起因

2014 年 5 月 15 日，我在网上热心回答了几个网友的问题，帮助一名北京的网友解决了浏览器跨网站访问权限问题。

下午 6:35 左右我打开百度分析和Clarity（这是我刚集成的分析工具，主要目的是更准确地从不同维度分析网站访问的情况）。我惊奇地发现，我的网站知识管家 (byeap.com)今天有了很多人访问。之前差不多一个月，每天只有零星的几个人访问，最多时也没有超过 10 个 UV。看来帮助别人真有善报！

于是，我加班加点给网站增加新功能。希望我的产品可以给更多人带来益处。然而正在我埋头写代码，准备发布新功能之际，发现服务器连接失败，然后我急忙检查网站服务。结果，网站打不开。我第一感觉，是不是今天访问量大，服务器出现什么问题。这时，我看到手机里有一条短信，打开一看，傻眼了：

我的服务器怎么有对外攻击行为呢？整体系统所有代码都是我一点点写出来的。我的第一想法：莫不是华为云觉得这个服务器被我白嫖现在想收回资源吧？

我尝试了一些解决方案，结果无济于事。只能提工单寻找官方解决。此时，我心里是气愤的。网站好不容易有点起色，怎么就被黑了呢。

来回折腾了一个多小时，客服给出了以下回复：

原因

服务器重启，发现恶意连接：

异常计划任务：

服务器发现异常登录：

发现 ip 124.238.240.55 进行暴力破解：

服务器因密码弱口令被入侵，为了安全起见，防止黑客留下其他后门软件，建议被您备份下数据，择机重装系统，重装完留言这边给您申请下解冻，后期加固使用。

提升密码安全性的方法：

a. 不使用空口令或系统缺省的口令，因为这些口令很容易被攻击者进入甚至不需要任何 成本，为典型的弱口令。

b. 设置高长度 &高复杂度字符口令。

c. 口令不要设置连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合 （123123）。

d. 口令使用复杂组合，如大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类 字符至少包含一个。

e. 口令中尽量不要包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名 、E-mail 地址等等与本人有关的信息，以及字典中的单词。

f. 口令不应该为用数字或符号代替某些字母的单词，例如，passwd。

g. 定期更换口令。

h. 口令中不建议出现 huawei 字样或者带有键盘特征（例如：123qwe!@#，，passwd) 的密码。

总结

我非常清楚，安全很重要，安全无小事。我还有一长串的安全事项需要完成。今天已经太晚了，我只能放弃在几小时解决这次的问题。也许需要一生时间去思考这个问题。

回想当初创建这个网站时，多少报着些玩玩的心态。一些明明知道的事，一些明明知道的理，为什么做自己的事业时就不去遵守呢？

现在有些后悔，更多是反思。认真对待生命中每个人和事！