科技爱好者周刊(第242期):一次尴尬的服务器被黑

青岛大疆守强

这里记录每周值得分享的科技内容，周五发布。

本杂志开源[1]，欢迎投稿[2]。周刊另有《谁在招人》[3]服务，发布程序员招聘信息。合作推广请邮件联系[4]（yifeng.ruan@gmail.com[5]）。
封面图

上图是2022年世界旅行类摄影师比赛的获奖者。Najin 是非洲中部仅存的两头白犀牛之一，已经33岁了，为了保护它不被偷猎者杀害，肯尼亚政府专门为它安排了守卫。他们形影不离，中午一起在非洲大草原上休息。（via[6]）
本周话题：一次尴尬的服务器被黑

本周一凌晨（2月13日），我的个人网站服务器被黑了。

由于入侵者没有触发报警机制，我也没察觉。一觉醒过来，看到好多网友的邮件，让我快去看看网站，访问任何一个网页，都会跳转到 xxx 的外部网址，令人极度尴尬。



我查了一下服务器，发现果然如此。事态很严重，对方拿到了网页目录的写入权限，将我的所有 HTML 网页都删除了原始内容，写入了他的跳转代码window.。

但是，数据库没有遭到破坏，加上没有 SSH 的异常登录报警，因此我判断，对方没有拿到服务器的登录权限，只是利用了 Web 服务的漏洞。

我的第一感觉不是恐慌，也不是愤怒，而是无奈。担心已久的事情，终于发生了。

很多朋友知道，我的个人网站至少有10年没有修改过样式了。不是不想改，而是没法改，或者说改起来很麻烦。



原因是我的后台软件采用了早期著名博客软件 MovableType，它的历史比 WordPress 还要悠久。后者已经是老古董了，你就知道它有多老了。当然，这说明我也老了，当年选择它的时候，我还是学生。

MovableType 早就停止发展了，转让给了一个日本公司，所有用户都要缴费，才能收到代码补丁。我没缴费，所以我的个人网站的后台早就老化了。

软件老化本身不是大问题，只要还能正常运行，并且你也不需要新功能，那么就能平安无事地过下去。真正的问题是它的依赖都过时了。

它依赖的底层系统和组件，都严重过时。我试过把它迁移到新系统，结果各种报错，不得不一直运行在很老的系统上。

我一直知道老系统不安全，但是又不敢升级。担心的事情最终还是爆发了。



前两年，我已经被攻击过一次，当时心存侥幸，只做了一些服务器加固，还是没升级，直到现在。

这次被攻击，我就想如法炮制。网站有定期快照，被黑后，我回滚到最近一次快照，又改了一些服务器设置，星期一中午就把网站恢复上线了，心想最好这次也能蒙混过关。

但是，对方大概一直在线盯着我，上线一小时之内，又被一模一样地黑了。

这时，我知道大事不好，只能将网站再次下线。好在上次被攻击时，我做过一个临时公告页面，这次还能用，把域名指向它即可。



此后整整一天，我一筹莫展，做好了最坏打算，个人网站可能要长时间下线。在此期间，只能通过临时页面发布内容。

到了星期二下午，我越想越憋气，最后还是不死心，一咬牙决定升级服务器，死马当作活马医。

我一口气把底层系统和依赖组件，都升级到了最近的版本，整整装了一个多小时。这次很神奇，网站没有奇怪的报错，居然能正常运行。惊喜之余，我就把网站恢复上线了，到目前为止都是正常的。

说实话，我不肯定漏洞已经被修复了。如果接下来，服务器再次被黑，我就没辙了，只能长时间下线网站了，然后加快原本就打算今年要做的事情：自己重写博客架构，改成彻底的静态网站。

这次的教训有很多，如果大家也想做一个独立博客，我有两点建议。

（1）不要自己管理服务器。 服务器管理是一个非常繁琐的专门工种，如果不是专业的运维工程师，很难做好。退一步说，即使你拥有这方面的专业知识，也不值得把大量时间和精力投入在自己的博客服务器上。网络世界是一个黑暗森林，到处都有人向你打冷枪，防不胜防，解决方法就下一条。

（2）使用专业的云服务商。 现在大部分云服务器商，都有静态网站托管服务，把静态网页托管在它们那里，省时省心。如果你需要后端动态生成内容，那就使用云函数（叫做 FaaS），通过服务商提供的边缘计算、而不是你的主机自带的 CPU 算力。
科技动态

1、老飞机的模拟飞行[7]

微软公司有一款著名的游戏《微软模拟飞行》，玩家可以模拟操纵各种飞机，在世界各地实景飞行，效果非常逼真。



游戏制作团队最近盯上了博物馆里面的老飞机，其中就有著名的休斯 H-4 大力神巨型水上运输机。

这是有史以来最大的飞机，跟足球场差不多大小。它只在1947年飞行过一次，短暂脱离水面数十秒，然后就放在仓库里，直到报废后移入博物馆。





微软公司把这架飞机搬入了游戏，玩家现在可以模拟驾驶它，体验一下这架传奇飞机的驾驶感受。下图就是游戏画面。



制作团队下一步准备把更多的老飞机搬入游戏，“复活”那些再也不可能上天的飞机。目前，已经完成了大约300架老飞机的扫描。

2、迪斯尼的年龄调整算法[8]

迪斯尼公司发布了一个影视专用的年龄调整算法，可以让演员变得更年轻或更年老。



这种算法可以让老年演员扮演年轻人，反之亦然。



现在的观众必须明白，你看到的一切都可能是假的。相貌可以美颜，年龄可以加减，背景可以绿幕，没有什么是做不到的。

3、儿童游乐场[9]

儿童游乐场通常都是一些传统设施，比如滑梯、秋千、双杠、跷跷板等。

一位新西兰建筑师认为，这些设施都没有乐趣，模仿大自然的环境才是更好的选择。



他就设计了一个类似野外环境的儿童游乐场。



游乐设施都搭建在巨石之上，但其实没有看起来那么危险，巨石都由钢棒进行固定，地面采用有弹性的橡胶地板，不会摔伤。



开张一个月以来，孩子们很爱玩，没有人受伤。



4、智能绷带[10]

传统绷带无法知道伤口愈合情况，有时解开绷带，才发现药物无效，伤口还在溃烂。

为了解决这个问题，一个国际研究团队开发了智能绷带。



这种智能绷带采用超薄、可弯曲的电路板，会自动侦测伤口愈合程度，根据细菌的繁殖情况释放抗生素或其他药物。

它带有无线模块传送数据，为了轻薄，它不带有电池，通过天线接收能量。



文章

1、Next、Nuxt、Nest的区别[11]（英文）



Next.js、Nuxt、NestJS 是三个流行的 JS 框架，本文解释它们的区别。

2、为什么业界转向内存安全语言[12]（英文）



本文介绍大公司使用内存安全语言（Java、Rust 和 Kotlin）替代 C/C++ 的情况。

3、如何使用 360 相机生成航拍图像？[13]（英文）



作者介绍如何使用 OpenDroneMap 这个软件，为 360 相机拍摄的视频建模，合成为航拍视角的空间图像模型。

4、打造我的家庭办公环境[14]（英文）



作者详细介绍，自己怎么在家里布置一个舒适的电脑工作环境。

5、我如何以 SerenityOS 谋生[15]（英文）



作者是开源软件 SerenityOS 的作者，2021年开始，全职投入开源开发。他介绍自己怎么谋生。

6、我的个人 IT 基础设施[16]（英文）



Mathematica 软件的创始人 Stephen Wolfram 介绍自己家里的 IT 基础设置，他常年在家办公。

他还自制了一个“步行桌”（上图），可以在散步的时候，使用笔记本电脑。

7、Playwright 如何绕过登录验证码[17]（英文）



Playwright 是一个无头浏览器框架，可以编写脚本，对网站 UI 进行自动化测试。有些网站的登录，需要身份验证器的一次性验证码，怎么绕过去呢？

8、使用 Ruby 语言理解网络堆栈[18]（英文）

本文使用 Ruby 语言示例，解释网络基本概念。第一部分解释 UDP 协议，写得很好。
工具

1、Convex[19]



一个类似 Firebase 的状态管理服务，前端状态可以存在它的服务器上，然后你的所有客户端都可以得到状态的实时更新。

2、兔年定制头像[20]



上传照片，合成一张兔年头像，多种样式可选，代码开源[21]。（@xiaoli1999[22] 投稿）

3、ElasticView[23]



一款 ElasticSearch 的桌面客户端，用来监控 ES 状态和操作。（ @lin2415016[24] 投稿）

4、RATH[25]



开源的数据分析和数据可视化工具，只需要导入数据，它自动进行数据分析，找出规律，生成可视化视图。（@AntoineYANG[26] 投稿）

5、tl-rtc-file-tool[27]



一个 Web 应用，演示了基于 WebRTC 的各种媒体流传输功能，代码开源[28]。（@iamtsm[29] 投稿）

6、EasyNode[30]



简易的个人 Linux 服务器管理面板（基于Node.js），前后端都开源。（@chaos-zhu[31] 投稿）

7、vscode-gptcommit[32]

VS Code 插件，使用 GPT 模型自动生成 Git 提交说明。（@pwwang[33] 投稿）

8、Tweek Calendar[34]



一个最简化的任务管理 Web App，非常简洁精美。

9、BetterDisplay[35]



一个开源的 MacOS 应用，可以精细调节苹果电脑的各种显示参数。

10、berty[36]



一个群聊应用，最大特点就是不需要互联网，通过低功耗蓝牙通信，很适合小范围内的现场广播。
资源

1、Mastering Bitcoin[37]（第二版）



免费的英文电子书，介绍加密货币的原理。

2、satellite-track[38]



基于 Web 的卫星轨道可视化项目，可以查看不同类别的卫星，代码开源[39]。（@jiangteng2019[40] 投稿）

3、tabler-icons[41]



这个网站提供免费的图标，目前有1900多个，所有图标都是统一风格，简单美观。

4、Some Assembly Required[42]



一份图文并茂的汇编语言英文介绍，针对零基础的初学者，半小时可以读完，并附有代码示例，以便进一步学习。

5、快速涂鸦[43]



一个谷歌推出的小游戏。系统告诉你一个词语（比如自行车、眼镜、轮船……），让你在网页上把它画出来。人工智能会猜测你画的是什么，只要猜对了，就说明你画得很像。
图片

1、奥尔梅克头像[44]

1930年代，危地马拉发现了埋在地下的巨大头像，高度都在2米到3米。



考古学家认为，它们是古代奥尔梅克人制作的，时间大约距今3000年到5000年之前。



经过几十年的发掘，目前一共发现17个头像，现在都陈列在博物馆[45]。





文摘

1、苹果收购 NeXT 的往事[46]

二十五年前的1996年12月20日，我在 NeXT 公司担任系统工程师。该公司是乔布斯在1985年创立的，我是该公司在加拿大仅有的三名员工之一。



当时我们都没有手机，公司给我们的大多数信息都通过一个叫做 Audix 的语音邮件系统传送。我们接受消息时，就拨打 1-800-345-5588 这个号码，收听语音邮箱里面的公司留言。



那天，我们突然收到了一条紧急消息，所有员工都必须在下午2点拨打这个号码，要公布一个重大事件。当时我正在街上，不得不到处寻找一个可靠的固定电话，最后找到了一个博物馆的付费电话。

到了下午2点，我们被告知 NeXT 已被苹果公司以4亿美元的价格收购。（事后回想，正确的说法应该是苹果付给 NeXT 4亿美元，让后者去收购自己。几年后，大约70%的苹果副总裁都来自 NeXT。）

我震惊了，没想到事情会这样。



当时，NeXT 公司其实很困难。创始人乔布斯似乎把所有的时间，都花在他的另一家公司 Pixar。虽然 NeXT 还有一些盈利，但主要来自销售 WebObjects（一个 Java 应用服务器）。乔布斯对外宣称的革命性新工作站和操作系统都实现不了，现在他只能靠销售价格为5万美元企业服务器软件维持公司，这一定让他感到很沮丧。



苹果公司似乎也陷入了死亡漩涡，并且已经非常接近资金枯竭。

苹果最感兴趣的是 NeXT 的 NeXTSTEP 操作系统，该操作系统最初与 NeXT 工作站一起提供，但已被移植到英特尔 CPU。说实话，我们在 NeXT 的人其实不怎么用这个系统。



NeXT 的每个人都不清楚这次合并是否会奏效，好在结果很不错。合并发生在苹果的历史低点，一旦乔布斯重新担任苹果 CEO，一场难以置信的技术和业务转变就开始发生了。

NeXT 的软件和硬件成为苹果一切产品的基础。NeXTSTEP 操作系统替代了 Mac OS，成为了 Mac OS X 的基础；NeXT 的 Project Builder 和 Interface Builder 变成了 Xcode；NeXT 对 Objective-C 语言的热爱最终创造了 Swift。

合并时，NeXT 大约有 400 名员工，而苹果只有几千人。今天，苹果有16万员工，我很好奇多少 NeXT 工作人员还留在苹果，我知道十几个，可能还有更多，会到100人吗？
言论

1、

我是 React 用户，最让我烦恼的是，React 团队对开发者面对的实际问题，似乎一无所知，只关注一些不那么重要的事情。

他们设计了很多新的做法（比如事件处理、数据获取等等），确实可以更快地加载网页。但是让开发者关注这些东西，对于高级用途来说，这是完全错误的。

-- 《拯救 React》[47]

2、

领导者的作用不是行使权力，而是分配权力。

有效的领导者通过设定方向、确定人员（找到具有正确技能和背景的人）、授权他人、确保决策执行，来节省自己的时间，并扩大自己的影响。

-- 《我的创业箴言》[48]

3、

在程序员心中，他们认为自己是建筑师。当他们来到一个新地方，他们想做的第一件事就是推平这个地方，并建造一些宏伟的东西。

程序员对渐进式翻新不感兴趣：修修补补、改进、在花坛种上绿植……他们不想做这些事，他们总是想扔掉旧代码并重新开始，原因并非是认为旧代码一团糟，而是编程的一个基本法则：阅读代码比编写代码更难。

-- Joel Spolsky[49]

4、

开发 Chrome 浏览器时，有一次我们讨论，应该允许网页重定向多少次。有人提出设为10次，超过这个数字，Chrome 就会放弃加载网页。然后，另一个人说不行，必须设为30次，否则《纽约时报》网站就会停止工作。于是，Chrome 的重定向上限就是30次。

-- 《我在 Chrome 团队的10年》[50]

5、

曾经有一段时间，成为一名全栈开发人员是可能的，可以做到对中等复杂系统的每一层都有很好的熟悉度。

但是，今天的系统涉及太多的组件，想要掌握每个堆栈的每个组件，是不切实际的。正如一位开发者所说：“程序员现在不得不在数百个 API 之间充当某种巨大的手动管理层。”

-- 《更快的马》[51]
历史上的本周

你做过不在乎结果的项目吗？（2022 No.195）

大家不出门，经济怎么办？（2021 No.145）

漫游类的游戏，将会越来越多（2020 No.93）

一篇好玩的论文（2019 No.43）
鸣谢

周刊得到国内新一代知识管理与协作平台 FlowUs[52] 的帮助，深表感谢。

FlowUS[53] = 文档 + 表格 + 网盘。你可以用它写文档、做主页、管理数据、存储文件等等。

每一期周刊同时发布在 FlowUs 专栏[54]，欢迎大家也去开通自己的专栏和主页。

（完）
References

[1] 开源: https://github.com/ruanyf/weekly
[2] 投稿: https://github.com/ruanyf/weekly/issues
[3] 《谁在招人》: https://github.com/ruanyf/weekly/issues/2827
[4] 邮件联系: mailto:yifeng.ruan@gmail.com
[5] yifeng.ruan@gmail.com: mailto:yifeng.ruan@gmail.com
[6] via: https://www.tpoty.com/galleries/2022-winners/
[7] 老飞机的模拟飞行: https://www.yystv.cn/p/10140
[8] 迪斯尼的年龄调整算法: https://gizmodo.com/whats-next-arecibo-observatory-collapse-2-years-later-1849836610
[9] 儿童游乐场: https://www.core77.com/posts/117655/Artist-and-Structural-Engineer-Designs-Risky-Playground
[10] 智能绷带: https://www.inverse.com/innovation/self-healing-bandage-wireless
[11] Next、Nuxt、Nest的区别: https://www.twilio.com/blog/comparing-nextjs-nestjs-nuxt-gatsby
[12] 为什么业界转向内存安全语言: https://www.darkreading.com/application-security/shift-memory-safe-languages-gains-momentum
[13] 如何使用 360 相机生成航拍图像？: https://jakecoppinger.com/2022/12/creating-aerial-imagery-with-a-bike-helmet-camera-and-opendronemap/
[14] 打造我的家庭办公环境: https://arun.is/blog/desk-setup/
[15] 我如何以 SerenityOS 谋生: https://awesomekling.github.io/How-I-make-a-living-working-on-SerenityOS/
[16] 我的个人 IT 基础设施: https://writings.stephenwolfram.com/2019/02/seeking-the-productive-life-some-details-of-my-personal-infrastructure/
[17] Playwright 如何绕过登录验证码: https://blog.checklyhq.com/how-to-bypass-totp-based-2fa-login-flows-with-playwright/
[18] 使用 Ruby 语言理解网络堆栈: https://medium.com/geckoboard-under-the-hood/how-to-build-a-network-stack-in-ruby-f73aeb1b661b
[19] Convex: https://www.convex.dev/
[20] 兔年定制头像: https://www.xiaoli.vip/rabbit/
[21] 开源: https://github.com/xiaoli1999/custom-rabbitImage
[22] @xiaoli1999: https://github.com/ruanyf/weekly/issues/2898
[23] ElasticView: https://github.com/1340691923/ElasticView
[24] @lin2415016: https://github.com/ruanyf/weekly/issues/2887
[25] RATH: https://github.com/Kanaries/Rath
[26] @AntoineYANG: https://github.com/ruanyf/weekly/issues/2892
[27] tl-rtc-file-tool: https://im.iamtsm.cn/
[28] 开源: https://github.com/iamtsm/tl-rtc-file
[29] @iamtsm: https://github.com/ruanyf/weekly/issues/2893
[30] EasyNode: https://github.com/chaos-zhu/easynode
[31] @chaos-zhu: https://github.com/ruanyf/weekly/issues/2897
[32] vscode-gptcommit: https://github.com/pwwang/vscode-gptcommit
[33] @pwwang: https://github.com/ruanyf/weekly/issues/2890
[34] Tweek Calendar: https://tweek.so/
[35] BetterDisplay: https://github.com/waydabber/BetterDisplay
[36] berty: https://berty.tech/
[37] Mastering Bitcoin: https://github.com/bitcoinbook/bitcoinbook
[38] satellite-track: https://jiangteng2019.github.io/satellite-track/
[39] 开源: https://github.com/jiangteng2019/satellite-track
[40] @jiangteng2019: https://github.com/ruanyf/weekly/issues/2888
[41] tabler-icons: https://tabler-icons.io/
[42] Some Assembly Required: https://github.com/hackclub/some-assembly-required
[43] 快速涂鸦: https://quickdraw.withgoogle.com/
[44] 奥尔梅克头像: https://www.miamighostchronicles.com/stranger-than-fiction/the-olmec-mystery
[45] 博物馆: https://en.wikipedia.org/wiki/Olmec_colossal_heads
[46] 苹果收购 NeXT 的往事: https://blog.hayman.net/blog/2021/12/20/apple-next-25-years-ago-today/
[47] 《拯救 React》: https://acko.net/blog/get-in-zoomer-we-re-saving-react/
[48] 《我的创业箴言》: https://hackernoon.com/optimize-for-alignment-not-control-great-leaders-serve-and-more-startup-mantras
[49] Joel Spolsky: https://www.devshirt.club/developer-shirt/its-harder-to-read-code-than-to-write-it
[50] 《我在 Chrome 团队的10年》: https://neugierig.org/software/blog/2022/12/chrome.html
[51] 《更快的马》: https://redmonk.com/sogrady/2022/12/09/faster-horse/
[52] FlowUs: https://flowus.cn?promotionChannel=GW_RYF_01
[53] FlowUS: https://flowus.cn?promotionChannel=GW_RYF_01
[54] FlowUs 专栏: https://ruanyf-weekly.flowus.cn/?code=FLOWUS&promotionChannel=WX_RYF_00