令人作呕的同程旅游

同程旅游这个平台,说来很多人恐怕不熟悉。然而,它是和微信钱包合作的商家。

最近我在微信钱包所提供的"机票/火车票"中检索回国(悉尼-北京)的机票,但对其所提供的机票的时间和价格都不满意,便没有订票。

然而,一天后,同程旅游却连续用短信平台号码给我发来如下两条信息:

10655024056448007:

【同程旅游】尊敬的同程会员您好,我是您的机票&酒店专属顾问:徐涛,工号:29656,微信:18662505276,手机:18662505276,如您最近有出行计划可直接通过微信或电话与我联系, 为您推荐合适的航班及酒店,申请优价服务,期待您的联系!回复TD退订

10691010938:

【同程旅游】您浏览的悉尼-北京航线票量已开始紧张,机票早订更优惠,戳https://s.ly.com/6kqmhkwD预定!回TD退订


我不能确定同程旅游通过什么途径知晓我的手机号,是微信向它出卖了我的手机号?还是我今年8月用它订火车票的时候它记录了我的手机号?我更倾向于后者。

提起8月份,我于辽宁省旅游期间在同程旅游上订了一张火车票,然而订票时,它并没告知我需要到"自提点"领取,而不是在售票大厅的12306自助机上领取;更令人气愤的是它提供的自提点地址不正确,险些令我不能赶上火车。

我向沈阳北站外一名警察询问自提点具体位置,原来是在附近一家旅店里!我问完还听到那名警察说"怎么老有人问这家,它们写不明白啊……",可见同程旅游没少坑人。


总而言之,我对这种滥用我隐私信息的行为十分反感,恐怕再也不会考虑在同程旅游这个平台上购买任何商品或服务了。

论微软的"精神股东"

数日前,我在知乎网吐槽了一句微软Windows10的"双设置"——也就是开始菜单中的"设置"与"控制面板",便招来软狗问候我的家人。

更有软狗嘲讽我说

有本事你不用Windows

的确,我完全可以摆脱包括Windows10在内的微软公司的狗屎软件,除了Adobe的部分软件不被Linux支持(可通过Wine实现),对我的笔电*1而言,就连驱动程序,Ubuntu做的也比Windows10高到不知道哪里去了。

当然,软狗(微软的"精神股东")要么目光短浅且无知,要么沉迷电游,才会有如此弱智的言论。


Windows10的双设置,究竟怎样不方便?我想可以这样解释:

将"设置"中可调节的选项设为A集合,控制面板中可调节的选项设为B集合。

  • 对于Windows 7,A=Ø
  • 对于Windows 8/Windows 8.1,A⊊B(设置有的选项,控制面板都有)
  • 对于Windows 10,A∩B⊊A且A∩B⊊B(有的选项仅出现在设置,有的仅出现在控制面板)

实在搞不懂微软的逻辑。

有人说这样是为了简化操作,但简化操作为何不将"双设置"合并,再像Intel核心显卡的控制面板一样,添加一个[基础模式-专家模式]的选项?


此外,这台电脑*2在Windows 10 1709"毁灭者"更新的加持下,运行的比使用5400rpm机械硬盘的电脑更慢——打开Chrome要等待1s,打开Xshell 5甚至要等待3s。

而Windows的驱动体系我更是无力吐槽——

  • 自带的无线网卡驱动会导致无规律蓝屏*3,我更换厂商提供的(不会导致蓝屏的)驱动后,Windows 10却重新加载自带驱动,我只得找到自带的驱动程序文件并将其删除来解决
  • 自带的声卡驱动会爆音,而厂商提供的无问题。因我未找到自带声卡驱动的文件,无法将其删除,故此问题目前尚未解决

而我尝试用LiveCD启动Ubuntu Gnome,发现它不仅能让除独立显卡外的任何硬件正常运作,而且也完全没有Windows这层出不穷的问题。


*1. Dell XPS15-9560
*2. 采用128GiB Sandisk X400
*3. 日志也无法提供任何对troubleshooting有帮助的信息,这是Windows的另一个巨大缺点

本站已屏蔽2个百度公司的C段

被屏蔽的2个C段分别为:

  • 123.125.71.0/24
  • 220.181.108.0/24

现采用的屏蔽方式为通过防火墙丢弃其到本服务器任何TCP端口的数据包。


这件事要从半年多以前说起。

2017年4月,我例行检查HTTP服务器(Apache)日志,检索可能的攻击行为:通过正则表达式,检索对不存在的可执行文件(php|asp|aspx|jsp)的请求。发现第一个C段下超过20个IP进行攻击行为。检索其请求的路径,发现与Discuz(一个BBS程序)的已公开漏洞有关。5月,第二个C段也出现并发起同类型的攻击。

因为攻击者扫描的时Discuz的漏洞,而这一BBS程序被国内的论坛网站普遍使用,我猜测攻击者来自国内……


我通过ipip.net检索发现这两个C段竟然是隶属百度公司的。在回去检查日志,这些请求的User-Agent里都有BaiduSpider字样——起初我以为是攻击者为了绕过日志——有些站长通过HTTP服务器的环境变量设置不将搜索引擎蜘蛛发起的请求记录到日志,而判断方法是根据User-Agent。

我想到两种可能性:

  1. 百度云(云计算服务,非网盘,下同)宿主机被攻击导致整个C段被拿下,并作为肉鸡发起网络攻击
  2. 百度云上的用户发起攻击
  3. 出于某种目的,百度自己所为

首先排除了2,因为我不认为该用户能使用这么多百度云的IP发起攻击而不被风控系统发现。

暂时摸不着头脑,只得先在Apache里屏蔽这两个C段的访问,也就是返回HTTP 403

后来我向百度云的客服邮箱发送邮件询问此事,但在很长时间里并没得到任何回复。我在V2Ex上发帖询问此事后,有人告知我可能是百度云的"云安全检测",我这才明白。

这令我想起2014年我刚建站时的一些事情——那时候我还在使用每月流量只有10GiB的虚拟主机,也不会分析日志,只能在后台看到流量在一天之内突然消耗了超过3GiB,于是请求客服协助,客服表示屏蔽了4个大量发起攻击请求的IP,后经查询,皆为360公司所有。

如今,百度终于回复了我在近半年前的邮件,确认了其为"云安全检测",并告诉我不用在意,是"为了我好"。我提出如下质疑,但百度未予回复:

  1. 作为安全检测服务,是否尊重了站长的知情权和选择权?
  2. 作为安全检测服务,为何没有通过User-Agent或query parameters明确告知站长其身份,反而冒充搜索引擎蜘蛛?

两条质疑的具体解释/反例如下:

  • 阿里云提供安全检测,只针对其自家的主机,并明确告知用户检测时所使用的IP
  • Avast公司的安全检测,明确通过User-Agent声明其身份
  • UptimeRobot提供的在线率检测,明确通过User-Agent声明其身份
  • Automattic的Jetpack提供的在线率检测,明确通过User-Agent声明其身份
  • Qualys SSL Labs提供的SSL配置检测,明确通过query parameters声明其身份
  • ……

而且,在设置Apache对以上两个C段返回403 Forbidden后,又在auth.log中发现大量来自这两个C段的、失败的登录请求。这让我无法理解:

  1. OpenSSH和Dropbear等常见SSH服务端近期未爆出公开漏洞
  2. 漏洞检测≠蛮力攻击

故决定通过防火墙屏蔽这两个C段至本站服务器的任何端口。 继续阅读“本站已屏蔽2个百度公司的C段”

澳洲的熊孩子

昨日晚,我去一家中餐馆吃饭时遇到了我来到澳大利亚一个月以来最恶心的一件事。

当晚我坐在靠近门且比收银台更靠近门的位置,点了一碗什锦粥,服务员刚上菜不久,离去……

与此同时,一家三口(皆为白人)刚刚吃完饭,父母在收银台结账,他们的孩子,看起来10岁左右的男孩,便先往门口走。


这时,这个孩子突然在我的碗里吐了一口吐沫,随后企图跑出店门。我震惊之余迅速起身擒住他的衣领,将他拽回来。动静惊动了其父母,她母亲冲我厉声大叫

What're you f**king doing?

我一时未能组织好语言,便先回应

You'd better ask your lovely child

僵持约1秒后我大致组织好语言,将碗里的吐沫(此时还为与粥混为一体,可看得出来),怒斥其父母

Your child spit in my bowl seconds ago, how can it happen? That's your failure on education and parenting!

此时,母亲一直不语,并抚摸孩子的头。不久,其父亲也靠近并看到碗里的吐沫。这孩子却开始胡闹,先是故意将碗划到地上,摔碎了;后又大喊大叫,说一些我听不懂的话(也许是胡话),其父亲冲他大吼"Shut up!",他方才停止胡闹。最后,其父亲向我致歉并赔偿了我的损失,亦赔偿了店家的损失(被摔碎的碗),之后离去。

在此过程中,孩子的母亲一直斜着眼睛、充满敌意地瞪着我。

隔着饭店的玻璃门,我看到那个孩子哭了,他母亲一边爱抚着他的头,一边用另一只手的手指指着他父亲的鼻子,可能是在指责父亲吼了孩子(那句"Shut up!")……


倘若是个一两岁甚至三四岁的孩子做出这种事情,我恐怕不会如此光火,至多也就是告知其父母并要求赔偿。然而这个孩子年龄大约10岁,很难想象其家长是怎么教育他的。

此事发生后其母亲的表现与态度尤其让人难以接受。估计这个母亲在平时与孩子相处过程中就是这样把他给spoil(惯坏)了。

此外,回到寄宿家庭和host聊起这个问题,她提到,在澳大利亚打孩子是违法的,尤其是在公共场合,如被他人举报基本上肯定"洗不清罪名";更有华人移民因孩子不学习、贪玩等原因打孩子,孩子报警导致家长被判入狱一星期的。

被Optus坑惨

Optus是澳大利亚三大运营商之一,国内旅游和留学类网站普遍称其价格最便宜(同价位流量最多)、网络覆盖比Vodafone好。我因而在抵达澳大利亚三星期后,在一家超市购买了Optus的SIM卡,进行尝试。


然而,恶心的事这才开始。

回家后激活SIM卡时发现,Optus提供的最低价Prepaid(预付费)套餐为A$30,称为MyMobile,提供4GiB流量*1;。

为了这0.5GiB流量,我花费A$30激活了这张卡。却发现其无法拨出电话或发送短信——包括拨打000*2或Optus的客服号码——发送短信给任何号码都提示发送失败,而拨打电话则只会听到类似"Sorry, due to temporary service difficulties, we are unable to connect your call at this time"的提示音,起初我以为是因为Peak hour导致网络负载过大,但这种问题一直存在。

直到我Google检索电话中的提示音,才发现MyMobile这种Prepaid套餐是用于Mobile Broadband,也就是国内所说的"4G上网卡"——当然,也可以用在支持蜂窝网络的平板电脑上。不包含任何通话和短信资费继续阅读“被Optus坑惨”