Hi Magic!

为庆祝“真英雄”在新浪微博上线，准备推出新版Magic Mailer

admin — Sun, 15 Jan 2012 00:12:55 +0800

经过一番小的调整，总算把真英雄游戏推到新浪微博的应用广场了，这件事拖沓很久了，中间分别经历了微博API升级和SAE升级。随着SAE的升级，有些功能已经可以调通了，比如之前所说的GMail发送，这样就可以推出支持SAE的新版Maigc Mailer了，虽然支持GAE版本的Maigc Mailer很早就有了，也非常稳定，但只有很少数的博主在用，原因是国内连GAE网站有问题，必须是国外的主机才行，这回用上SAE就方便了。最后说一句，欢迎来挑战真英雄，http://weibo.com/app/detail/9nd2H?f=2#att

神奇网站密码助手，轻松实现在不同网站设置不同密码

admin — Tue, 27 Dec 2011 00:16:26 +0800

最近大家应该都收到各大网站要求立即修改密码的紧急通知了吧。要说像多玩这样的娱乐网站泄密还可以理解，想不到就连CSDN号称中国最大IT社区的网站竟然也泄密，而且用户名和密码原文一起打包送给黑客，沃勒个去的，有没有专业精神啊？！网站界面做的一塌糊涂，满眼乱七八糟的广告，花钱雇个美工把把关不好吗？！！这回倒好，败絮其表，败絮其中！！！悲催的是… 我Magic哥也中招了！@#￥%…… 没办法，为了安全起见密码还是需要改的。大家应该习惯于不同的网站用相同的帐号和密码，毕竟脑力有限，总不能在液晶屏旁边贴着每个网站密码的便签啊，整那么多密码，藏着掖着都难受。这回好了，Magic哥整了个新的小玩意，神码！用一个密码种子，结合不同的网站地址可以生成不同的密码，不会因为一个站爆弱，导致其他网站帐号被盗，毕竟养个帐号也是很费心血的。具体原理介绍大家可以坐电梯围观。后续离线版本很快会放出，自己留着一份，就跟留个密码字典一样，既不会泄密，也不会因为找不到Magic哥而登陆不了网站。之后就是新浪的微博应用了，发布后大家多多捧场。

天翼工厂短信服务关于“请求鉴权失败”问题的解决

admin — Mon, 14 Nov 2011 17:38:03 +0800

几个月前想玩玩利用Hi Magic!网站发短信，所以折腾过一阵中国电信天翼空间应用工厂的短信服务，试了一阵下来，总是报“请求鉴权失败”，错误码是2500，论坛转了一圈没结果，也没Google到答案，就放弃了。就在世纪光棍节之际，在淘宝商场不靠谱的5折优惠日，收到了天翼工厂系统升级完成的通知，于是兴冲冲的上去转了转，令人失望啊。网站没什么变化，原有的小毛病还都存在，短信开发的文档日期是2010年11月，修改履历只写到2011年4月，坑爹嘛，到底更新了什么？把PHP示例代码拿下来，里面的文档更旧，2010年9月份的，都馊了。直接跑示例代码吧，还是2500的错误，难道光棍节跟愚人节改成同一天了？用Google搜到天翼工厂论坛里的一个帖子，翻到有能成功发送短信的例子，下载下来比了一下，眼前一亮，请求参数里多了个ProductID，然后又仔细看了看文档，果然有此参数，之前曾说要把这个参数放在param2，现在结构变了，实验后果然好使，唉，不容易啊。现在能跨平台发送短信的服务似乎只有天翼工厂，这一点非常值得肯定，虽然移动的技术人员曾鄙夷的说天翼能跨平台发短信，号码也是随机的。但不提意见就不是Magic哥的风范了，天翼仍有两点有待改进，一是费用偏贵，要不是当初促销曾花1元钱买了100条短信，现在根本不会去试，应该搞些活动送些短信额度，小投入，大回报，比如Magic哥写的这么中肯，应该赠送200条短信；二是文档和范例代码应该仔细更新，开发者入手就看这两部分，文档里的术语应该有明确的解释，比如什么是IMS，如何设置，怎样使用，我是真没试出来。接下来就看天翼够不够大方和虚心了。

难缠、死磕、kick out，追踪WordPress wpstats病毒

admin — Mon, 10 Oct 2011 23:47:06 +0800

上回书说到中招的博客网站会从www.1433norangegrove.com拿代码来执行，那么到底黑客都做了些什么呢？当Magic哥看完全部代码后，不由得倒吸一口凉气… 中招的网站在被访问时，wp-load.php会首先加载wp-includes/core.php，这个文件有特殊变量，如果没找到这个文件，或者变量不对，wp-load.php会从www.1433norangegrove.com获取安装脚本并进行安装，这个脚本内容绝对算是有料。安装脚本会生成core.php，会通知www.1433norangegrove.com你的博客具体信息，最下贱的是会遍历所有php文件，不但修改wp-load.php，还会修改所有包含“wp-load.php”这个字符串的文件，绝！这也是为什么没一次性的帮外国朋友成功清除病毒的原因，因为有几十个文件都被修改了。看到这，病毒的基础就是在wp-includes下放置core.php，这个core.php是万能的，可以执行任何代码，我已放置了蜜罐，希望可以看到黑客到底做了什么，但至少，wpstats.php和wpstats.js是利用这个后门进来的。那么这两个wpstats是做什么的呢？他们是在被二次攻击时送进来的，同时wp-load.php会被再次修改，在WP footer里以JS格式加载wpstats.php，内容是什么呢？这个有些惭愧了，黑客用ioncube加密了PHP代码，而我找到的破解工具无法正常反编译，但可以看到s1.wpstats.net/load/fw.js会被下载到访客的浏览器，而且PHP还判断了REFERER，太缜密了。由于在追踪JS的过程中，黑客可能判断了Referer，线索断了，惰性又上来了，所以暂时先告一段落，过两天看看蜜罐有蚂蚁没有。那么如何清理WPStats病毒呢？大慈大悲的Magic哥当然准备了Hotfix，有需要的童鞋跟我联系。

神秘的www.1433norangegrove.com，追踪WordPress wpstats病毒

admin — Fri, 07 Oct 2011 00:53:05 +0800

最近有个外国朋友发现自己的一个Wordpress站点被黑了，这让我想起前一阵WP的漏洞，于是提示他升级，但短暂的修复后又再次沦陷。看来碰到了一个比较噁的问题，虽然目前还没有结果，但分析过程还挺有趣，跟大家分享一下，有兴趣的朋友可以持续关注。博客被黑后的现象是网站连接速度变慢，而且页面没有完全加载完就一下子变成白屏，并处于加载js状态，可能是黑客代码的技术问题造成上述现象，如果每个被攻陷的站点都这样，那就是水平的问题了，因为被黑的站主会很快发现这个问题。由于黑客代码无法被加载，所以不知道黑客到底要做什么，从网上简单查了查，只是几个俄罗斯论坛有提到，但没什么有价值的信息。该病毒的隐蔽性很强，比其他简单修改index.php注入iframe的手法可高明多了，首先，病毒会在WP根目录放置两个文件，wpstats.php和wpstats.js，这很让容易让人想到wp-stats插件，但抱歉，如果你的站点有这两个文件，就代表你已经沦陷了。其次，病毒修改了wp-load.php，该php是WP的必经之路，写插件的XD们知道，加载该文件，就能获得整个WP环境。那么被注入的内容是什么呢？是被base64和gzdeflate混合编码过的，嗯，不错，没放源码，但是该黑客竟然用这个方法重复进行了64次编码，要想看源码，得写段程序才行，惨无人道啊！看来其性格是小心谨慎+追求完美型的，Magic哥猜这位黑客的桌面一定井井有条。当你看到源码，会被震撼，病毒竟然在数据库建立了数据表，会千方百计从www.1433norangegrove.com拿代码来执行，而且还有cache机制和回报机制，靠！接下来，从www.1433norangegrove.com下载的代码是什么内容呢？是部分源码夹杂编码后的代码，从中发现病毒还在wp-includes目录下放了一个core.php文件，服了，看来清理的话还得费些步骤。这个core.php是干什么的呢？是执行远程提交内容的！这也太绝户了，这位黑客老兄到底要做什么呢？对于用于交易的WP站点来说，太致命了，把整个数据库备份出去简直就是轻而易举。不过可以利用蜜罐方法知道黑客到底提交了什么代码。太晚了，国庆长假中，等上班后再好好研究研究，愿看过此文的博主不被病毒侵害，阿门。

聚划算之深度分析划算吗？靠谱吗？骗人吗？

admin — Thu, 22 Sep 2011 22:48:40 +0800

淘宝的聚划算是跟随团购之风推出的限时限量抢购活动，到现在也运营一段时间了，近期又多了聚名品，聚家装频道。网上有赞的、有骂的，褒贬不一，那么我们要怎么看待它呢？说明，概括地说，聚划算是一个促销平台，参与者大部分是淘宝商城店家，还是属于C2C的范畴，与普通团购有所不同，发生纠纷后由消费者直接和卖家协商解决。可信度，在淘宝上混，店家很注意买家的评论和评价，再加上支付宝的约束，以及现在推出的保证金制度，可信度还是比较高的，除非你觉得在淘宝买东西根本就是一件不靠谱的事。划算度，聚划算卖的东西不会低于市价太多，这一点必须要清楚，商品的量都在几千件，商家不会吐太多血的，跟秒杀完全不同。但聚划算卖的东西基本都是包邮，对于小件商品，邮费占的比例可不低，所以如果商品早就在你的购物清单上的话，那还是可以考虑出手的。忽悠度，我们常被一些数字迷惑，比如原价xxx，现价xx折，真要出手时千万记得先比价再出手，可以在淘宝里进行小规模搜索，也可以利用吾爱折扣进行全面搜索，想省钱，想不被忽悠，这是必须的。记得有一次要出手买竹炭整理箱，聚划算价格14.50元，打3.0折，用吾爱折扣一查，有不少其他淘宝卖家价格更好，而且当时卓越促销更便宜，差点当了冤大头。总的来说，聚划算上还是能淘到一些便宜的，因为每个工作日8点后更新商品目录，10点开团，所以记得在8点到10点之间去看看有什么心仪的东东，然后提前用吾爱折扣比好价格。如果真的划算，开团后要尽早下单，免得留下遗憾，因为碰到抢手的商品，几分钟订出去几千件也很平常。

完美微博挂件 Magic WeiBo Widget

admin — Mon, 15 Aug 2011 23:26:08 +0800

介绍微博在几次大事件中表现相当抢眼，它和博客应该是取长补短的关系，如同袜子理论所说，博客是脱了袜子请朋友到家里来闻，微博是脱了袜子挂在广场上请所有人闻，再去闻别人的袜子。你可以在广场上告诉别人你住哪，请他来家里做客；但如何告诉来家里的客人你在广场上挂了哪些袜子呢？那就来用Hi Magic!原创的完美微博挂件吧，完美这个词可不是滥用，各位博主看过插件功能介绍就知道这个词绝对贴切了。功能无需进行微博认证，使用插件无需输入你的微博帐号密码，安全！显示内容可全方位定制，能与Wordpress主题高度整合，专业！默认提供显示模板，只要会输入微博用户ID就足够了，方便！博客访客无需注册新浪用户就可以看到你发表的微博，自由！内建缓存机制，博客访客浏览速度几乎不受影响，友好！提供缓存清除链接，关键微博随时刷新，周到！支持PHP代码，没有做不出来的效果，强大！版权插件会在Widget底部显示Hi Magic!链接，为了保护原作者的开发动力，请不要修改此内容，否则将被视为侵权行为！用法确认你的Wordpress版本要大于2.8（我实在是懒得写支持之前的版本了）确认你的Wordpress主机支持访问远程文件，哪怕像GoDaddy只支持CURL也行下载并安装插件后将其激活在Wordpress后台管理的Widget菜单中添加Magic WeiBo Widget，并进行配置技巧微博ID尽量用数字ID，不要用个性域名如果不熟悉HTML语言，就不要修改默认提供的显示模板了截图下载下载最新版本安装将所下载的文件解压缩后上传到 wp-content/plugins/ 目录在Wordpress管理员面板中进入 Plugin 管理页面将该插件激活升版 2011/08/11, 发布 1.00 版本支持如有关于该插件的任何问题、建议请发表在下面的Comment中，我会尽快回复，但无法保证你的问题一定会及时得到答案，请谅解。如果你觉得你很喜欢这个插件，可以帮忙在你的博客里进行宣传，让更多的博主享受这个插件。感谢非常感谢各位使用、宣传该插件的博主，你们的支持是我最大的动力！常见问题暂无

AppEngine众生相, 看清GAE/SAE/ACE/BAE/TAE中浮躁的云即浮云

admin — Mon, 25 Jul 2011 23:03:03 +0800

阿里巴巴终于忍不住也跳进了AppEngine的水池，公开了他的ACE，但他真的知道这水有多深？水有多烫吗？这个还真不好说，至少他的前辈，新浪的SAE，玩了一年多了，还是那么的业余，一副穷困潦倒的样子。既然说浮躁，那就把其他凑热闹的也推出来露个脸，那就是TAE，谁啊？QQ！腾讯嘛，尽管还没公开，但估计不会有惊喜，当然抄袭大王百度也不能自甘堕落，BAE就是他了。在IT界，现在最热的莫过于云技术了，跟同行聊天时，不提及Iaas, Saas, Pass，你都不好意思跟别人打招呼。稍加留意IT资讯的话，就会发现云基地、云中心的建设此起彼伏，不仅仅是中国，其他的国家也在烧钱。在这样的大背景下，中国这几个有钱的IT烧包绝不能落伍，为了体现自己技术超群，他们都投入了AppEngnie的怀抱。说了半天，什么是AppEngine，简单的说它是一个带有鲜明的云特色的程序运行环境，程序运行时所在的机器是临时调度的，程序和数据是分布式存储的。对于开发者，需要按照具体AppEngine的接口说明编写、修改程序，然后将程序托管到AppEngine里。当然，为了减少开发者的抵触心理，AppEngine会尽量复用已有的编程接口，而将一些特殊的操作进行封装，比如本地文件写操作、Socket操作等。 Google在这方面算是鼻祖了，相继提供了Python, Java, Go语言的支持，最吸引人的就是慷慨的免费资源，很大方，如果你的程序需要用付费资源才能跑的动的话，那应该算得上是一个大块头了。对GAE最不满意的就是到现在还不支持Php，很多Php迷们都在翘首期盼，毕竟Php在Web开发领域还是占有相当份额的。当然还有其他有待改进的功能，比如邮件服务只可以用管理员的邮箱发出，代发都不行。再看看国内的几个XAE，都是从Php入手的，这个方向应该是正确的，门槛低，受众广，应该会引来不少好奇者。但有了好的开始，还要有过硬的技术，并不是说你用了分布式存储就叫云了，如果服务不稳定，功能不健全，那就叫晕了，甭管你吹嘘着跟自己的微博、跟自己的旺旺怎么结合的天衣无缝。举个最简单的应用，SAE的文档介绍发Mail似乎极其简单，几句话就行，但怎么连个Gmail的mail都发不了呢？！不要说用Sina邮箱没问题，抱歉，我们玩IT的不用，最后的结果就是，陪SAE玩，我们伤不起。SAE晃荡了将近2年了，至今用户数也没多少，我想问题不是出在营销上，而是心态上，炒作对于成功来说固然是捷径，但还是需要踏踏实实的做技术才能赢得信赖的。最近也发现Sina改进了些东西，比如注册微博时，mail可以包括字符“点”了，真不知道这对于他们来说是一小步还是一大步，怎么不早点请我做专家点评呢，哈哈！不管怎么说，希望这些XAE们能脚踏实地的为中国IT做些贡献，而不是像某度搜索低着脑袋瞎着眼睛跟别人走，仙气、屁味来者不拒的接着，要不是有GFW，早就关门大吉了。

围观改变世界团购丰富生活

admin — Mon, 27 Jun 2011 22:54:53 +0800

别告诉我你没参加过团购，如果真是这样赶紧补习，免得跟周围人有代沟。自打帮朋友弄了个团聚频道，开始每天有些强迫症的查看团购活动，除了免费抽奖一个都不能跑，实惠的团购也一个不能落下。算下来大大小小的团购还真没少参加，饮食居多，最明显的改变就是周末几乎都要尝试些新的饭馆，虽然不是每个都尽如人意，但大部分还算过得去。细想想，眼下各大团购网站还在烧钱中，正是我们网民得实惠的阶段。全国各地的团购网站要数以千计，但版面都几乎一个模子刻出来的，运作模式和网站操作也是大同小异，这么玩怎么可能长久，管他呢，先趁着有实惠把之前懒得尝试的美食吃个遍，哈哈。

Backends, Google App Engine 1.5.0的主要更新

admin — Tue, 24 May 2011 23:11:23 +0800

最近Google升版了GAE，算是一个大的版本变化。由于开发的应用很少用到DB，所以不关注相应的变化。从这一版开始支持Go了，因为对此一无所知，所以也无视，拜托，何时能支持PHP啊？！值得关注的是Services分类多了一个Backends服务，但文档里没有找到相应的API说明，在线手册也没有这个章节，更别说中文版了。总体感觉像是一个可以趴在后台的服务，具体还分常驻Backend和动态Backend，悲催的是这个服务没有免费的，当看到概述章节的计费说明时，兴趣全无了。 Schedule配置总算出现from&to的设定了，不知道从哪一版开始有的，反正很有用，不然我的十几个相同周期的任务总是同时被触发。 Mail服务还是老样子，sender & reply to都得是app的管理员，何必呢，把reply to放开了吧，不然我的MagicMailer受限太大了。