數位之牆的十一年浩劫

[哈啦]

作者：黃紹麟

現在的環境卻要求著自行架站者必須懂得更多了。


◎十一年遭一劫


正值筆者創辦的數位之牆邁入第十一個年頭，最近一個月卻經歷了前所未有的浩劫。網站兩度停機，累計停機時間達八天。損失廣告收入 80美元及數個熬夜的夜晚，以及修復後跌了一半的網站流量。


2008年 4月15日，數位之牆的網站代管廠商來信，說網站消耗系統資源過大。由於此類網站代管都是在同一台伺服器上設置多個的網站，因此如果某個網站消耗太多資源，就會影響到其他網站。


這間代管廠商直接封了帳號，停了數位之牆，並在信中說明這個帳號不可能恢復請搬家吧。其實資源消耗問題一直都在，他們之前也持續跟筆者溝通，而筆者也改寫了部分程式，但沒想到這招來得又快又狠。


筆者沒意識到數位之牆本身已經成長到一個程度，這間網站代管商提供每月美金10元的代管方案便宜好用服務態度佳，筆者相當滿意的用了五年以上，但是卻沒提供任何升級方案，搬家已經是勢在必行。


搬家到相同等級的代管廠商是沒用的，保證會再被踢出來。筆者戰戰兢兢的選擇了使用 VPS（Virtual Private Server）服務，這種網站代管方案每個月成本大約在40到80美金不等。


最大的障礙不是急升的成本，而是 VPS相對要求較高的技術能力。這其中包含了有沒有能力判斷一家 VPS服務供應商所提供的系統環境是否符合自身所需。


◎升級挑戰技術能力


筆者一開始選擇的服務供應商，價格相對便宜只要30美金一個月，但隨後對方花了三天的時間連個伺服器管理介面（業界常用的 Plesk）都啟動不起來。筆者實在沒有時間跟他折騰了，趕快換了另一家。


系統設定最是頭痛，筆者拉了一個精通微軟技術的好友幫忙做系統設定，但最後幾乎是靠著自己摸索外加服務供應商大量協助在兩天時間完成。幸好Plesk 確實好用，也能快速上手。


五天過去，網站重新開張，流量掉了一半。令人驚訝的是，停機期間網站是不能連結的，而卻沒有任何人來詢問筆者。網站恢復後，馬上湧入大量的公關公司在數位之牆的《產業動態》張貼新聞稿。


《產業動態》單元是給科技公司發布新聞稿用的，平常每天會有10篇左右的稿量，已成為科技產業重要的發布訊息管道。這些公司五天連不上網站，已經累積大量稿件蓄勢待發。


筆者感到意外。一個網站消失五天無人聞問，可能表示這個網站消失 50天也可以，換言之可有可無。我以為數位之牆最有價值的地方在於文章，但從反應看，其實是成為科技產業發布訊息的管道最有價值。


正當筆者感嘆於自己的渺小，數位之牆網站之可有可無，以及「苛刻的網站代管服務商人比駭客還要狠」的時候，2008年 5月 4號，數位之牆網站遭到駭客入侵。


◎駭客上門來


筆者是因為看到《產業動態》的首頁版面有點奇怪，連線到資料庫查看時，才發現資料庫已經被植入木馬。與系統設定無關，對方是利用筆者撰寫程式的漏洞，採用了稱為 SQL Injection的手法入侵。


SQL Injection 並不是難以防範的入侵方式，但筆者不是專業程式設計人員，撰寫程式的基本功夫並不紮實。一個被筆者緊急召喚來幫忙的高手朋友，在看過程式碼以後居然挖苦的說：


「你寫這樣的程式能保持10年不出事，真是不容易」


筆者其實在去年就已經發現資料庫裡經常會多出一些奇怪的Table ，也知道SQL Injection ，但由於沒有造成資料的損壞，所以只是把那些Table 刪除了事，得過且過，以至於這次資料完全遭到損毀。


幸好，VPS 廠商有每天備份資料庫。筆者調出 5月 3日的資料，先把它恢復了，網站維持停機狀態，請朋友開始做程式碼修改。這一停機，又是三天的時間過去。


筆者拿到VPS 服務供應商提供的資料庫檔案時，不免多少感嘆。一個經營了11年的網站，最終以及最精華的心血結晶也就是這個大約40MB 的檔案而已。一旦被刪除，最終還剩甚麼？沒有了，甚麼都沒有了。


這個程式架構先天不良的網站何以能在駭客手下安然度過11年還有一個原因。以往的駭客多半只是為了證明自己的技術實力，現在的駭客則是為了賺錢。以前的駭客入侵只是來打個招呼，現在則是植入木馬。


◎網路安全的挑戰更加嚴峻


數位之牆11年發展歷程中，約略可看出網際網路潮流變遷。從1997年開始使用免費個人網頁，到1999年正式建立網站僅採用微軟Access資料庫做資料存儲，到最後撐不住流量改用微軟SQL Server。


網頁編碼從最早Big5繁體中文，到為了跟上Web 2.0 全面改寫UTF-8 ，為了提供RSS 服務，引入XML 文件格式。還曾經為了要提供Widget 服務去研究AJAX，接下來說不定會接入各式社交網路開放平台服務。


如果有某個公司的網站跟數位之牆一樣存在了10年以上，想必也已經修修補補好多次，各種技術雜陳，負責開發網站的人改朝換代交接了不知道多少回。於是最終會遇到的問題是，不知道安全漏洞在哪。


這可能是為何前陣子台灣某資訊安全科技大廠被爆出網站出現跨站指令碼攻擊（Cross-Site Scripting, XSS ）安全漏洞的原因：只要沒出問題，沒人會想翻箱倒櫃把以前架構重整，跟筆者心態完全一樣。


當筆者發現資料庫內容遭全面覆蓋時，有種萬念俱灰的感覺。遙想當年買下網址開始寫程式建站，感覺網際網路容易入門，真是小本創業者天堂。11年過去，現在的環境卻要求著自行架站者必須懂得更多了。

[pjhuang]

真是辛苦。真是希望快點達到這個境界，這是甜蜜的負擔吧。