个人云服务架构升级实践
最近杂七杂八自己部署了好些应用,分布在几台机器上,分别管理各自的 HTTPS 证书、Nginx 配置非常繁琐,有些机器上装了 VeryNginx 当 WAF 用,有些机器又没装,显得很杂乱,决定改一下架构。
利用 GOST 搭建加密中转隧道
大陆网络出境环境日益恶劣,很多人都利用了国内的服务器来中转流量,比如采用阿里云、腾讯云等国内 BGP 线路中转流量落地到香港 PCCW、日本 NTT 等线路,相对于直接采购一条 CN2 线路有时候成本更低。
基本上大多数人都用的最简单的 iptables 或者 socat 转发,直接将收到的包转到落地节点,本来这并没有什么问题,但自 2020 年以来,墙不断发威,SS/SSR 直连会被非常迅速的识别并封禁。同时又有研究人员指出,SS 的普通流加密存在非常严重的中间人攻击,可以以一种很巧妙的方式轻易解密数据包。此时,构建一条加密中转隧道就成了必要的选择。
SSPanel V3 Mod UIM 对接 V2Ray 后端
除夕墙又封了一波,之前配的 SSR 单端口挂了,迁移端口后,想到现在 SSR 基本处于停止状态,新出的各类客户端很多也拒绝支持 SSR,最好能全部迁到原版 SS 上去,但是原版 SS 又不支持单端口多用户,在有些 IPLC 机器和 NAT 的机器上没法用,只能再看看 V2Ray 了。
腾讯云你不会写systemd就别瞎写
本来不想骂人的,但是腾讯云的这东西也写的太恶心了,已经破坏了系统正常功能,忍不住。
攻击未授权访问的 Flink 集群
Flink 是一个针对流数据和批数据的分布式处理引擎,与 Storm 一起广泛应用于分布式实时计算场景中,且在某些场景下 Flink 性能要优于 Storm。然而 Flink 默认提供的 Web UI 却不支持鉴权,这就引发了非常明显的未授权问题。
利用Cookie机制鉴别Tor Browser和爬虫
大概从8月6号中午开始,「暗网交易市场」的爬虫就开始疯狂报「登录失败」的错误,下午抽空修复了一下,发现deepmix的站长利用了一个Cookie机制配合Tor Browser的特性很巧妙地区分出正常访问和爬虫,记录一下浪费在这上面的两个小时。
打造自己的RSS生成服务
项目的想法大概在两年前就有了,不过刚开了个头就发现「即刻APP」可以很方便的自定义RSS和微信公众号机器人,比自己搞一套要简单得多,于是把所有的订阅源全部挪到了即刻上,但19年即刻全面关闭了自定义机器人的设置,之前的许多订阅源也失效了,急需折腾一套类似的服务出来。
虽然RSSHub已经比较完善了,但出于学习和更深度定制的需要,还是把之前的项目善始善终。功能上很简单,定时爬取指定的消息源,存入数据库,然后生成对应的RSS,最好能把阅读的功能也做在一起,但目前这个需求并不迫切,之后有心情再看,目前就只有几个API和一个爬虫在跑,后续会完善一下安装部署的相关文档。
从MySQL出发的反击之路
某天看到 lightless 师傅的文章 Read MySQL Client's File,觉得这个「漏洞」真的非常神奇,小小研究了一下具体的利用。