Tag Archive for 'hack'

Media Temple Hacked

Posted on 2009-11-27 in Blog RelatedComments

MT 居然采用明文方式存储用户 FTP/SSH 密码,于是杯具发生了 —— 貌似一台 GS 服务器被黑了,结果可想而知,我就在那 10% 的用户之列。博客页面 footer 被黑客挂了类似的代码:

<!-- [ea1bce76cc34b90bf0e3eb07e662b430 --><!-- 9190819521 --><noscript>
<ul>
 	<li><a href="http://rg8rhg34h34h.cc/c " > . < /a></li>
</ul>
</noscript>< !-- ea1bce76cc34b90bf0e3eb07e662b430] -->

查找了一下被感染的文件:

find ./ | xargs grep 'eval(base64_decode('
find ./ | xargs grep '<!--\['
find ./ -mtime 0

./sparkleisle.com/html
./sparkleisle.com/html/index.html
./voidman.com/html
./voidman.com/html/index.php
./voidman.net/html
./voidman.net/html/index.html

所幸影响不大,手工修复了。

MT 对采用明文密码的解释是:

“Clear Text” is a method of storing passwords in a database so that they are human readable. This preference was made to provide customers a convenient way of managing access to their services, e.g. connecting a PHP app to MySQL.

出发点是好的,可是做法太脑残了。

最后,雪特 AND 发可。

WordPress 的 Hook 机制在 Discuz 二次开发中的应用

Posted on 2009-05-02 in Web DevelopmentComments

最近工作需要对 Discuz 做二次开发,本着最小化改动方便以后升级的原则,我引入了 WordPress 的 Hook 机制(即 Plugin API)来降低二次开发代码与 Discuz 原生代码的耦合度。

WordPress 内部提供了许多 Hook(钩子),以便插件可以将相应的 action 或 filter 挂接上去接管或改进 WordPress 的默认处理来达到自己期望的目的,在处理完毕后将控制权重新交给 WordPress。而我们所要做的就是将这种机制移植到 Discuz 中,所幸的是,WordPress 的 Hook 机制并没有过多地依赖于它的其它核心程序,所以基本不需要做多少修改就可以拿来使用。
Continue reading…