安全漏洞:已知任一Dreamhost注册用户的主email地址,即可获得对该帐户的完全访问权限。 适用范围:Dreamhost WebPanel 发现日期:2007-3-10 漏洞描述 在Dreamhost 注册的用户(包括免费帐户),均可通过修改自己的主email地址(primary e-mail contact address)为与系统中其他用户已设置的主email地址相同的方式,来获得对修改后的email地址原所属帐户的完全控制,被入侵用户正常的Dreamhost 服务不受影响,也不会受到任何警告和通知。 背景介绍 Dreamhost 的注册用户可以使用WebID 或者主email地址登录WebPanel...
今天查看网站日志,发现有trackback 进来,但都是403错误,使用自己的msn space进行测试,结果相同。车东给了解决方法:MT HTTP error: 403 Throttled的原因和解决,统计一下log中的trackback数量,一天有1000多条trackback,而且几乎全部是spam, [hostname]$ grep mt-tb.cgi ./access.log.2007-03-18 |wc -l 1301 在我的mt-config.cgi加入如下2行...
Dreamhost 的空间已经用了个把月了(使用Fenng 的折扣代码购买 ),最欣赏的是它为用户提供登录Shell,在授权内可以运行绝大部分shell 命令,甚至允许添加cron job,让你在最大限度内保留自有主机的使用习惯。不过在带来灵活性的同时,如果使用不慎,风险也随之而来。下面是新建帐号系统默认建立的目录以及权限设置: [hostname]$ pwd /home/yourname [hostname]$ ls -l total 28 drwx--S---...
今天准备在Dreamhost 上自动备份blog的DB,MySQL是Dreamhost唯一提供的关系数据库服务,当前版本5.0 我了解很少(这里有个学习笔记 ),已知可以在命令行使用mysqldump 命令备份整个数据库,备份时似乎无需了解数据库的当前状态(比如是否正在运行事务),它会自行处理,从备份出的文件看,mysqldump实现的是冷备份,也就是说,仅采用这种备份方法,数据仅能恢复到最后一次运行mysqldump的时间点。 MySQL也介绍了一个热备份工具mysqlhotcopy,不过文档中有以下声明,我不清楚什么是MyISAM 与ARCHIVE tables,也不大明白MySQL 热备份的恢复机制(如何前滚日志)。还好,我的数据库目前很小,而我的空间很大很大,每次全备份只花费很少的时间,也占用很小的空间。 mysqlhotcopy works only for backing up...
