家园论坛自2005年9月18/9月19日以来,连续四天长时间中断服务的声明
事件起因:
1)某人在家园论坛服务器上多处上传/隐含了一个php脚本,可以查看服务器的文件
2)通过这个脚本,此人可以查看到论坛程序的配置文件,从而得到mysql数据库的用户和密码,并具有了删除或者上载在可读写目录的文件的权限
3)此人通过得到的用户和密码,可以利用论坛的数据库管理程序对论坛数据库进行操作.
事件过程:
1)此人精心选择了一个合适的时机,在2005年9月18号左右,把用户资料表里面的密码和邮件等数据删除,同时也删除了上传目录"可读写目录"的所有图片和附件
2)在家园论坛技术人员第一次恢复数据后,此人使用了一个不同的策略来隐蔽自己: 只是删除mysql数据库的用户和密码,从而使论坛程序无法连接到数据库. 因为其预计到家园论坛技术人员当前处于无法保证上网时间和条件的困境
3)这样每隔大约5-8小时,重复三次后,此人的活动才被发现
4)在家园论坛技术人员最后恢复这个论坛的时候,此人还在活动,最后的一个动作是删除整个数据库
家园论坛的损失:
此次事件对家园论坛造成巨大的损失:
1)家园论坛2005年8月17日后,所有新用户的注册资料; 几乎所有的附件和图片,家园论坛有:2005年7月20日的所有数据(数据库+附件)备份(1G左右数据),上传这些数据需要时间
2)连续三天的长时间中断服务,家园网友这段时间内发贴几乎全部损失,上网质量完全丧失.
3)家园论坛管理人员的正常生活
家园论坛的检讨:
1)笨笨2005年8月底登陆后,有很长一段时间处于无法保证上网条件和环境的情况下. 登陆后,一直使用别人的代理服务器网络或者图书馆的受限制网络,这样的网络,只能访问论坛和发贴,无法登陆和管理服务器,从而导致家园论坛技术管理处于长时间的真空状态.
2)家园论坛没有及时的备份论坛数据.
3)家园论坛向所有受到影响,数据丢失的网友郑重道歉,并将尽可能的提供支持,减少您的损失.
事件的证据:
1)家园论坛拥有所有未经授权,私自创建,保留,隐藏服务器用户,非法登陆家园论坛活动的所有记录(IP地址和活动时间)
2)家园论坛拥有此次事件所有攻击操作(非法访问php脚本 (easyweb)和论坛管理程序)的日志(IP地址和活动时间)
致谢:
1)家园论坛的管理人员AIM姐姐和另外两位暂时没有宣布的技术支持人员,是你们和笨笨一起度过和解决了这次危机
2)特别谢谢懒人和小南瓜,是你们给笨笨提供了温馨的上网环境
3)特别谢谢所有支持家园网的朋友,没有你们; 家园网,还有笨笨, 坚持不到今天
4)最后谢谢笨笨老婆,没有你的包容和理解,笨笨早就放弃了
后续减少损失方案:
家园论坛自2005年8月17日后注册用户无法登陆,解决方案专贴
解决方案:
1)重新注册相同的用户名.
2)如果您发贴不多,声望不高,可以考虑,从头再来
3)如果您希望与您原来的用户和发贴关联起来,请在本贴跟贴;并提供任意一个原来的发贴连接(该发贴下面有您的名子,只是下方头衔显示为游客),以加快您的恢复过程。
4)家园论坛管理员手工恢复您的用户名.
5) 因为每个手工恢复可能耗时10分钟,请您理解和保持耐心。
6)在等待手工恢复的时候,您可以继续发贴和加声望;手工恢复后的信息将是两者之和,您无需担心丢失您的数据。
其它待更新事宜:
1)临时禁止了头像和上传照片功能,因为这些可读写目录可能和已经被用做隐藏代码的位置.
2)笨笨现在在重新安装一个干净的系统,同时每隔15分钟备份一下数据.明天起来,一切会好起来的
自笨笨发表这个贴子后,这个垃圾又使用 附件目录files/ 和 头像目录customavatars/ 下面隐含的同一个文件,使用同样的伎俩,重复了下面所说的勾当.
笨笨今天有幸能够保持在线,如同这个垃圾所说的:
Game is over! 今天俺能够确保这个垃圾永远消失!