我贪财,看到搬瓦工价格不错,于是就把手里的给卖了。现在没有到大陆优化的机器了,只能来折腾阿里 CDT。另外,我习惯用 Debian,不想用 Alpine,所以和一些常见的文档相比稍有点不同。不是什么干货,就是备忘一下。这样折腾不是我缺那几块钱,只是一种折腾的成就感,不喜勿喷。

  1. 下载 https://deb.debian.org/debian/dists/trixie/main/installer-amd64/current/images/netboot/ 下的 mini.iso。
  2. 阿里开通 OSS,然后上传 iso,再制作自定义镜像。区域需要与服务器区域(香港)保持一致。硬盘大小选 1G。
  3. 购买阿里 ECS,需要账户至少 100 余额。抢占式,香港,可用区用 B,2C 0.5G,经济型。时长不确定,节省停机,自定义镜像,系统盘 ESSD 云盘,大小 1G。不要备份,不分配 IP,登录凭证创建后设置。上面设置一个都不能错。如果正确,显示的价格就是 0.005528/时左右,然后下单。
  4. 开机成功后,到弹性 IP 处,购买弹性 IP,然后带宽拉到 5G(如能),需要选择按流量付费,然后马上绑定到步骤 3 购买的实例。空闲久了就会开始计空闲费,可贵了。
  5. 进入实例详情,然后通过 VNC 登录后即进入安装过程。最好用高级安装模式。安装注意分区时,选手动分区,分区类型 btrfs,挂载参数 压缩。在安装 grub 前,进入 shell,运行 dd if=/dev/zero of=/dev/vda seek=1 count=2047,否则 grub 安装会出错。我在此处吃药甚久。
  6. 安装如果出错,或者想重置os,请务必删除重建,不能重装系统,重装的价格和新建完全不一样。
  7. 安装好了再找个保活脚本就可以了,网上有不少,我就不说了。当然,也可以自己在这基础上 vibe coding 一个更适合自己的:

image.webp

image.webp

开源软件在安全上有一个很不好的地方,如果出现了漏洞,可以根据提交的补丁逆向找到漏洞实现细节,从而实现 0day 攻击。

哪吒探针在 2026/5/25 做了一次提交,提交号:e816e94fca16,注释是:feat: server transfer rotation,中文就是“服务器转移轮换”。初看上去,这是一次很普通的提交,其实,就是我前面说的——他们总不成说“我是修改了一个路径穿越漏洞”吧?他们只能是将这个补丁偷偷埋藏在一堆别的修改之中。然而,对有心人来说(其实 AI 直接就能看出来,难度和代价并不高),在 controller.go 中,引入了两处修改:

image.webp

漏洞已经很清楚,0day 指日可待。

后面的事情大家就都很清楚了,血雨腥风,我就不再揭伤疤了。

哪吒探针因为路径遍历漏洞已经闹得沸沸扬扬了,漏洞的核心是jwt密钥被人通过http://xxx/dashboard../data/config.yaml方式获得。 jwt本身不是安全问题,不过仅说这次事件,其实不用jwt起码同样漏洞情况下攻击门槛高得多。

我一直极端鄙视jwt,我认为它就是一个典型的java传来的又臭又长的过度设计。以前我已经发过博文说过这事了,今天我就不再说了,借gpt口来表达吧。

image.webp

这几天在盛传,Oracle 的 ARM 实例月限额降到了 1500 CPU 小时。如果按照以前的 4C24G 的话,那就是只能用 15 天,第 16 天开始超标计费了。

快了,就这几个小时了。

不过我不信 Oracle 这种公司会做出没有任何事先通知,就突然变更使用协议并收费这种事。要改这些东西,我不信它能通过公司合规部门和法律部门的审核,因为动静太大了。

虽然 Oracle 前段时间也偷偷地把带宽降了,不过这不牵涉到扣费,而且只针对免费用户,这性质完全不一样。

走着瞧了,我就不降配。

目前还好,仍然是 0。

GPT 团队上周末起出了点 bug(其实不单纯是 bug,更主要是后付费然后恶意欠费的问题),然后一大群人就开始疯狂了。你自己偷偷用也就算了,一个个的都跑出来搭建什么公益站,然后满世界叫人拼命蹬,完全的损人不利己。看到“蹬”字我就只想说:蹬你妈的逼呀。

还有个更知名的蝗虫站就更不用说了,不过那边有暗水印,而且他们的基调就是以滥用为荣,不敢发图了。

我为什么火气这么大?因为 GPT 这几天已经弄得像豆包一样开始滴口水了,完全没法用了。我昨天改个小脚本都改了几个小时,最后不得不从备份恢复——彻底改坏了。其实平时就是一把梭的事。

image.webp