絕對值得我另開渠道去服侍。服侍它們的僕人來頭可不少：/dev/urandom

當然，一開始就給它們下馬威不是太禮貎，怕太快會嚇怕它們。所以提供一個正常的 HTTP header 作為甜頭是必須的：

#!/bin/sh

sleep 5
cat << _EOF_
HTTP/1.1 200 OK
Date: `date +"%a, %d %b %Y %H:%M:%S HKT"`
Server: Apache/2.0
Transfer-Encoding: chunked
Content-Type: text/html

_EOF_

exec cat < /dev/urandom

結果？餿狗好像不是太喜歡我的待客態度！現在連踪影都沒了，真是有點懷念餿狗的日子啊！至少不會那麼無聊。現在要應付的可麻煩多了，因為近來發覺有不少都是扮假狗，模彷 IE 的 user agent 的，雖然有些仍然找到別的蛛絲馬跡。例如有一個雖然是扮 IE，但是使用 HTTP/1.0，而且快速存取大量全無關係的頁面的。

被 snort 整蠱了

Abel — Mon, 09 Jun 2008 23:48:22 +0000

因為有些東西想測試，早幾天在自己的伺服器裝了 snort，結果卻是被它玩了一頓。昨天看看 snort 寄給我的 mail，有大量 robots.txt access：

 # of  from             to               method
=========================================================================
   xx  xxx.xxx.xxx.xxx   202.134.73.141   WEB-MISC robots.txt access
   xx  xxx.xxx.xxx.xxx   202.134.73.141   WEB-MISC robots.txt access
......

OK, 讀 robots.txt 是很正常的一回事，很清楚那是 false alarm，但前幾天的 log 都有兩個不尋常的項目：

 # of  from             to               method
=========================================================================
   xx  xxx.xxx.xxx.xxx  202.134.73.141   WEB-PHP Mambo upload.php access
   xx  xxx.xxx.xxx.xxx  202.134.73.141   WEB-PHP IGeneric Free Shopping Cart page.php access

不單止數目都很高，最要命的是：全部都是我家中的 IP 地址發出的？因為 ISP 的緣故，家中的 IP 每天會改至少一次，但 log 裏的 IP address 和日期全部吻合！那時心就慌了，會不會是我的電腦被種了木馬而自己不知道？特別是近幾天都在用 flock，不會是被人借 flock 入侵吧？想想不對頭，立即將 flock 關掉。(現在想來，自己也覺自己可笑)

之後再看，還有更令我膽顫心驚的：

 # of  from             to               method
=========================================================================
   xx  xxx.xxx.xxx.xxx  202.134.73.141   MISC rsyncd overflow attempt

令我嚇壞的是，剛好我在那一天用過 rsync。其它日子沒有用過 rsync，也沒有這一句。第一個念頭：我的電腦被種了 keylogger，所以我用過甚麼服務全被人知道了？所有戶口的密碼怎麼辦？完了。

過一會後，再定下心神，想想有沒有別的可能性。抱着最後一絲希望，去看看這些警告代表甚麼意思。在有關的 snort 規則中的全文是：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”WEB-PHP Mambo upload.php access”; flow:to_server,established; uricontent:”/upload.php”; reference:bugtraq,6572; classtype:web-application-activity; sid:2077; rev:2;)

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:”WEB-PHP IGeneric Free Shopping Cart page.php access”; flow:to_server,established; uricontent:”/page.php”; nocase; reference:bugtraq,9773; classtype:web-application-activity; sid:2410; rev:2;)

妖～!果然全部是 false alarm。上面設定的意思是，只要詢問 web server 的 URL 中含有 “/page.php” 或 “/upload.php”，就會發出警報。這算甚麼？這世界上有 page.php 或 upload.php 的軟件何其多！恐怕 snort 還有不少這類漁翁撒網的規則吧。

而且 email 中完全不會提任何事件有多嚴重，不會分辨甚麼是 activity、甚麼是 attack，而且將 robots.txt 歸在比 IIS unicode attack 還重要的分類…… 我不知道預設用這種爛設定是為了讓商業軟件有生存空間，還是為了要提醒人必須更改設定以適合自己的需要，但這種爛設定真是會嚇壞新手的。不論如何，這幾句立即就被我用 suppress 去掉了：

suppress gen_id 1, sig_id 1852
suppress gen_id 1, sig_id 2077
suppress gen_id 1, sig_id 2410

總之就像 Vista 的 UAC 一樣，日日都是狼來了。

消滅 nofollow

Abel — Fri, 30 Mar 2007 02:40:25 +0000

剛看到一篇網誌，說 WordPress 使用 rel=”nofollow” 毫無益處。rel=”nofollow” 是指搜尋器（例如 Google）在遇到加上 nofollow 的鏈結時不會經鏈結進入另一個網站來計算 PageRank，WordPress 加上這個的主要目的是為了防止 spammer 借用網誌來增加自己的站的 PageRank，但我很同意上面文章的說法，spammer 要的不是 PageRank，而是有人 click 就行。我留意了這些 spam 很久，很多 spam 中的網站鏈結都很迅速地換 hostname，根本等不及 Google 來搜尋，又何來 PageRank？況且 spammer 要 PageRank 來何用？賺錢而已，不必節外生枝。

所以剛剛裝了 Dofollow plugin，即是說各位的回應現在是可以增加 PageRank 的了。

2008-08-03 編輯：想了一想，其實和甚麼 PageRank 的毫無關係；nofollow 的目的是避免輕易被人加 spam link 而不自知，但一來我的站不會那麼輕易被 spam 穿透，二來 spam site 已經是打遊擊戰，封一個後可以隨時申請多十個域名再來，流動性太高，縱使 nofollow 了，過幾天後可能那個站已經不存在，所以 nofollow 也沒甚麼太大的用途。

PHP 安全性雜談

Abel — Mon, 08 Jan 2007 00:13:28 +0000

今天整天都在更新和 PHP 有關的東西：

因為看到 Wordpress 2.0.4 有些嚴重安全漏洞 [1] [2]，而且都是可以行使 admin 權力執行任意的 php code，所以更新至最新的 2.0.6。
安裝 Suhosin。從它的功能列表來看，有些似乎頗有用，例如可選擇禁止 include() 遠端的 URL。舉例說，phpbb_root_path 造成了多少死傷，該有很多人知道吧。LinuxHall 不知中招中過多少次了，我已經不想去數。
重新編譯 PHP，本來以為這下可慘了，但竟然沒有發生甚麼問題 — Suhosin 的 PHP patch 部份出奇地少，和那十幾個 Ubuntu PHP package 的 patch 居然沒有發生任何衝突；這趙真是神仙打救。只是 Ubuntu 沒有 Suhosin 的套件，得從 Debian 那裏拿一個已經 outdate 的套件自行更新；而且給 PHP5 的 module 更是無法編譯，偏偏我現在仍是用 PHP4，不是神仙打救是甚麼？

之前留意到三則和 PHP 有關的資料：

用 PHP 寫的 web application 成為主要攻擊目標之一。（這個應算是常識吧）
Stefan Esser 退出 PHP security team，並抨擊 PHP 開發隊伍忽視安全性。
2006 年有 43% 的安全漏洞有 PHP 這個字，其中 33 個是 PHP 本身的問題。2005 年只有 29%。Zend 的 blog 有較詳盡資料分析這 33 個漏洞。

我記得有人問過我，既然許多 PHP 的程式都不安全（phpNuke 等等），那麼為甚麼不內置一些方法令 PHP 安全一些？說是一句話而已，做的話有許多時候是近乎不可能的。例如寫程式的人沒有安全意識，直接在網頁的 form 的文字欄位讀取內容，檢查也不檢查一下就直接放入資料庫，SQL injection 就是這樣來的。或許有人說，PHP 也有 magic_quotes_gpc 之類的保護啊！但這些設定到最後得不償失，有些程式開了設定後就無法使用，相反地另一些卻是關閉設定後無法使用，十分混亂。而且讀取一個變數，又有沒有可能預知它會怎樣用？可能不是放入資料庫而是直接印出來呢？當成是檔案名稱呢？人名呢？

但也有些問題是可以在 PHP 的層次解決的。例如 suphp，就是執行 PHP 時順便改變 UID，就不會甚麼目錄都要開放給 Apache 的 UID 來讀寫了。不過因為它和 mod_php 不兼容（只能用 Apache + mod_suphp，再經一個 SUID 的 binary 執行 PHP 的 CGI 版本），覺得麻煩，所以就改為試用 Suhosin（雖然到最後發覺用 Suhosin 一樣麻煩 X-D）。

選用 PHP 寫的 web application 真的要當心。phpNuke 和 phpBB 早就入了我的黑名單的永久會籍，phpMyAdmin 也要很小心。淨是這裏列出的 SecurityFocus 有關 PHP 的 advisory 也已經夠瞧了。

blog.php-security.org：是 Stefan Esser 自己的 blog，和 PHP 安全性有關的資料很多，學到的東西不少。不過不要理他的 comment，他的說話有不少都帶侮辱成分。
PHP security consortium：雖然不覺得它本身有多少建樹，但統計資料倒是可以。相關的還有 Web application security consortium。
一個簡單的 tutorial，教人如何在寫 PHP 時避免最常見的三數種安全漏洞：SQL injection, Cross Site Scripting (XSS), Cross Site Request Forgery Attacks (CSRF), Input validation。

我有點興趣想知道，所有開了 PHP safe mode 的網站怎麼辦，是否永遠不升級至 PHP 6？雖然承認了 safe mode 是失敗之作，但這麼快就要它消失，只恐怕有大批管理員要叫苦連天。

Subversion 的 web 介面

Abel — Wed, 03 Jan 2007 22:35:57 +0000

之前為自己的象棋盤程式架了一個 subversion repository，選擇 web 介面時因為以為 viewcvs 已經停止不再維護，所以試用了一下 websvn。用了一段時間，發覺基本功能好像稍為欠奉，又有點不習慣（始終是慣了用 viewcvs），所以昨晚下定決定找個好一點的，竟然發覺原來 viewcvs 沒有消失，而是換了名稱 — ViewVC。立即就下載回來試用，結果安裝方面完全不困難（我沒有開啟甚麼額外功能），樣子和版面配置也和 viewcvs 沒分別，於是立即架了起來用。

不過之前沒有檢查清楚 websvn 的設定，以為它不能用來下載 tarball，剛才準備刪除 websvn 之前再覆核一下設定，才發覺它也可以下載 tarball，和一樣有 syntax highlight。兩者比較起來，websvn 多了 RSS feed 和 bugtraq keyword 支援，而缺少了瀏覽舊版 source code 的功能；細心比較過之後，還是 viewvc 較適合我。

網站在哪裏？暫時還是 —— 秘～密。不過過一段時間後就會公開出來，因為遲些有時間的話打算將自己正在寫的東西都搬到公眾的 version control 站台（sourceforge 之類），到時我自己架的站就完全沒用了。

搜狐太過份了

Abel — Sat, 23 Dec 2006 23:50:26 +0000

我一直以來雖然發覺自己伺服器的 Apache 某些時候總是佔大量 CPU time，但都沒留意是誰搞的鬼，今天將伺服器更新至 Edgy 時才查根究底。原因？標題就已經寫了，原來是 sohu 的傑作。它的 crawler 會毫不留情地搶盡頻寬，後果怎樣，大致上可以想像得到吧。

可是它不仁，我不會不義，出動 iptables 封殺這麼過份。（老實說，是不知為何 iptables 的 connlimit module 不能用）我只是在 Apache 設定裏將 sohu 的頻寬限制為 1kbit/s (128 byte/s)，另外只允許它開一個 connection 而已。隨便它慢慢搜吧，無任歡迎

07:53 附註：它的 IP 是 220.181.19.159

隱形 blog spam

Abel — Wed, 05 Jul 2006 21:49:13 +0000

這趟見鬼了，兩個月來被 blog spam 轟炸，一直都毫髮無傷，連清理也不需要；但第一次通過雷達網的 spam 就讓我百思不得其解：在 Apache log 裏面竟然沒有紀錄！如果說是老天爺開的玩笑，那就沒甚麼好說了，但如果不是甚麼神或魔的惡作劇，那就更麻煩了，因為能夠這樣做的，一個可能性是 SQ[......]

(Continue reading...)