David's blog

MT 居然采用明文方式存储用户 FTP/SSH 密码，于是杯具发生了 —— 貌似一台 GS 服务器被黑了，结果可想而知，我就在那 10% 的用户之列。博客页面 footer 被黑客挂了类似的代码：

<!-- [ea1bce76cc34b90bf0e3eb07e662b430 --><!-- 9190819521 --><noscript>
<ul>
 	<li><a href="http://rg8rhg34h34h.cc/c " > . < /a></li>
</ul>
</noscript>< !-- ea1bce76cc34b90bf0e3eb07e662b430] -->

查找了一下被感染的文件：

find ./ | xargs grep 'eval(base64_decode('
find ./ | xargs grep '<!--\['
find ./ -mtime 0

./sparkleisle.com/html
./sparkleisle.com/html/index.html
./voidman.com/html
./voidman.com/html/index.php
./voidman.net/html
./voidman.net/html/index.html

所幸影响不大，手工修复了。

MT 对采用明文密码的解释是：

“Clear Text” is a method of storing passwords in a database so that they are human readable. This preference was made to provide customers a convenient way of managing access to their services, e.g. connecting a PHP app to MySQL.

出发点是好的，可是做法太脑残了。

最后，雪特 AND 发可。

最近工作需要对 Discuz 做二次开发，本着最小化改动方便以后升级的原则，我引入了 WordPress 的 Hook 机制（即 Plugin API）来降低二次开发代码与 Discuz 原生代码的耦合度。

WordPress 内部提供了许多 Hook（钩子），以便插件可以将相应的 action 或 filter 挂接上去接管或改进 WordPress 的默认处理来达到自己期望的目的，在处理完毕后将控制权重新交给 WordPress。而我们所要做的就是将这种机制移植到 Discuz 中，所幸的是，WordPress 的 Hook 机制并没有过多地依赖于它的其它核心程序，所以基本不需要做多少修改就可以拿来使用。
Continue reading…