说说网络安全那点事儿

好久没更新博客了,第一是比较忙,第二是觉得没什么可说的,我能说出来的那点事儿,早都被人说过了,当然了,最主要的还是懒,这次更新呢主要是给各位专业人士看,也可能看不到,因为除了爱搞社工的,其他人不一定对博主的文章感兴趣,他们只关心是否有sql注入漏洞。

我本人从来没把这个站点的安全当回事,因为这只是一个简单的博客网站,除了被当个僵尸网络,就算拿它来挖矿,可能这辈子也挖不出半个比特币,除了浪费网络带宽和我的硬盘空间,好像也没什么其他影响。

让我有点兴趣写这篇文章是发现有人在一直对我的网站进行暴力破解,有位国内的仁兄,一个ip地址就攻击了我十八万次,另外一个ip也有八万多次,还有几个攻击量比较大的ip,我也懒得查是谁了,懒人的方法很简单,我把ssh服务给关闭了,反正我个把月也不登录一次后台,不知道仁兄这几天还是否在暴力破解,是否能看到这篇文章,我也不知道有没有高手已经暴力破解了我的密码,顺利拿到了root权限。当然了顺便给大家提个醒,稍微有点安全意识的人,都不会允许root用户直接登录,而普通权限的用户名又是一个比较难猜的变量,我曾经见过一个人的用户名跟密码一样,是大于8位数的数字字母特殊字符的组合。所以对于我这样没有任何价值的网站,真心没必要花这么大的精力来攻击,第一不值得,第二,如果我没允许root用户远程登陆,您不是缘木求鱼么?还不如试试一句话呢!最后传个大马上来,就可以随意蹂躏了。

因为本站采用了nginx+php+mysql+wordpress架构,所以 除了暴力破解ssh密码外, 还有针对中间件的,针对php的,采用sql注入的,利用wordpress漏洞的,也算是各种手段都用上了。欢迎大家来搞,能给大家提供一个肉鸡也是我的荣幸,但是我要提个要求,毕竟你用了我花钱买来的资源。攻进来了告诉我一声,比如篡改个主页什么的,留个名号。等我不忙的时候我再缝缝补补,修好了大家继续。也希望大家能跟我分享一下攻击思路,反正我能想到的就是sql注入和wordpress漏洞,我ssh服务停了,就剩下80和443了,mysql不对外提供服务,所以也不用想了。还有个8080,我是想不出来怎么搞它。不过话说回来,玩儿DDos的都是耍流氓,也显不出大家的真本事。

提完了要求,就继续聊聊安全这点事儿,反正Kali大礼包自己慢慢跑去吧,喝口水,看看我絮叨,就当休息了。我之所以没有成为你们当中的一员,是因为高中时候,我一位恩师的劝导,说计算机有那么多应用,干嘛对黑客技术那么感兴趣,还是搞点有用的吧。虽然我心里很不赞同,认为黑客技术也是很有用的,但是表面上并没有反对,因为我对这位老师很尊重,上学学的计算机网络技术,后来搞运维,桌面、windows域控、linux服务器,什么都接触过,我也会攒机修电脑,当然了,到现在我的焊工也很一般,换个内存,主板,cpu还行,换个主板电容都没干过(好多年未曾遇见主板电容爆浆了)现在是一个不会写代码,不精通各种shell脚本的项目经理,说句自嘲的话,啥都干不好的人,最后还能干个项目经理啥的对吧。

虽然当年没进入黑客这一行,但是对于这个行业还是知道的,白帽子也好,黑帽子也好,灰帽子也好,反正大家都有一顶帽子,有的人戴腻了,可能会换一顶,有的人跟变戏法似的,都带着,遇见什么人就换什么帽。自古至今也没有过绝对的安全,人性实在是太难捉摸了。或许还有喜欢抽烟或者吮吸棒棒糖的,不管你手里现在是茶杯还是什么,问问自己,你得到你想要的了么?挖了多少漏洞?赚了多少黑金?扬名立万了?实现自我价值了?不知道你们有什么样的答案~也欢迎大家在本贴下面留言,反正你们也爆破了我的密码,如果还没破开,可能是需要换一个彩虹表了。

centos7+nginx+php72+mysql8简单环境搭建

我曾经问过大牛,php我怎么编译总有问题啊,还容易漏下一些模块,大牛跟我说,环境是拿来用的,你编译他干嘛啊,多麻烦,直接用yum源安装多好啊。这么多年过去了,我也发现了,除非有定制化需求,否则用通用的yum源安装,真是省心啊,这篇文章起源,我在浏览http的站点的时候,发现被DNS劫持,或者是其他手段,在网页中加广告,作为一个有洁癖的伪技术宅,这是忍无可忍的,所以必须升级到https了,但是升级的过程中一波三折,后来竟然重新做了环境三次,这次比较满意,以下纪录我的脚步,也是踩着其他抄来抄去的文章,填了无数的坑,明显是centos6上的命令,还观个centos7的标题,有些老命令向下兼容还好,有的命令或者参数都已经换了地方了,还按照老样子玩儿,玩儿死大家不负责啊。

还有一点提醒大家,拥抱变化,不要说centos7变化太大了,我不适应,还是centos6好用,php5好用,mysql5好用,是的,我当年觉得win98挺好用,xp也不错,win10全变了,看着头疼,但是你不跟着变,不适应变化,就是等死了~下面开始进入正题

继续阅读

千字文一

一次活动,小朋友台上背《木兰辞》,台下的小朋友特兴奋的说,我知道,我知道花木兰,我就问他,“那你说说”,他告诉我花木兰是王者荣耀里的人物。我知道,他以后会知道真正的花木兰的故事,孩子们没有变,文化没有变,变的是文化的传播方式。这就是为什么我要录制千字文故事的起因,我希望孩子们可以更多的了解我们自己的、正确的文化体系。我知道《千字文》可以作为学术研究,引经据典,讲起来会涉及到各方学科,但是本文作为孩子们的启蒙故事,采用目前被大众认可的常规解释作为底本,我本人能力一般,水平有限,不足的地方,还请大家指正。背景音乐源自网络,选择中国古典音乐,也是为了让孩子们更多的接触中国文化,如有侵权,请通知我,我会立即处理,故事为本人录制,版权所有,请勿用于商业目的。

释放你的速度与激情Mainnav-MG945抬头显示器

高速行车的时候,视线尽量不要离开路面,但是高速路上比较畅通的时候,不知不觉就上了140km/h,无论从哪方面来说,我开车都不喜欢超速,一直希望有个方案可以不用低头看车速,虽然现在导航设备已经很丰富了,但是喜欢安静和专注的我还是很少开车载导航(脱机的有时候数据又不准确,手机的也有些弊端)。当我拿到MG945的时候,虽然它的定位是在赛车级GPS抬头显示器,但是我第一反应是,我的目光终于不用离开路面了。 继续阅读

你的信仰在哪里

最近在准备一个演讲,我给定了一个非常高调的题目,《项目管理的中国实战》。目前影响全球项目管理最深远的莫过于美国的PMI了,中国在学习和通过PMP认证的人也非常之广,但是在通过PMP认证后发现,对于项目管理的道与术,我们虽然了然于胸,却很难落地,总有一种,不用这套方法会死,用了这套方法死的更快的感觉。其实这完全是因为PMP这套理论是在一个理想环境下,适用于美国国情,归纳总结的。作为一名PMP,首先你要具备的能力就是裁剪,如何将项目管理庞大复杂的过程、知识体系,裁剪到适合你,能真正成为手中的利剑,而不是枷锁。除此之外,在中国做项目管理,就必须了解中国人,而了解中国人就必须了解其文化传承,思维方式。还好,在这方面我们还是有迹可循的,沿着中国哲学的发展历程,就可以理清。 继续阅读

地球史前文明初探

我把这篇题目改了,我也当一回标题党。以前朋友拉着我说,走啊,给你算一卦去,我非常的讨厌,遇到这样的情况,我就把手掌给他看,然后握成拳,告诉他,我的命运在我手中。我要新办个手机号什么的,家人会说先算算,这个号适不适合你啊,生活中这种事好像还不少,不就是什么数字能量学么,忽悠的多么神奇,不还是《周易》六爻的数理学么,烦死了,我干嘛要听人忽悠呢,我怎么知道你是神算还是招摇撞骗,你会算,我干嘛不会算,从那时候起我开始读《易经》。 继续阅读