April 01, 2003

傳送至 Kindle
互動式隨選列印/另存成 PDF

[道聽途說]愚人節快樂!

熱切關心藝立協這一群部落客的朋友,可能會注意到今天一早就出現了一堆「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」標題的文章;連過去一看,不但這些人的網誌內容蕩然無存(真的蕩然無存嗎?),而且頁面內容充斥著反戰宣示,以及「妳的站台被鬼掉了!」的標題。

別緊張,這祇不過是愚人節到了。 Movable Type 並沒有甚麼安全性漏洞,藝立協依舊洋溢著青春快樂(?)的氣氛。且讓我們看一看,今天發生了些甚麼事(圖很多喔)………

最早作怪的應該是我自己吧(自首)。我把自己的首頁改成這樣:
Jedi 的首頁被改過了
妳可以看到文章標題都變成了「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」,然後內文則是「MAKE LOVE! NO WAR!」;最底下的「JOiN NoW!! MAkE LOvE fREE!!」則是鏈結到 Slashdot
同時我還修改了 RDF :
Jedi 網誌的 RDF 也被修改過了
所以在各個有 Syndicate 的站台(例如 blog.elixus.org )上,所有的文章都會消失,祇剩下一篇跟首頁內容相同的。這一篇的署名是 DarthVader ,這完全是惡搞,結果果然引出了 zonble 的那一篇「絕地武士不敵黑武士?」。
題外話,如果妳夠細心的話,就會發現我的首頁的「作者」詮釋資料 (metadata) 也一樣修改成 DarthVader 了。

大約 00:30 的時候, Schee 發現了,於是他也跟進改了首頁及 RDF :
Schee 的首頁被改了
Schee 網誌的 RDF 也跟著遭殃
他的修改大致跟我的沒有不同,也一樣署名 DarthVader

約莫凌晨 1:20 左右, acer 也跟進了:
acer 改了網誌首頁
她用了一個 ASCII ART ,寫著「cracked make love no war」,並且鏈結到 indymedia 去。然後她的 RDF 也一樣有修改:
acer 的 RDF 也被改了

其實 autrijus 很早也發現了,她把自己的網站也改成這樣(七彩霓虹燈!):
autrij 的首頁改得花花綠綠的
當然也動了 RDF :
autrijus 也修改了 RDF
甚至附上了修改用的源碼:
autrijus 改首頁用的源碼

於是,妳就可以在藝立協的 Syndicate 網站看到如下的一整排「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」:
被黑事件在正體中文blog中心掀起旋風

接下來, gugodNewzilla 上面報導了這件事,同時我也用簡體字偽造了一份匿名評論:

你们这些亲美好战的台湾资本主义份子,
这下尝到苦头了吧!互联网博大精深!世界不是你们的!
尤其是那个甚么 J 开头的王八蛋,害我的 Google Rank 一落千丈,
这下我就以彼之矛攻彼之盾,看你还有甚么脸写甚么书!
哼哼哼哼,等著看更多站台被我修理吧!!!

Newzilla 上的報導與偽造的匿名評論

不久之後, acer 又把「正體中文blog中心」改成「歪體亂文blog中心」:
「正體中文」被改成「歪體亂文」

對了, plasmabal 也終於如願以償地響應了:
plasma 的網誌也被改了

接著 hcchien 決定開始玩「大的」,於是他修改了正體中文blog中心的網頁伺服器:
正體中文blog中心啥也不剩了
妳可以看到,這下子誰的網誌也連不到了:
網誌通通連不到了

在這一串亂七八糟之外, hlb 也把自己的網誌改成連到 siiy 的網誌去:
hlb 的網誌首頁也被竄改了
同樣地, siiy 的網誌則會連回 hlb 的去:
siiy 的網誌首頁一樣被竄改了

我其實沒有花八個小時把 HTML 靜態頁面的文章內容轉成 Movable Type 匯入格式(不過我真的曾經花了十多個小時救回某個被人家刪除的網誌,也纔處理完四十幾篇),倒是在電腦前面捧腹大笑了一整個下午。不過,也許各位讀到這一篇的時候,確實也該備份一下妳自己的網誌了?

呃,為此操心著急的朋友們,真是抱歉了。

(+) 於 所發表 |
[創用 CC 授權條款]
愚人節快樂!〉由 Jedi 製作,所有內容如無特別聲明,一律以創用 CC 姓名標示 3.0 台灣版授權條款釋出。
相關文章:
    歷史上的今天:
    迴響
    [ 1 : 靜態鏈結 ]

    各位是够费心的,我上了连环当

    Isaac 發表於 April 1, 2003 04:17 PM
    [ 2 : 靜態鏈結 ]

    夭朽啊~ 害我半夜三更又是截屏又是切图又是KEYIN就为了帮你们在这边秀一下!

    http://digiblog.org/forum/viewtopic.php?topic=400&forum=4

    由 badle 發表於 April 1, 2003 05:17 PM
    [ 3 : 靜態鏈結 ]

    哈哈,大家都很會裝...lol
    不過為什麼不等節日過了再揭曉呢XD

    Jimmy 發表於 April 1, 2003 06:31 PM
    [ 4 : 靜態鏈結 ]

    因為愚人節也有上下班的啊。

    下班前就應該揭曉,玩太絕總是過於缺德,會損失好朋友。另一方面,早一點揭曉纔有機會能夠免責吧。

    Jedi 發表於 April 1, 2003 06:45 PM
    [ 5 : 靜態鏈結 ]

    真希望沒有人因為這樣就把MT給反安裝從此不用了....
    我還以為它終究不甚安全哩

    由 boogieman 發表於 April 1, 2003 10:09 PM
    [ 6 : 靜態鏈結 ]

    movabletype其实并不适合做多用户blog管理系统。其中的权限管理和安全并不完善。比如upload文件,可以用../就写其他目录了。还有就是修改template同样有这样的问题。另外就是如果给用户增加自己blog用户的权限,居然他可以做其他管理员的事情。实在不好。

    winter 發表於 April 1, 2003 11:25 PM
    [ 7 : 靜態鏈結 ]

    其實沒有這麼慘。

    Movable Type 上確實有一些安全上的顧慮,不過總是有方法可以處理掉。祇是妳得在事前有清楚的規劃,纔能夠防堵所有的漏洞。

    例如說,把每個使用者的目錄錯開,讓她們彼此更獨立而不受影響。諸如此類。嗯,我來加一個章節好了。「網誌組態」裡的「核心設定」確實是會讓人頭疼的地方,也許可以建議 Movable Type 的作者多做一個權限設定。

    另, Movable Type Pro 也許會有更好的作法。

    Jedi 發表於 April 1, 2003 11:39 PM
    [ 8 : 靜態鏈結 ]

    错开有用么?用 .. + dir-name就可以访问了。还有一个顾虑我没有试验。就是template允许用publish出php文件。这样的话,实际上是可以往系统写恶意代码并运行的。除非你的weblog目录是只能用html.

    winter 發表於 April 2, 2003 12:15 AM
    [ 9 : 靜態鏈結 ]

    winter 的說法起碼在 2.63 是不可行的. 見 MT::App::CMS line 264:

    if ($fname =~ m!\.\.|\0|\|!) {
    return $app->error($app->translate("Invalid filename '[_1]'", $fname));
    }

    autrijus 發表於 April 2, 2003 04:36 AM
    [ 10 : 靜態鏈結 ]

    你说的是对的。我太急而没有测试好。

    winter 發表於 April 2, 2003 08:53 AM
    [ 11 : 靜態鏈結 ]

    因为以前做MIS一直习惯是在保存输入的时候做校验,检查输入是否合法才允许写入数据库。而MT的做法是发布的时候校验,输入的时候不检查的。我看见可以保存成功,就觉得纳闷了。另外,关于php的问题,你们有这样的担心么?

    winter 發表於 April 2, 2003 08:56 AM
    [ 12 : 靜態鏈結 ]

    well, 這邊可以看看別人是怎麼玩的

    http://www.frostyplace.com/index.php?story_id=1568

    由 nutty 發表於 April 2, 2003 01:29 PM
    [ 13 : 靜態鏈結 ]

    还好是愚人节,不然jedi那段伪造的简体留言还真有误导性,让人觉得大陆的人都很坏,都那么没肚量呢

    googoz 發表於 April 4, 2005 05:48 PM
    給我迴響吧!
    個人資訊








    是否記住個人資訊?



    請依上圖輸入檢核碼:
    迴響





    Jedi.org: 部落格 | Weblog | 三太子 | 討論 | MTBook | 網頁親和力 | 深入親和力 | 簡報原力:AV | 履歷 | + | @ | Flickr | Lytro | tumblr | NSFW