腾讯科技讯（娄池）12月28日消息，2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发，其后的48小时，中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。

龚蔚表示，本次黑客公布的用户账号约为1亿个用户账号及密码相关信息，预计地下黑客掌握了更多的互联网用户账号信息，本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角，预计有将近4到6亿的用户账号信息在黑客地下领域流传（2011年互联网数据统计，中国互联网网民为4.8亿），这次被黑客公布爆库的网站数据信息只是黑客地下流传的极少一部分。

他透露，其中有相当一部分网站采用明文方式存储用户密码，分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储，通过简单的彩虹表碰撞（一种加密密码破解的方法）可以在数秒钟内破解加密存储的密码。

以下为本次账号泄露的基本时间表：

12月21日：CSDN 640W用户帐户，密码，邮箱遭到黑客泄露

12月22日：中国各大知名网站全面沦陷.涉及范围甚广，泄露信息涉及用户相关业务甚多…. 一场席卷全中国的密码安全问题爆发了….

12月23日：经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露

12月23日：网友爆料 天涯沦陷…7K7K包中包含天涯帐户密码!!!互联网安全何在???

12月24日：178沦陷 UUU9沦陷 事态蔓延…

12月24日：天涯全面沦陷 泄露多达900W帐户信息…

12月24日：网易土木在线也沦陷，数据量惊人…

12月25日：百度疑因帐号开放平台泄露帐户信息…

12月25日：北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露…

12月25日：UUU9.COM被黑客两次拖库..

12月25日：事态升级天涯疑泄露4000W用户资料

12月25日：178第二次被拖库泄露数据110W条

12月25日：木蚂蚁被爆加密密文用户数据，约13W数据

12月25日：知名婚恋网站5261302条帐户信息证实…

12月26日：myspace泄露，迅雷又成功离线3个泄露包!

12月26日：ispeak泄露帐户信息 已验证!请官方通知会员修改密码!

12月26日：网络流传包17173.7z中17173.0为178帐户信息，178惨被拖库3次

12月26日：网络流传包17173.7z中17173.3为UUU9.COM帐户信息，泄露数据不详

12月26日：塞班智能手机网校验准确率高达70%！！或塞班智能手机网沦陷

12月27日：网易土木论坛通过碰撞分析密码，用户资料全部属实！共计135文件，4.31G 资料泄露时间疑为2011-07-09 15：09：11(已论坛发帖通知，厂商未回应.)

12月27日：178.com彻底沦陷，共计泄露超出1100W+ 数据!

12月27日：766验证泄露，泄露数据十余万！

12月27日：ys168验证泄露，泄露数据三十余万！

12月27日：凡客20W 当当10W 卓越20W 用户资料验证泄露

12月28日：太平洋电脑泄露200W用户资料包含用户帐户

12月28日：大学数据库泄露，身份证信息泄露，更为敏感内容糟骇客泄露，泄露数据不详，只能靠截图揣摩!

以下为本次账号泄露情况的基本信息表：

CSDN共计泄露640万个帐号，泄漏信息：帐号、明文密码、电子邮件；

多玩：共计泄露800万个帐号，泄漏信息：帐号、MD5加密密码、部分明文密码，电子邮件，多玩昵称；

178.COM：共计泄露188万个账号，泄漏信息：帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)

天涯：共计泄露4000万个帐号(预计超过4000W数据)，泄漏信息：帐号、明文密码、电子邮件

人人网：共计泄露500万个帐号，泄漏信息：明文密码、电子邮件

UUU9.COM：共计泄露700万个帐号，泄漏信息：帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称

网易土木在线：约4.3GB 137个文件，泄漏信息：帐号、MD5加密密码、其他相关数据

梦幻西游：约1.4G(木马盗取)，泄漏信息：帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。

北京麒麟网信息科技有限公司：共计泄露9072966个帐号，泄漏信息：帐户、明文密码

知名婚恋网站：共计泄露5261302个帐号，泄漏信息：帐户、明文密码

Ispeak.CN：共计泄露1680271个帐号，泄漏信息：帐户、明文密码、昵称

木蚂蚁：共计泄露13W帐号，泄漏信息：帐户、加密密码、数据库排序ID、其他信息

塞班论坛：共计泄露约140W帐号 泄漏信息：帐户、明文密码、电子邮箱

766.COM：共计泄露约12W帐号，泄漏信息：帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、数据库排序ID

ys168：共计泄露约30W帐号，泄漏信息：帐户、明文、电子邮箱

当当：共计泄露约10W用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、电话

凡客：共计泄露约20W用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、电话

卓越：共计泄露约20W用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、，电话

谁是幕后的主谋？

龚蔚认为，从某种意义上说任何一个安全厂商都可能是事件之后直接的利益获得者，首次公布CSDN泄密信息为金山一个不知名的技术人员，但事件的第一个出场人物不是这些数据的最早拥有者，且就算凭借他的一己之力也不可能掌握如此庞大的数据，面对事件带来的极大社会影响谁都可以预知，显然作为长期站在黑客对立面的商业公司肯定不愿意搅这趟浑水。

他表示，从技术分析，一个或者几个联合体的黑客团队完全可能掌握这些庞大的地下信息，但是公布这些信息显然是对他们没有任何价值的，就目前来看还没有一个黑客团队公布对该事件的任何信息，公布近亿的用户数据就为了一个出名显然不可能。

他认为这次得信息泄露就是一场蝴蝶效应，当一部分密码被泄露后，一方面用户首先会做的就是更改他所有网站的密码，而另一方面对于黑客来说，他以前掌握的这些用户账号密码但来自于其他不同的网站，当黑客发现他们的密码将不再有任何的价值和意义时，随即娱乐大众拿出自己掌握的数据来与大家分享一下，用黑客那种独有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反应。

产业链解析

龚蔚称，黑客地下产业细分很明确，一旦获得用户账户信息（黑客们习惯称为刷库），将进行流水化的洗库工作，庞大的群体等待着这些账户密码（黑客俗称洗库），下线洗库的首先判断是否可以登录其他所有的将近500个大型网站，然后分门别类的区分出不同的账号价值，比如短位QQ账号（5位6位的QQ号），带有虚拟币的系统比如支付宝系统，网游系统，通过第一次的刷库将其最直接的虚拟币或游戏账号进行转移，第二梯队根据刷下的库对用户账户信息进行筛选，将用户的一些基本信息进行保存，比如密码习惯，找回密码的答案，然后再根据这些信息去尝试用户其他的账户，同时进行二次刷库。

掌握某些网站的关键维护人员的用户账号信息后，他们的密码很可能就是某些网站的维护密码，这为刷库的黑客带来了更多的入侵机会，他们将会尝试这些管理员的密码扩大入侵的范围，（黑客俗称“社会工程学破解”）。

龚蔚表示，更多的产业链在等着这些刷库工作者，用户数、游戏运营商需要注册用户数，广告商要用户数，刷库的可以在短时间内将任何有需求的注册用户数提升上去，而且都是真实的用户。

他透露，更为可怕的是，根据数据库可以判断出账户的社会关系，如果一个密码数据库里只有5个人用，那就是马甲了。如果一个邮件后缀只有30个用户那你们就是某种特定关系的朋友或者是同事。

一个IP用户不同账号同时发了几次微博，那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过10个重复率，那你们之间一定有联系。还有更多的黑客分析算法，目的只有一个这将作为下一个产业链的开始，可以是诈骗，可以是敲诈。因为他知道网民背后所有的秘密。

他介绍，就算最后所有的价值都被榨取完了，这些账号还是有利用价值的，这些信息将被无情的低价倒卖给一些专门发送垃圾邮件，垃圾广告的群体，你的每一次点击将会给他带来1毛钱的收入。

　　继知名程序员网站CSDN被曝用户数据库遭到泄露，导致大量明文登记的用户账号与密码泄露后，人气网站天涯社区也被曝用户数据库遭黑客公开，涉及的用户量据称有4000万之多。对此，天涯方面昨天回应，此次被盗的数据为2009年之前的备份数据，但尚未确认具体的泄露数据及原因。

　　“密码事件延续，是一个不好的消息，但知道真相总比不知道要好，天涯社区4000万用户明文密码泄露”。昨天下午，ID为“乌云-漏洞报告平台”的网友发布微博说。据悉，“乌云网”是一个介于厂商和安全研究者之间的安全问题反馈平台，不定期更新互联网平台和产品安全漏洞信息。

　　该网站还公布了部分遭泄露用户的信息截图，称“经验证为有效数据”。与此同时，包括“陈子夏”在内的部分网友也在微博上发帖，声称在泄露的数据库当中找到了自己的账号和密码。此外，与CSDN用户数据库泄露事件如出一辙，这次天涯社区遭公开的用户数据，同样是以明文方式来保存的。

　　昨晚，天涯方面给南都记者发来了有关此次用户数据外泄事件的声明，称此次被盗的是2009年之前的备份数据，2010年之后升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了用户账号的各种安全性问题。至于为何采用明文密码，声明仅以“历史原因”一句带过。至于具体被泄露的用户规模，天涯市场部相关人员表示，截至目前尚无具体数字，但应该低于网上盛传的4000万这一数字。

　　一些名人也成为受害者。昨日18时26分，编剧宁财神在微博上称，他的天涯账号被盗。他笑言，“虽然已很久没去天涯，但那是我混的第一个论坛……希望捡到我那个ID的人好好玩，不要乱泡妞啊”。

　　数据库被盗并非秘密

　　目前，在天涯社区的个人微博首页上，可以看到有关修改密码的提醒和建议。天涯社区的工作人员表示，这一提示信息早在CSDN用户数据库被曝泄露之后，即作为预警信息已发出。

　　事实上，自CSDN的用户数据库遭公开以来，已陆续传出多个网络社区或SNS网站用户数据库被黑客盗取。有消息称，“被标注为开心网、多玩等数十家知名网站的数据库打包资料，开始在网络提供下载，涉及近5000万用户”，但这未获相关网站证实。尽管如此，连日来有关各类网站用户数据库被盗的消息，已经让众多网民感到不安，有网友甚至调侃，“全民修改密码的时代来临了”。

　　更重要的是，业内和网友普遍认为，遭窃数据库明文存储账号与密码的方式，暴露了国内互联网安全防护系统的脆弱。此外，包括“月光博客”在内的业内人士亦向南都记者表示，用户数据库被黑客盗取在业内也并非秘密，只是像近期这样被公开并在网上大规模散播的现象还是首次，但具体原因暂时不详。

换了工作，第一个项目接触的数据库是Sybase IQ，之前没用过，发现客户端比较少。

现在介绍一些比较常用的客户端。

1、官方Sybase SQL Advantage ：我安装的是12.5.1，只能执行SQL查数据，可以通过sybase的导出命令进行整个库的导出，插入和修改数据也只能使用SQL，可像PL-SQL一样查看表结构。

官方Sybase Central：只能用视图形式查看数据及表结构，可查看建表语句，可以直接在视图修改字段属性，但无法插入修改数据，可以在SQL Advantage上操作。

2、DBArtisan：可以连接多种数据库，连接Sybase时需要设置字符集，可以在视图模式下查看表结构及表数据，可以轻松导出整个库及导出单个表的insert语句，也可以导出建表语句，在视图模式中修改表数据时会像PL-SQL一样自动生成相应的SQL语句，整体来说，这款软件功能还是非常全面的。

3、TOAD for Sybase：TOAD是一款很强大的DB客户端软件，但每个DB都得有个独立的软件，我比较喜欢TOAD for oracle，使用起来很方便，而且功能强大，对于管理DB还是比较有用的，怀着对TOAD for oracle的喜欢之情，就更想试一下TOAD for Sybase是不是也同样强大，下载安装才发现并没有for oracle那样容易上手，而且对于单表的导出也不是很方便，不像for oracle一样右键就可以导出表数据，也可以是我没找到吧，但还是有和for oracle一样的特点，就是可以在视图模式下轻松插入、修改及删除数据，由于操作比较复杂，就没深入研究了。

4、DBAssistant：一个IQ图形化工具，有兴趣的IQ开发人员和数据库DBA可以用用。

以上就是我常用的Sybase客户端软件了，如果只是来查看数据，直接用官方Sybase Central就可以。其实推荐上面第二种软件，因为我所常用的功能它都能通过直接或者间接的方式来实现，对于平时的开发维护工作已经足够了。

pentaho的BI，一直没认真看过，或许有时间，可以，认真看下？

应该有时间的。

oracle表空间命令语句大全

建立表空间

CREATE TABLESPACE data01

DATAFILE ‘/oracle/oradata/db/DATA01.dbf’ SIZE 500M

UNIFORM SIZE 128k; #指定区尺寸为128k,如不指定，区尺寸默认为64k

删除表空间

DROP TABLESPACE data01 INCLUDING CONTENTS AND DATAFILES;

修改表空间大小

alter database datafile ‘/path/NADDate05.dbf’ resize 100M

移动表至另一表空间

alter table move tablespace room1;

一、建立表空间

CREATE TABLESPACE data01

DATAFILE ‘/oracle/oradata/db/DATA01.dbf’ SIZE 500M

UNIFORM SIZE 128k; #指定区尺寸为128k,如不指定，区尺寸默认为64k

二、建立UNDO表空间

CREATE UNDO TABLESPACE UNDOTBS02

DATAFILE ‘/oracle/oradata/db/UNDOTBS02.dbf’ SIZE 50M

#注意：在OPEN状态下某些时刻只能用一个UNDO表空间，如果要用新建的表空间，必须切换到该表空间:

ALTER SYSTEM SET undo_tablespace=UNDOTBS02;

三、建立临时表空间

CREATE TEMPORARY TABLESPACE temp_data

TEMPFILE ‘/oracle/oradata/db/TEMP_DATA.dbf’ SIZE 50M

四、改变表空间状态

1.使表空间脱机

ALTER TABLESPACE game OFFLINE;

如果是意外删除了数据文件，则必须带有RECOVER选项

ALTER TABLESPACE game OFFLINE FOR RECOVER;

2.使表空间联机

ALTER TABLESPACE game ONLINE;

3.使数据文件脱机

ALTER DATABASE DATAFILE 3 OFFLINE;

4.使数据文件联机

ALTER DATABASE DATAFILE 3 ONLINE;

5.使表空间只读

ALTER TABLESPACE game READ ONLY;

6.使表空间可读写

ALTER TABLESPACE game READ WRITE;

五、删除表空间

DROP TABLESPACE data01 INCLUDING CONTENTS AND DATAFILES;

六、扩展表空间

首先查看表空间的名字和所属文件

select tablespace_name, file_id, file_name,

round(bytes/(1024*1024),0) total_space

from dba_data_files

order by tablespace_name;

1.增加数据文件

ALTER TABLESPACE game

ADD DATAFILE ‘/oracle/oradata/db/GAME02.dbf’ SIZE 1000M;

2.手动增加数据文件尺寸

ALTER DATABASE DATAFILE ‘/oracle/oradata/db/GAME.dbf’

RESIZE 4000M;

3.设定数据文件自动扩展

ALTER DATABASE DATAFILE ‘/oracle/oradata/db/GAME.dbf’

AUTOEXTEND ON NEXT 100M

MAXSIZE 10000M;

4.设定后查看表空间信息

SELECT A.TABLESPACE_NAME,A.BYTES TOTAL,B.BYTES USED, C.BYTES FREE,

(B.BYTES*100)/A.BYTES “% USED”,(C.BYTES*100)/A.BYTES “% FREE”

FROM SYS.SM$TS_AVAIL A,SYS.SM$TS_USED B,SYS.SM$TS_FREE C

WHERE A.TABLESPACE_NAME=B.TABLESPACE_NAME AND A.TABLESPACE_NAME=C.TABLESPACE_NAME;

有需要命令行模式运行kettle的，可以参考之。

kettle学习之Kitchen

下载该文件，参考期中的方式。

如题，不为别的，主要是国内的主机限制太多。

博客经常不能在线更新（实在不是什么好的理由）

但是，的确是搬到国外了。

不知道访问速度有什么区别。

对了，选的主机是一个叫HostRing的主机商，88元一年的价格也是很不错的了。

500M的空间对一般的个人来说，也是够用的了。

还可以做5个站点，不限子域名数。

可以在线支付宝支付，实时开通，很方便。

有需要的，可以到这里来看一看。

国外优秀主机提供商

最近出差海南,基本上没怎么更新了.

今天上一个有关连接数据源的配置方面的。

使用 JNDI 的好处就是便于部署和数据源的变更，kettle 也提供了 JNDI 方式连接。
本文以 tomcat 和 mysql 为例，说明 kettle 如何使用 JNDI 方式连接数据源
1. 先将你的应用部署到 webapps 下，如 webapps/example。
2. 在 ./webapps/example/WEB-INF/lib 目录下，确保要有 kettle-core.jar, kettle-engine.jar 和其他 kettle 运行时依赖的 jar 文件。
3. 将 mysql 的 jdbc 驱动拷贝到tomcat 的 ./lib 目录下，同时在 ./conf/server.xml 文件中配置 JNDI：
<Context path=”/example” docBase=”example”
debug=”5″ reloadable=”true” crossContext=”true”>
<Resource name=”jdbc/TestDB” auth=”Container” type=”javax.sql.DataSource”
maxActive=”100″ maxIdle=”30″ maxWait=”10000″
username=”root” password=”1″ driverClassName=”com.mysql.jdbc.Driver”
url=”jdbc:mysql://localhost:3306/test?autoReconnect=true”/>
</Context> 
4. 使用 kettle 的图形界面 spoon 创建一个转换，在创建数据库连接时，要使用 JNDI 连接方式，JNDI 名称是 TestDB。 创建完转换后将转换保存为 ktr 文件如：c:/test.ktr
5. 创建 kettle-jndi-test.jsp 文件，文件内容如下：
<%@ page contentType=”text/html”%>
<%@ page import=”org.pentaho.di.trans.*” %>
<%@ page import=”org.apache.commons.vfs.*” %>
<%

try{
StepLoader.init();
}catch (Exception ex)
{
ex.printStackTrace();
}
TransMeta meta = new TransMeta (“c:/test.ktr”);
Trans trans = new Trans(meta);
trans.execute(null);
trans.waitUntilFinished();
trans.endProcessing(“end”);
%>
6. 启动 tomcat， 浏览器中输入URL: http://localhost:8080/example/kettle-jndi-test.jsp 可以发现 kettle 转换已经成功执行。

kettle中使用正则表达式的一个小例子，欢迎延伸

点击“显示(S)文件名…”后出现的界面
最近群里有些人遇到从某一类型的文件读取数据的问题
比如，从C盘下所有的问基本文件（txt）中读取数据进行后期的处理
因为之前有过类型的工作内容，所以将txt输入这边所要填写的写出来
希望可以帮助需要的人

大多数人不会在维护WordPress安装上耗费过多时间。
尽管如此，WordPress的安全问题仍然应该放在最重要的位置上。
服务器端和.htaccess保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。

锁定.htaccess

.htaccess文件有很多用途，但它最主要的功能，是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的WordPress后台的IP地址。

在.htaccess文件里加入下面的代码可以达到这个效果：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from 123.456.789.012

用你指定的IP地址代替其中的123.456.789.112。

禁用目录浏览

一些服务器设置允许目录浏览，即你可以通过http://jindows.cn/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览，只需要在.htaccess文件里加上下面的代码：

Options All -Indexes

保护.htaccess

.htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD 644。通过FTP登录进入服务器，然后进入网站根目录（通常是public_html文件夹，除非你为WordPress另设了一个独立文件夹）。 找到.htaccess文件后右击文件，将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码：

<Files wp-config.php>
Order Deny,Allow
Deny from All
</Files>

优化wp-config文件

.htaccess文件之后接下来是wp-config.php文件。

移动wp-config文件

从WordPress 2.6开始，WordPress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。 如果在当前WordPress目录下没有发现wp-config文件，WordPress会自动检查wp-config文件是否在其上层目录中。

更改WordPress表前缀

安装时WordPress的默认表前缀是wp_。 刚刚安装完后要修改WordPress表前缀是件很容易的事，但当你的WordPress网站已经运行了一阵子时，修改表前缀就不是那么容易的事了。 WP Security Scan插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。 这样攻击者在试图进入你的WordPress文件时就又多了一层障碍。

定义安全密钥

你可以在wp-config文件中看到下面的内容：

/**#@+
 * Authentication Unique Keys.
 *
 * Change these to different unique phrases!
 * You can generate these using the
{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies.
This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
/**#@-*/

代码中的链接给出了一套密钥规则，你可以用所给的规则来代替代码中的四行define规则。

WordPress安全插件

值得庆幸的是，WordPress拥有为数不少的安全插件。 下面只介绍一些最基础最重要的安全插件。

WP Security Scan插件

WP Security Scan插件会查看你的WordPress安装文件，看是否有安全漏洞并给出相应的意见。 该插件的查看范围包括：

• 密码
• 文件权限
• 数据库安全
• 版本号的隐藏
• WordPress后台安全
• 从核心代码中移除WP Generator META标签
  

Login LockDown WordPress Security 安全插件

Login LockDown记录尝试登陆WordPress失败的所有IP地址和时间。 如果插件发现短时间内同一个IP段内多次登录失败，插件会对禁止该IP段内所有登录请求。 Login LockDown有效阻止了暴力破解密码。

Stealth Login插件

用户可以通过这款插件自定义登录、登出、注册所用的URL。

AntiVirus for WordPress插件

AntiVirus for WordPress是一款保护博客不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括： 检测可能存在的平台漏洞、病毒感染、恶意链接等。AntiVirus for WordPress还可以给你发送邮件通知和白名单。

安全预防措施

以下是一些简单的安全预防措施：

• 及时将WordPress和插件都更新到最新版本
• 删除不用的WordPress主题和插件
• 使用安全程度较高的密码
• 不使用“admin”为登录名
• 为WordPress文件规定正确的文件许可权限
• 定期备份WordPress数据库（可利用备份插件）