恩想: 苦拼 48 小時安全漏洞

Published by
天恩

不經不覺 unwire 踏入第 5 年,創業架設「網站」對於一般人來說像是件不難的事, 我們這幾位小伙子也曾經天真地以為做好內容就行,誰知現實上遇到種種問題,因為缺乏相關的知識和經驗,多次出醜於人前,經常成為行家及讀者們的恥笑對象,最近又因為安全漏洞再次「出醜」。

廣告伺服器漏洞

是次出現漏洞問題,是一套稱為 Open X 的開源廣告軟件,駭客發現了有些檔案可以開「後門」。可以讓用家存取廣告伺服器,執行一些本身不存的指令,最嚴重可以種入木馬,如果當時 Google 沒有把 unwire 暫時 Blacklist,讀者點播時就有機會中招。Open X官方雖然立即推出修正檔,但一切已經太遲,很多網站像我們般被 google blacklisted,後果就像各位進入 unwire前所看到紅色警告字句。

 

立即解決問題

當發現警告字眼,我們已立即解決問題,立即覆蓋有問題的檔案及使用官方修正檔升級,完成修正動作後再等候 Google 審查。所以,unwire 的廣告伺服器實際有機會被利用安全漏洞的時間,其實很短。審查後翌日下午雖然已經解封,不過在清晨又被再次發現有安全漏洞問題,估計是我們外連其他廣告供應商,有機會採用相同系統而未修補安全漏洞所致。中伏期間,很多讀者們都熱心地在我們 FB 反映,有讀者以為我們把問題置之不理,其實正好相反,我們為了修正此問題花上了不少時間,連睡覺也在想何時才能解封,所以才未有及時回應各位,這也代表我們危機處理得不夠完善。

 

欠 IT人員陣腳大亂

其實在 2010 年亦出現過類似漏洞,但經過今次我們決定以網友的安全為優先考量。再度因為 OpenX 的問題而困擾,我們決定不再冒險,最終轉用另一款由 Google 推出的廣告管理平台才把問題才解決。由於我們短時間內兩度被 blacklist ,所以這次審查時間非常久,二十多個小時才解封。

這 5 年我們一直遇到不少的 IT 技術及保安問題,由於我們幾位都是記者出身沒有「IT 底」,根本不懂去處理,因此每次都花去我們很多時間及資源。每次所帶來的傷害都非常嚴重,人流的流失、收入、聲譽等,但相當感激很多被我們緊急求救過、麻煩過的 IT 朋友。

經一事長一智,雖然每次遇到問題後都學懂甚樣防範,同伴有時也氣餒地問,為甚麼unwire 總是遇到這麼多的問題,每次稍有好轉就遇到麻煩導致前功盡廢!我都會安慰他說,幸好這些問題早出現讓我們早解決,假若日後規模更大時才出現這問題,損失必定更大,這反為是「好運」呢?

最後奉勸各位各位讀者,如果你有志架設網站,最好團隊中有一位是 IT保安專家及懂得解決伺服器上種種 IT 問題(必需要隨傳隨到),難怪現時 IT 保安人材非常搶手!

Published by
天恩