新品葱恢复运行,站长发了一个公告,我在这里逐条点评。
本站运营在极为廉价的服务器之上,无法应对长时间大流量的DDOS攻击。
本站自8月27日来受到持续数日的DDOS攻击,采取各种措施后只能勉强维持网站访问,但页面加载时间因遭受攻击仍然较长。
DoS攻击就是连续重复访问网站,将网站资源耗尽,例如CPU满载或者网络堵塞,以达到阻止其他人访问的目的。
-
自8月29以来,2047连续遭到来自某已知身份网友的DoS攻击。2047的后端是python双进程,服务器CPU是12核,内存16GB,在整个攻击过程中没有宕过(这个配置至少可以扛100QPS),资源占用率未超过20%。唯一受到影响的是nginx代理因为连接速率过高而过载(因为对nginx有资源限制)。
-
2047跟新品葱一样使用cloudflare代理。cloudflare是一种内容代理服务,就跟大家上网用的VPN差不多,只不过一般的VPN是网民用,这个VPN是给网站用的。每当新品葱挂掉,大家都会看到502错误,这个502错误就是cloudflare给出的,意思是cloudflare连不上新品葱。
-
发现nginx过载问题之后,2047开启了cloudflare自带的DDoS防火墙,使得所有DDoS流量被cf拦截,无法到达nginx代理,服务立刻恢复正常。从开启DDoS防火墙至今,2047后端没有再收到任何DDoS流量。
新品葱无时无刻都在被各种人DoS攻击,从年初攻击到年尾,所以品葱早在2020年就开启了cloudflare的DDoS防火墙,被DDoS拖垮的可能性接近零。**如果DDoS攻击导致“持续数日勉强维持网站访问”,品葱站长需要做的就是把cloudflare的DDoS防火墙调到高防护等级,而且他两年来一直都是这么做的。**换言之,如果被DDoS会导致品葱卡,那么品葱应该无时无刻都在卡,而不是只有8月27号才卡。实际上,自8月27号以来访问品葱的用户中,暂时还没有人反馈收到cloudflare的captcha,说明品葱并没有将cloudflare的反DDoS措施开到最高,最合理的解释就是并没有遇到任何显著的DDoS攻击。
所以品葱在宕机前遇到的卡顿问题,我非常肯定与DDoS攻击无关。如果确实遭到了DDoS攻击,希望新品葱站长能花五分钟时间展示一下证据(例如服务器日志,流量图)。
因数据遭到清空,无从查证此故障与长期的DDoS攻击是否有关联,但我们认为此时发生故障并非偶然。持续的经费不足致使本站只能运行在廉价的服务器上亦为导致本次灾难的原因之一。
新品葱的服务器并非站长所声称的极为廉价的服务器。很早以前就有人统计过,品葱数字货币捐赠收入在一千到四千美元左右,而以目前云服务均价而言,品葱这样的网站规模每个月大概支出20美元,一年就是240美元,仅数字货币捐款就可以支付三到五年的云服务费用。对此我建议新品葱站长直接出示账单,消除网友疑虑。
在8月30日8:54 UTC左右,我们的服务器数据突然遭到供应商清空。出于安全疑虑,我们已停用仍有仍有半年余额的服务器供应商
服务器供应商给出的解释是系统出现严重故障,数据无法得到恢复。
此故障并非我们团队内部紕漏所致,站方人员皆平安无事,亦无已知数据泄漏的的情况。
品葱的云服务器提供商是vultr,vultr在这方面是有记录的 https://www.reddit.com/r/webhosting/comments/g4owpt/vultrcom_lost_my_server_they_lost_all_my_files/
vultr 的 TOS 是这么说的:https://www.vultr.com/legal/tos/#tos_21
REGARDLESS OF THE TYPE OF CLAIM OR THE NATURE OF THE CAUSE OF ACTION, YOU AGREE THAT IN NO EVENT WILL... BE LIABLE TO YOU IN ANY MANNER WHATSOEVER:... (B) FOR LOSS OR INACCURACY OF DATA, ... FOR BUSINESS INTERRUPTION OR SIMILAR ACTION, EVEN IF VULTR HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES;
翻译成中文:你的数据如果丢了,我们服务商是完全不负责的,备份是你们的责任。
但即便这样,类似故障也是极其罕见的。我目前没有看到任何关于vultr起火的新闻,如果有可能的话,希望新品葱站长出示服务商邮件,证实问题确实是由于服务商故障导致的。
考虑到各种安全因素,备份用户数据极为繁琐。在整个网站几乎只有我一个人在业余时间管理的情况下,我很遗憾地告诉各位葱友本地的用户备份只到2020年9月。
-
在2047,所有人的所有数据是每10分钟自动备份一次的
这种频率的备份是不可能手动操作的,必须自动化。品葱站长说“备份用户数据极为繁琐”,是不是因为每次都要对着手册一条一条SQL命令打,打得烦了所以决定放弃备份呢?
不幸中的万幸:新品葱的帖子数据可能是有自动定时备份的,重开之后所有帖子数据都没有丢失。 另一种可能性是品葱站长通过网页备份还原了早期帖子,具体是怎么恢复的估计会在接下来几天揭晓
-
2047的用户密码是以
pbkdf2-hmac-sha256
的hash形式保存的,而且hash之前在浏览器端还有另外一层本人开发的自定义hash将密码与用户名混合,所以即便取得了后台密码文件,也是无法直接通过任何现成工具破解的。就算破解者自己编写OpenCL程序,除非用户故意使用非常简单的密码,否则破解所需时间也是天文数字。例如我本人的密码是:
{ "uid": 5108, "hashstr": "1d4b6167d49a27fd16b89d7f79f45fac7bf9573d420da105d3559c14a47ae3f5", "saltstr": "ae655bea0990ca8cbc2767972c1350c8bbc99d36234384f0445865a070f95302" }
品葱的密码是bcrypt的,虽然安全系数没有2047高,尤其是存在现成的工具可以破解,但只要用户不使用简单密码也是相当安全的。所以我不知道他说的“安全因素”到底是什么因素,只能由他本人来说明了。
-
品葱站长说“几乎只有他一个人在业余管理”,和实际情况不符
https://github.com/pincong/pincong-wecenter 品葱站长自今年一月之后就没有更新过品葱代码,目前很高的可能性是他自今年一月以后就没有摸过服务器(所以才没有备份数据),也就是完全没有管理,而不是他说的“业余管理”。
我很遗憾地告诉各位葱友本地的用户备份只到2020年9月
其实没什么好遗憾的。2020年9月的备份,除了站长说的“本地用户备份”之外其实还有一个,就是来自台湾的2047网友 @习猪习 的备份:https://github.com/PincongBot/pincong
在2020年5月,品葱站长因不明原因停止发布品葱备份之后,@习猪习 有一段时间坚持用网页爬虫备份品葱所有帖子,但是到2020年9月就放弃了,**因为2020年9月之后,大家一致认为品葱已经没有什么珍贵的、需要保存的内容了。**现在看来,品葱站长内心应该也是认同这一点,所以2020年9月之后他也决定停止备份自己的网站。
关于品葱言论质量严重下降的问题,我2020年9月写过一篇作为站长我可以负责任的说新品葱是一定要完的 ,没想到一语成籖。
虽然我们通过各种途径恢复了在这之后的九成以上的数据,但我们还是失去了大量宝贵的发言,在此我们向各位葱友致歉。
知道向网友道歉了,有进步。
然后点评一下葱油的评论。
我的【问题、文章、答案、文章评论】,凡是能点赞的帖子,都还在。 收藏没了。2021年1月24日以后的问题评论、答案评论都没了。
2021年一月,正好是品葱站长最后一次摸服务器的时间:)
本人不懂技術,就想弱弱地問一句,是不是CCP的黑客攻擊呢?
谢天谢地品葱活过来了!!!一天不骂中共,俺浑身难受。
这次的攻击非常高明,肯定是利用了一个还未被发现的漏洞,这肯定是中共资助的。 只有大半辈子花在研究网络攻击的专家,才能做得到。说不定还会有二次袭击。
- 目前并无任何品葱被DDoS攻击的证据。
- DDoS攻击不需要网站有任何漏洞。
- 如果这里的DoS漏洞指的是HOI发现的紫薯布丁漏洞,那么HOI本人已经声明了,他并没有接受中共的资助,他只是看不惯品葱。
- 并不需要大半辈子研究网络攻击,HOI是上网看教程自学的。
搞个比特币地址,大家都捐一些不就可以弄个好的服务器么?
站长和各位管理员辛苦了 侧面证明新品葱的重要和必要 也希望大家能够力所能及的赞助 环境永远离不开人 失去了不重要 我们还能从新再来
站方能接受USDT吗
- 以上两位体现了目前品葱用户的平均智商:加入品葱半年,居然连品葱从2019年开始就接受所有数字货币捐赠、捐赠链接就放在首页上都看不见。
- 之前大家捐了几千美金,结果品葱站长收完大家的钱(从募捐账户转走有记录)自己偷偷弃坑,出事原因明明是懒却说自己穷,现在谁还敢捐,当金主都是傻的吗
目前网站很卡 时不时还出先502 重新注册个号花了10分钟以上 不知道是不是还有人在攻击 唉
和攻击无关。品葱刚把服务器从vultr上撤下来,下家还没找到,现在整个品葱运行在他自己的笔记本上,怎么可能不卡
玩了大半年的号就这么没了已经够糟糕了,重新注册还要面对这反人类的验证码。刷了好多次才能有一个大概看清的,结果输进去又不对,再加上现在网站卡的很,我能注册上号真是上苍庇佑的福气。
-
品葱注册:人类诚实用户 × 脑残复读机 √
-
2047注册:人类诚实用户 √ 脑残复读机 ×
主要还是因为品葱站长代码水平实在太差,最多只能限制用户发言,更复杂的写不出来了。