◎十一年遭一劫 正值筆者創辦的數位之牆邁入第十一個年頭,最近一個月卻經歷了前
所未有的浩劫。網站兩度停機,累計停機時間達八天。損失廣告收入
80美元及數個熬夜的夜晚,以及修復後跌了一半的網站流量。 2008年 4月15日,數位之牆的網站代管廠商來信,說網站消耗系統資
源過大。由於此類網站代管都是在同一台伺服器上設置多個的網站,
因此如果某個網站消耗太多資源,就會影響到其他網站。 這間代管廠商直接封了帳號,停了數位之牆,並在信中說明這個帳號
不可能恢復請搬家吧。其實資源消耗問題一直都在,他們之前也持續
跟筆者溝通,而筆者也改寫了部分程式,但沒想到這招來得又快又狠。 筆者沒意識到數位之牆本身已經成長到一個程度,這間網站代管商提
供每月美金10元的代管方案便宜好用服務態度佳,筆者相當滿意的用
了五年以上,但是卻沒提供任何升級方案,搬家已經是勢在必行。 搬家到相同等級的代管廠商是沒用的,保證會再被踢出來。筆者戰戰
兢兢的選擇了使用 VPS(Virtual Private Server)服務,這種網站
代管方案每個月成本大約在40到80美金不等。 最大的障礙不是急升的成本,而是 VPS相對要求較高的技術能力。這
其中包含了有沒有能力判斷一家 VPS服務供應商所提供的系統環境是
否符合自身所需。 ◎升級挑戰技術能力
筆者一開始選擇的服務供應商,價格相對便宜只要30美金一個月,但
隨後對方花了三天的時間連個伺服器管理介面(業界常用的 Plesk)
都啟動不起來。筆者實在沒有時間跟他折騰了,趕快換了另一家。 系統設定最是頭痛,筆者拉了一個精通微軟技術的好友幫忙做系統設
定,但最後幾乎是靠著自己摸索外加服務供應商大量協助在兩天時間
完成。幸好Plesk 確實好用,也能快速上手。 五天過去,網站重新開張,流量掉了一半。令人驚訝的是,停機期間
網站是不能連結的,而卻沒有任何人來詢問筆者。網站恢復後,馬上
湧入大量的公關公司在數位之牆的《產業動態》張貼新聞稿。 《產業動態》單元是給科技公司發布新聞稿用的,平常每天會有10篇
左右的稿量,已成為科技產業重要的發布訊息管道。這些公司五天連
不上網站,已經累積大量稿件蓄勢待發。 筆者感到意外。一個網站消失五天無人聞問,可能表示這個網站消失
50天也可以,換言之可有可無。我以為數位之牆最有價值的地方在於
文章,但從反應看,其實是成為科技產業發布訊息的管道最有價值。 正當筆者感嘆於自己的渺小,數位之牆網站之可有可無,以及「苛刻
的網站代管服務商人比駭客還要狠」的時候,2008年 5月 4號,數位
之牆網站遭到駭客入侵。 ◎駭客上門來 筆者是因為看到《產業動態》的首頁版面有點奇怪,連線到資料庫查
看時,才發現資料庫已經被植入木馬。與系統設定無關,對方是利用
筆者撰寫程式的漏洞,採用了稱為 SQL Injection的手法入侵。 SQL Injection 並不是難以防範的入侵方式,但筆者不是專業程式設
計人員,撰寫程式的基本功夫並不紮實。一個被筆者緊急召喚來幫忙
的高手朋友,在看過程式碼以後居然挖苦的說: 「你寫這樣的程式能保持10年不出事,真是不容易」 筆者其實在去年就已經發現資料庫裡經常會多出一些奇怪的Table ,
也知道SQL Injection ,但由於沒有造成資料的損壞,所以只是把那
些Table 刪除了事,得過且過,以至於這次資料完全遭到損毀。 幸好,VPS 廠商有每天備份資料庫。筆者調出 5月 3日的資料,先把
它恢復了,網站維持停機狀態,請朋友開始做程式碼修改。這一停機
,又是三天的時間過去。 筆者拿到VPS 服務供應商提供的資料庫檔案時,不免多少感嘆。一個
經營了11年的網站,最終以及最精華的心血結晶也就是這個大約40MB
的檔案而已。一旦被刪除,最終還剩甚麼?沒有了,甚麼都沒有了。 這個程式架構先天不良的網站何以能在駭客手下安然度過11年還有一
個原因。以往的駭客多半只是為了證明自己的技術實力,現在的駭客
則是為了賺錢。以前的駭客入侵只是來打個招呼,現在則是植入木馬。 ◎網路安全的挑戰更加嚴峻 數位之牆11年發展歷程中,約略可看出網際網路潮流變遷。從1997年
開始使用免費個人網頁,到1999年正式建立網站僅採用微軟Access資
料庫做資料存儲,到最後撐不住流量改用微軟SQL Server。 網頁編碼從最早Big5繁體中文,到為了跟上Web 2.0 全面改寫UTF-8
,為了提供RSS 服務,引入XML 文件格式。還曾經為了要提供Widget
服務去研究AJAX,接下來說不定會接入各式社交網路開放平台服務。 如果有某個公司的網站跟數位之牆一樣存在了10年以上,想必也已經
修修補補好多次,各種技術雜陳,負責開發網站的人改朝換代交接了
不知道多少回。於是最終會遇到的問題是,不知道安全漏洞在哪。 這可能是為何前陣子台灣某資訊安全科技大廠被爆出網站出現跨站指
令碼攻擊(Cross-Site Scripting, XSS )安全漏洞的原因:只要沒
出問題,沒人會想翻箱倒櫃把以前架構重整,跟筆者心態完全一樣。 當筆者發現資料庫內容遭全面覆蓋時,有種萬念俱灰的感覺。遙想當
年買下網址開始寫程式建站,感覺網際網路容易入門,真是小本創業
者天堂。11年過去,現在的環境卻要求著自行架站者必須懂得更多了。
(文:黃紹麟)
上一篇:社交網路服務的廣告營利模式初探
下一篇:中國的電信重組競爭態勢(一)贏者通吃的市場格局
■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 再回首行動網際網路(五):企業的行動電子商務策略 - 2014/05/18 ■ 微博:45度仰角的未來(三)對電子商務的衝擊還不夠 - 2011/05/15 ■ 漫談電子書(二)傳統出版社的價值不再 - 2010/05/16 ■ 談中國電子商務(六)如何激起購物衝動 - 2009/05/17 ■ 談中國電子商務(五)網上分店與虛擬加盟 - 2009/05/10 ■ 數位之牆的十一年浩劫 - 2008/05/18 ■ 社交網路服務的廣告營利模式初探 - 2008/05/11 ■ 從電子商務夥伴計畫(Affiliate Program )看長尾理論 - 2007/05/13 ■ 35歲男人應該做的事 - 2005/05/15 ■ 競標網站清理門戶 - 2004/05/16 ■ 3G來了(八)3G的第一批使用者是誰 - 2003/05/18 ■ 電話黃頁,搜尋引擎,交易市集 - 2002/05/19 ■ 我那 E化還沒完成就馬上面對 M化的母親 - 2002/05/12 ■ 內容為王-傳統媒體對入口網站的反撲 - 2001/05/13 ■ 寬頻網站服務 - 2000/05/14
|