a) 从FAMP到LuManager,我已经整整写了7年,从LUM2.0版本开始收费,也才1年时间,也就是免费为别人服务了近6年。LuNamp是以GPL协议开源的产品,HttpOS也是免费的,LuManager也有免费版本,我们的用户中的绝大多数人都是用了LuManager的免费版本。其中一个用户购买了2套,结果一套也没用(他说用不到商业版的功能,纯支持我们,说明免费版本基本够用),如果不信,可以加我们的官方群,问问有多少用户,购买了LUM商业版却不用的。
b) 这些网站很容易受到攻击,结果硬攻不下,有人就想买通我,让本人帮忙...说攻击一次,给我一万元!我无法做到(我们不会做植入后门这样的卑劣的事),也不会答应。还有一次是一个家伙冒充国家的人来调查我,说他背景很深,让我必须破坏这些网站,我们也没答应,因为我认为LUM就像木棒,人家拿去打人与我们是无关的,我还在官方群里说了这事。如果你们不信,也可以联系我,我切QQ图给你们看。或者远程给你们看都可以...
c) 本人讨厌所谓的黑客。拿putty后门事件来说吧!2012年年初,带有后门的putty侵噬用户电脑,只要使用此软件登陆了服务器后,用户的服务器就成了肉鸡。阿里云工作人员一开始总说是LuManager的安全漏洞,我初步判断是centos5.4里的sendmail有漏洞,结果我们合作与沟通,检查了近十天,大年三十都在工作(这个可以在本人的WB中有记录)。结果在一用户的提醒下,得知是putty的问题(在此之前有人写过日志,但没有引起太大轰动),本人向所有论坛用户发布了通知,结果某个用户收到信息后,整理成文章,发布到了cnbeta等大网站,才全面轰动。因为这事,我们的网站连续两次受到攻击导致无法打开,我本人也受到360员工(应该是假货)公司的威协,说360都查不出来,你乱说个啥......过了几个月,跟我一起合作过的阿里云技术人员(网名:流星)告诉我,做后门的那家伙进铁笼子了...可喜可贺!
8. 关于LuManager的安全漏洞:
a) LuManager至今为止还没有被外界发现具有破坏性的安全漏洞(我们开发过程中当然有发现),某X所发现的bug,我们早早就列入了bug清单,但由于我们正在全力开发新版本,不敢大动旧的稳定版本(解决旧bug的同时,有可能会产生新的bug,影响稳定性和安全性,所以只要不是安全问题,我们一般会放一放,争取在新版本中统一修正)。
b) 作者根据我们的一个bug,说出了很吓人的话:“从以上BUG中可以看出,该软件的安全是如此的不可靠!如果被人利用,按照此思路,模拟提交关机、重启、或者模拟注册,在模拟表单中把一般用户组ID改成管理员组ID,注册了就成为管理员,那后果真是不堪设想!当然以上的设想我没有验证过,不知道存在与否,该软件的用户有兴趣自行研究。”
1) 他自己没试过,凭什么这么武断地恐吓大家?他的回答是:“用户是有脑子的,会自行判断”,那我可以这样认为吗:他盗取了我们的软件,他就是个强盗,他就会在公交上盗手机,所以请大家远离他?----因为用户是有脑子的呀!
2) 我们的官方已经发布了公告,如果谁发现了LUM的“安全漏洞”,请联系我们,我们会根据漏洞的大小进行评估奖励——这不是施舍,是奖励,帮开发商查找软件漏洞,是很值得尊重的行为,与盗版行为是完全不一样的!
发表于 2013-1-18 16:46:30
