日誌

我認為，堅持「絕對程序正義」的人是傻瓜！今天水果日報的蘋論就給我有這樣的感覺：誰要和雙面人談判，那他一定是瘋了！
==>不過我忽然想起瑪波阿姨的話：你知道他在什麼地方會撒謊的話，要分辯出來是很容易的。真的嗎？

矯枉必須過正！所以由雙面人來做醬缸文化傳承的領導人原是扭轉的必經過程（也不一定一定是雙面人，而是任何離經叛道的方式）；正好像潘主播所挑的男人原都是乖乖男，必須遇上一個壞坯才能入道是一樣的道理。

==>當然是在告訴你：世界上的事不都是那麼理所當然的！
==>理所當然的事情，是政府組織希望給你的印象；不過那並不符合自然的道理！

很有趣啊…當年用注音怎樣也打不出來的「峇」原來唸「ㄎㄜ」啊…那為何現代人都唸「巴」里島呢？原文Bali（感謝當年的EZ Talk雜誌）是這樣唸的就是了。

陳勝鴻和韓柏有沒有一樣？不一樣，韓柏至少不碰已婚婦女吧，嘻，原則。

今天終於有人發出的SQL Injection攻擊中有cmd_shell了，同時引發了HTTP_Get_XP_Cmdshell以及URL_Data_xp_cmdshell（我定義的User-Defined事件），經比對，數目完全一樣（不過detail的東西記的不一樣…）。該是block起來了吧，我想。不然今天另外一邊應該已經有信了…

昨天那另外一邊的SQL Injection警報叫我查一下Guard Pro的設定…可是那是select耶；可能是誤判率最高的（因為最rough啊）signature；要用簡單的設定就搞定，太難了。
不過我想還是有辦法：
一、觀察事件列表，用filter弄掉「原本網站就這麼寫的」；[Case Study]上次行政院人事行政局的網站就是這麼寫的，用此法可以大幅減少select事件量。不過今天看一個
61.219.36.120
這個IP，想用IE看，它給我一個access denied，似乎這是Hinet的proxy，也不知道為什麼內部主機在這種情況下可以access到（注意，這是URL_Data_sql_select_from事件，指明這是經過80 Port的網頁接觸）。接下來我可以做的事情是：
●查問source ip的擁有人（可是可能會遇上非技術人員，溝通上會很麻煩）
●查問target ip(Hinet)的負責人（不過他可能不會鳥我）
●利用我的網路設備，查log看看能否看出這是什麼事
==>我的目的只在確認這是合法的行為，以制定合適的filter
==>目前這個target約佔 1/5，算是應該要重點處理的

○還是我直接搞成「向外的就不管」的filter？這樣我可能要弄上一大堆的內部IP了…而且這樣的系統loading應該會大幅提高吧…