網站架設
請勿使用AppServ
前陣子看到一篇 台大關於AppServ的安全通報,建議大家 不要在使用AppServ來架設網站
AppServ 應該算是一套 XAMP 的整合包,但是因為久沒更新 被發現許多漏洞沒有補上
參考網址:http://www.cc.ntu.edu.tw/chinese/epaper/0026/20130920_2607.html
底下直接引用他們的文章
網站管理者不可不知:AppServ套件成為駭客入侵後門
作者:李美雯 / 計算機及資訊網路中心網路組程式設計師
使用AppServ可以在Windows作業系統中輕鬆安裝與架設網站伺服器,AppServ包含Apache、PHP、Mysql與 phpMyAdmin等網站環境元件,深受一般人的歡迎。因為AppServ已經5年未更新,駭客利用其phpMyAdmin的漏洞植入木馬後門程式,因 而觸發多起資安事件。本中心特此深入分析AppServ套件漏洞與木馬後門的運作原理,以提供網站管理者有效解決方案。
前言
102年6月份,計資中心接獲本校45台主機Sdbot資安事件,這45台異常主機非常特別,同時觸發內對外的IRC異常連線及外對內的Sdbot異常連 線。雖然在通報後主機管理者有處理異常主機,但有些主機卻因處理不完善,而再次觸發同樣的資安事件。透過網路流量分析系統也發現遭通報的異常主機對外發出 大量的UDP Flooding攻擊。為了確實回復異常主機以有效阻止異常主機對外攻擊,我們決定深入分析Sdbot木馬程式的運作原理,提供本校網站管理者最佳解決方 案。
AppServ漏洞與Sdbot運作原理
在隨機分析3台被通報為異常主機的網路封包後,我們發現這些異常主機的phpMyAdmin頁面存在著被外部主機存取的紀錄,初步得知這些異常主機的問題 與phpMyAdmin有關。而phpMyAdmin可讓管理者透過Web介面管理後端Mysql資料庫,提供資料庫之匯出、匯入、刪除與修改等功能,使 用該套件可增加管理後台資料庫的便利性。至於為何以及如何被惡意程式操控,則需要更進一步的分析。
經過向被通報的異常主機管理者查詢後確認這些主機都有一個共通性,均安裝了AppServ 2.5.10套件。AppServ套件在安裝時自動幫使用者將Apache、PHP、Mysql與PhpMyAdmin四個套件安裝並設定好,就因為這樣的方便性,許多學生架設網站時喜好採用這個整合套件,圖一為安裝好AppServ後的預設首頁。
DNS 狀況檢查測試
因為在做系上網管,所以需要處理DNS 問題,這裡是留一些 DNS 狀態檢查網站
1.http://www.ifreesite.com/dns/
可以針對特定DNS 做測試,確認有無修改
2.http://www.intodns.com/
可以針對特定網址做DNS 健康檢查
MariaDB安裝教學
參考資料
1.http://tw.myblog.yahoo.com/jw!kg_rIFWTHgO4kRtDoy15QxVeWQ–/article?mid=32&next=30&l=f&fid=6
2.https://downloads.mariadb.org
3.http://www.oschina.net/translate/mariadb-vs-mysql-a-comparison
今天無意間在網路上 看到一篇文章說MariaDB 運作效率筆MYSQL 好,所以我就找了一下資料,詳細的比較說明可以看參考資料第三個連結。
MYSQL 有什麼缺點? 阿….目前最大的風險應該再於 MYSQL 目前被甲骨文收購,甲骨文本來就有在做資料庫方面的業務,MYSQL 什麼時候從開原變成閉原開始收費沒人知道,anyway 我就嘗試安裝了一下,反正沒差,當然我的網站流量也沒高到哪去,單純換好玩的
經過測試……基本上….完全相容於MYSQL,不需要做另外設定,指令完全相同,我看過他的安裝過程…..他根本就是置換了MYSQL 的運作核心,如果你不仔細看板號,你會以為是MYSQL 在運作
安裝過程 (UBUNTU版本,期他的請參考官網)
1.進入下列連結,選擇你的 作業系統、版號、mariabDB的版本
https://downloads.mariadb.org/mariadb/repositories/#mirror=uestc
目前有 5.5版和 10.0版,看介紹5.5版相容於MYSQL5.5版本 10.0版本 是基於5.5版加以改進相容MYSQL5.6版
如果不知道 詳細版本的
可以用 #cat /etc/issue 來查
2.把mariaDB放到apt-get 中,請詳確認版號,因為每個版本都不太一樣,我不小心把12.04和13.04搞混 就把apt-get炸了….
如果弄錯了請#sudo vim /etc/apt/source.list 最底下把內之前曾加的 deb…..刪除
#sudo apt-get install python-software-properties
#sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xcbcb082a1bb943db
#sudo add-apt-repository 'deb http://ftp.yz.yamagata-u.ac.jp/pub/dbms/mariadb/repo/5.5/ubuntu precise main'
3.apt-get 更新和安裝…
sudo apt-get update sudo apt-get install mariadb-server
4.設定root密碼,和MYSQL 介面差不多,然後就enter 一路下去 搞定
5. apache 重新啟動
#/etc/ini.d/apache2 restart
經過測試 wordpress 繼續正常運轉 phpMyadmin 也運作正常
我的wordpress網站最佳化之路
今天剛好碰到一個議題在於,我的網站速度大概多快?
所以 我找了這篇教學http://0123456789.tw/?p=1334 中的http://tools.pingdom.com/fpt 來測試我的網頁速度
這個網站有一個缺點,就是他是計算在紐約的速度,所以不是台灣的速度
但是有一個很大的優點,就是他會完整表現出你網頁的大小和速度,你可以清楚知道你的網頁到底"慢"在哪裡
以我自己的網站為例
我的佈景主題要10MB(我也是現在才發現),光背景就2MB,之後我就壓縮了所有的png圖片把佈景下降到3MB 這樣我的網站速度有明顯的上升
以實測結果來說
http://www.pupuliao.info 從原先的12秒 上升到 8秒 (10MB->3M)
http://amazonEC2.pupuliao.info 從原先的 8S 上升到3.6S (這是測試用的備援網站 放在amazon EC2的加州機房)
從實驗數據可以看到速度上的明顯提升
而本站http://www.pupuliao.info 提升幅度偏低的最主要原因應該是因為我放在 海大的學網下
海大最大缺陷就在於對國外網路速度偏低…..
喔 另外 推薦一個png圖片壓縮的網站http://tinypng.org/
可以減少7~8成的空間,不過是破壞性壓縮喔~~~(最好保留原圖)
另外我有測試過gzip的壓縮技術…..結果來說我應該是不太需要雖然的確有提升
網站空間伺服器租用的選擇
架設一個網站,除了需要一個網址之外,最重要的就是要有一個網站空間
而在一般家用網路上下載不對稱的情況下,一般人 很難自己架設實體伺服器,所以大多選擇租用
我目前手上就有一個網站就是這種狀況。
而伺服器租用的供應商其實不少,有大有小,有國內有國外
通常 國外的供應商比較便宜,但是相對的客戶服務你會比較吃力一點,因為要使用英文
對於伺服器供應商只有兩個要求
1. 功能完整,抑或是越多越好
2. 穩定
其中 第一個 是你在選擇的時候就已經固定好了,不會有太大改變,而第二種 才是眾多架站者的重點
每次的選擇就是在賭 供應商會不會表你……。
我爸公司的網站(ndsc.tw) 原先是租用一家戰國策的伺服器供應商,大約用了四五年,在這期間 其實問題也不大,不過就是 每個幾個月網站效率會降低,有一次網站更新不能….,然而在最近出了一個重大的事情使我順利地讓家父同意轉換供應商。
這是一個重大的決定,雖然戰國策的費用不便宜,但是基於穩定理由,要轉換不容易,所以就一直放在那裏。
在本周一,公司的網站被無預警關閉,向客服詢問的結果,我們的合約到去年底到期,因為我們沒繳費,所以被砍掉……等等,為什麼你們都不通知的,我們不是不繳費,是你們的業務沒通知我們去繳費阿,而且翻開雙方書信來往的戰當,我們不是簽訂三年合約到今年底嗎?
經過一番靠北靠目,從下午到晚上的客服反應,網站終於再度開啟了….
合約的問題,那是一個很特殊的問題,狀況是這樣子的
兩年多前 重新簽約的時候
我們收到的帳單是 兩年的費用,但是項目是三年,喔,我們認為是他大優待,所以就阿撒裡的繳費了,結果呢?不 他算我們就是兩年期,事後似乎有補送兩年的帳單,當然這件事他們似乎也不太清楚,因為也有客服人為我們是三年,所以沒有催繳續約….
所以就這樣,被下達了最後通牒…一周內補費….
挖哩勒 你玩我啊,今天是你有錯在先,所以我就順利地讓家父支持我跳槽
我新選擇的是http://www.serverzoo.com,這家是我同學推薦的,看網路上幾個部落客推薦,沒什麼負評,而且價格只有戰國策的1/3 不到,其中最令我高興的是他們的客服人員,身為一個夜貓子,常常半夜一兩點在做公事,所以就在半夜一兩點寫信詢問,而對方也會在半小時內回覆,他們的工程師可以幫忙我們做網站的轉移和DNS的轉換設定,通通幫我們搞定(當然網站轉換的相容性我們要自己弄),在我半夜十一點多轉帳繳費後,在隔天凌晨兩點多就轉移完畢,效率十分神速,我花了一天的時間 解決編碼問題(原先網站用big-5結果在新空間出現相容性問題,所以要全面轉碼…),隔天晚上,我就通知工程師可以做DNS重新設定了
現在 網站已經順利轉移完畢
至於新的空間的穩定度呢?
我想我明年會再寫一篇,如果我忘了寫,應該就是一切順利。
sitelutions-網域申請教學-付費網域申請
付費網域的申請 不像上次 免費的那麼容易….需要填不少資料
因為 要抓圖,我又要重新申請一次….好麻煩阿
所以這篇拖了這麼晚才弄出來…………….
先來看一下 你必須要先準備的東西
1. 可以線上刷卡的 信用卡 or VISA金融卡
2. 英文名字(用護照上的)
3. 英文地址(郵局網站上可以幫你查)
4.開google 翻譯吧~~~
5.網站IP (事後可以再改)
sitelutions-網域申請教學-免費網域申請
如上一篇所說,網域申請有付費和免費兩種版本,因為免費的申請流程比較簡單,就先寫這篇啦
免費網域為何免費呢?
因為 嚴格說起來,你並沒有取得一個真正的網域,網域所有權仍然是sitelutions的,他提供的是一個免費的次網域給你用
什麼是次網域?….我們都知道 www.google.com 對吧(不知道的自己去撞牆),那maps.google.com 就是他的次網域,任何人只要擁有一個網域名稱,就可以利用DNS服務製造出無數個次網域,所以你申請到的免費網域只是你得到免費使用權,哪天sitelutions心情不好收走都不能抱怨喔=.=+
免費網域的功能大致上可以分成,指向到指定IP和到指定網址
廢話好像多了一點….拉回主題
sitelutions-網域申請教學-帳號申請
如果要開闢一個屬於自己的網站,除了網站空間外,你還需要一個屬於自己的網址,就是這裡所說的網域名稱。
申請網域你需要 租用網域的使用權 和 DNS 服務兩個。
- 租用網域使用權:是確保這個網域是你的,名義上是購買,但是因為每年要繳費,忘了繳會自動失去所有權,所以我稱他做租用
- DNS服務 :DNS是用來把網址轉換成IP的server,這項服務就是幫你把任何人輸入網址後,導向道你想要的IP,詳細來看他有許多功能,像是可以設定次級網域,或是把A網址轉換成B網址,也可以依照不同通訊協定導引到不同IP(應該吧…)
上述這兩種服務,在台灣大多是分開收費(雖然後者都是用送的…),不過這都不是重點,重點是和美國比起來,台灣的網址真貴,為了寫這篇文章,我特地去查了台灣最新的價格,idv.tw $400 其他有.tw的$800 ,沒有.tw的 就要上千了,可是我在美國申請.com 的也才10鎂阿…..,就像我不開公司我用.info 換算台幣也才三百多,anyway 這不是重點,重點是今天教的這個網站也有免費的次級網域喔!
sitelutions 是我這兩年使用以來,相當不錯的一個網站,從你申請到DNS轉換好 不用一分鐘,在教如何申請前,先教註冊吧….
