苏洋博客

文章列表

Brute Force Attacks On WordPress

2015年01月30日Linux, Nginx, WordPress

今天早些时候看到 Linux 又爆出了 glibc 的漏洞，顺手修复的时候看到了 WordPress 的一篇漏洞利用的文章。这类手动其实在 2010 年的时候就曾沸沸扬扬的闹过一次，解决方案除了祭出 fail2ban 之外，还可以使用下面的方式来进行防御。在 Nginx 配置合适的位置中添加：阅读全文

加速 Ghost 静态资源

2015年01月25日Ghost, JavaScript, Node.js

Ghost最近势头不错，连续几个月，基本每个月都是release 2个版本，不过也正是因为如此，ghost每次发布之后，API都会有些许变动。故，不建议在官方merge任何i18N功能之前，使用中文版本，毕竟后台没几个英文，前台主题可以依赖自己的主题模板去实现i18N，没有使用影响。下面分享一个简单修改的细节，可以使用七牛一类的CDN服务商无痛加速网站资源。七牛官方分享的加速方案是网友修改storage接口，将内容不存自己的服务器，直接使用CDN，个人觉得不妥，不利于迁移维护，以及临时灾备，况且把AK,SK都存下来，对于后续升级也不利。阅读全文

WNDR 4300 刷机及使用建议

2015年01月25日Linux, OpenWRT, WNDR4300, 硬件经验

双十一的时候，JD活动，入了WNDR4300，已经有两个多月了。入手后因为担心后门问题以及考虑使用舒适状态，不自觉的就刷成了openwrt。目前使用稳定，简单说一些建议，以免大家盲目去安装软件。当然，如果你的带宽小于百M，组网环境也小于百M，没有过多的5G设备，且没有使用NAS作为家用储存，那么请随意折腾，发挥其余热。年末的时候因为电信的问题，把3台路由都重启了，目前的运行状态如下：（无下载，正常浏览文本内容，有一些网络应用，手机联网）阅读全文

简单配置服务端代理 Tengine

2015年01月24日Linux, Nginx, Tengine, 基础配置

刚刚说完[Apache]，接下来写一下tengine(nginx)。tengine是建立在nginx上的开源软件，添加了一大堆feature，并且你可以使用自定义的内存管理，不管是作为前端代理，还是前端缓存，效果都是萌萌哒的。 nginx和tengine略有差异，请查看[官方Wiki]、[Tengine]。阅读全文

简单配置服务端代理 Apache

2015年01月24日Apache, Linux, 基础配置

nginx和apache各有千秋，前者专注前端代理，后者生态圈有大量协同软件，两者交叉的圈子的前端代理行为也有诸多细节不同，个人建议，如果是开源软件，请本地使用apache作为主代理环境，远程服务端和本地测试端使用nginx作为测试环境，以做到兼容不同的前端代理（重写，探测等功能点）。简单说明一下两者勾搭HHVM/Node，以及Anit，先写apache吧。有部分线上环境，甚至会使用nginx作为apache前端，不过如果本地测试（非模拟），不必如此。 [apache文档]，如果你用的不是trunk版，请选择自己的版本。先发本地Apache配置示例：阅读全文

配置 Ubuntu 14.04 Web Server 基础环境

2015年01月24日Linux, Ubuntu, 基础配置

去年年末，重新整理了一套基础环境搭建的Guide，之后在四次机器迁移中起到了蛮重要的作用（偷懒）。内容不定期更新修正，如有错误，欢迎指出。大Debian系的Ubuntu使用起来甚是顺手。首先根据自己的情况选择系统版本，建议使用最新的LTS。比如：Ubuntu 14.04 LTS 如果安装源慢（使用国内机器/虚拟机/连接国外网络环境不佳），则替换安装源（可选）。阅读全文

格式化 UserAgent

2015年01月19日JavaScript, User Agent

数据统计和降级实现基础之一，格式化UserAgent。阅读全文

如何相对正确的书写页面 head

2015年01月14日HTML, Head

清理evernote，看到去年8月10日写的博客改版的计划。许多都已经做到了，许多细节处理或许之后有空的时候，可以写几篇长文出来分享。经过细节调整，一般情况下，可以在1s之内完整“呈现”页面，这靠的不单单是“页面的输出HTML静态化”这么简单的事情来完成的。此中大概，如果有兴趣，可以参考：[天下武功，唯快不破] 本篇暂且记录一些未完成的东西，其中每一点差不多都能做成单独的服务或者在网上已经有了成型的产品。阅读全文

Search flood exploit

2015年01月12日exploit

09年，有一款脚本相当流行，通过创建随机的tag以及分类，或者给搜索参数添加随机数字/字符串来达到拖挂MySQL的目的。其实不单单对于对搜索没有防备的WordPress有效，对于任何资源有限，而执行时间比较长，没有缓存的操作，都有一定的杀伤力，如果IP数量比较多，且持久的进行测试/攻击，那么便可以造成拒绝服务的效果。昨天发帖之后，有个童鞋倒是提醒了我，于是更新了一下内存缓存的策略。阅读全文

服务器回迁后的事情

2015年01月11日服务器迁移, 站点建设

服务器迁回HK有一两周了，访问状况看着不错。对于鸭梨访问的情况，有带宽/网卡/TENGINX/REDIS/HHVM的层层关卡下，可以保障机器MYSQL无虞。从后台机器浏览看，大概经历了10次左右的网络流量峰值，不过DB没有什么异常。回想起来，从SAE迁出之后，有好久没有使用过Object-Cache了，这次针对程序，单独写了一套缓存逻辑，带有一个有意思的小功能，“投币”，访客访问一段时间后，会根据情况添加缓存的生命周期，单个页面经历热点事件和被抓取的情况下，结果感人。只可惜的是Redis不支持hsets中的key的expire，需要自己实现一套逻辑来维护sets中的key的过期。阅读全文