Calendar

七月 2014
M T W T F S S
« Feb   Apr »
 123456
78910111213
14151617181920
21222324252627
28293031  

Categories

找樂子論壇遭破壞事件

因為事情也差不多告一段落了,所以大概整理一下就好。

1. 該論壇的前任網管同時為主機商,屬於代租海外主機並提供服務性質,以成本價每月 350 美金向 Swiftway 代租機器供該論壇使用。
2. 該論壇的前任網管為唯一擁有主機 root 帳號密碼的人。
3. 該論壇的前任網管表示,該論壇是遭駭無誤,原因是他使用了懶人密碼,導致系統帳號、資料庫及資料庫本機備份均遭刪除。
4. 該論壇的前任網管表示,他的客戶都會向主機商租用 NAS 空間以存放備份用,該論壇過去也有承租,且曾經發生資料庫損毀,靠其備份在短時間內恢復。
5. 該論壇的前任網管表示,當該論壇的資料庫容量高達 20 多 GB 時,曾開口要求站長提供更多資金擴充 NAS 容量,但站長以論壇賠錢為理由拒絕,之後該論壇處於無異地備份狀態。
6. 外傳該論壇是因站長欠繳主機費造成資料被美國主機商刪除,但實際上已由前任網管代墊,資料遭美國主機商刪除不是事實。
7. 該論壇過去的主機租金為每月 350 美金 (主機費 300、共用防火牆分攤費及各種雜費 50),復站後的主機租金為 900 美金 (主機費 600、防火牆 300),外傳租用便宜 VPS 並非事實。
8. 找樂子的確在無限被抄的時候獲取了大量資金,但站長表示其中一部份因不熟悉 Paypal 規則遭凍結,其它可動用部分被更前一任的網管全數取走,因此他手邊資金確實是短缺的。
9. 黑洞論壇使用與找樂子相同的論壇程式及模版,是因為那是該論壇的前任網管自 Discuz! X 改出來的作品,找樂子論壇並未買斷,故此純粹為該名網管合理的商業交易行為。

關於 3 ~ 5,該論壇的站長及前任網管均承認自己有錯,雙方也沒有互相責怪的意思,站長也已公開向會員致歉,因此這件事也沒擴散開來。
雖然 2 + 3 很容易讓人聯想到刪除資料的人很可能就是前任網管自己,或者前任網管遭收買刻意敞開大門讓人進來砍,但主機租約已屆,死無對證。
總而言之,無論內情如何,該論壇既然長期以來都宣稱不斷遭受攻擊,站長仍大膽到不確實定期保存備份,明顯有疏失,這點站長本人也承認是他的錯誤。
是否要再繼續給這位站長機會,就看找樂子論壇的會員怎麼決定了。
至於這位站長和離他而去的管理團隊成員之間有什麼恩怨,就不是我感興趣的部分,有興趣的就自己去追查吧。

這站長以往在外風評普遍不好,所以我原本就一直沒有怎麼接觸,也沒有很熟。
但實際接觸了 7 日,的確發現到有一些傳言可能不是真的,過去某些事件裡他可能真的是受委屈的一方,雖然現階段我也無法確定。
不過同時我也觀察到,這位站長一直以來都很依賴自己手下的人,連論壇系統的管理中心操作都不是很熟悉,不是一位稱職的站長。
但經過這次教訓,他看起來也是有痛改前非之意,很多東西漸漸都自己去摸去學了,所以確實是有在進步,但能進步多少我就不清楚了。

當然歷經這次事件,我還是必須一往如昔宣導,密碼絕對不可以用懶人密碼,在網路上每個地方使用的密碼都不可以相同。
我也知道一定有人會問,誰的大腦容量可以記住這麼多密碼?難道要記在純文字文件裡?那萬一那個檔案被幹走不就慘了?
其實國外在很早以前就流行使用被歸類為 Password Manager 的軟體,我常用的 KeePass 就是其中之一:
keepass-1
每當要註冊一個新網站時,自然就是使用它來產生一組連自己都記不住的密碼:
keepass-2
沒有必要記住它,因為只要打開 KeePass 點到那一列上,按 Ctrl+C 就能複製密碼,按 Ctrl+B 就能複製帳號,輸入帳號密碼的工作都由複製貼上完成。
當然這工具也有針對懶人用的功能,可以自動幫人輸入帳號密碼到網站上,但我不喜歡用,所以有興趣的話就自己研究吧。

這個軟體儲存的檔案當然是加密的,而且即使是在手機上也有相對應的 App 可以開啟該檔案,丟到雲端去同步會很方便。
保護這個檔案的方式有三種,同時選取兩種就是兩種都要通過才能生效,一般為求便利性,我是只用 Master Password 保護:
keepass-3
怕人家暴力破解?那就把密碼想難一點吧。你一輩子搞不好就只要記這一組密碼,就算要你記 200 多個字元的密碼,我覺得也不過份。
加密演算法都是很強大的數學家想出來的,只要你密碼複雜度夠高,暴力破解法也得花上數十年甚至數百年的時間,完全不用擔心。
密碼的強度估算會顯示在輸入欄下方,盡可能將自己記得住的東西串在一起構成密碼,然後讓強度估算條跑到最右邊就很足夠了。

那麼,每間網站都使用不同密碼,除了保護自己其它網站的帳號也遭盜用外還有什麼用途?其實這也自然建構了一個反向追查的管道。
如果你是一位站長,你可以修改網站程式,將嘗試登入你帳號失敗的密碼額外紀錄下來。
這樣一來,你就可以根據錯誤的密碼來追蹤到底是哪個網站側錄了你的密碼,想要對你不利,並且在罪證確鑿的狀態下公開譴責對方。

Password Manager 當然不只有 KeePass 這一套,我只是介紹了我比較常用的而已,有興趣還是可以找找別的,但盡量找公開原始碼且不是以明文形式儲存在雲端的。
希望看到這篇的人都可以從此不再有藉口去用什麼懶人密碼,也不要再用藉口說記不住那麼多所以只依帳號重要性去使用幾組不同的固定密碼等等的。