2017年12月18日 星期一
馬哥教育新聞快報(bào)

導(dǎo)讀：OpenStack基金會發(fā)布新容器項(xiàng)目+MongoDB 數(shù)據(jù)庫泄漏3100萬用戶信息

每日一句

輟學(xué)如磨刀之石，不見其損，日有所虧。

早報(bào)內(nèi)容

0.影響全球的Mirai僵尸網(wǎng)絡(luò)三名共謀者認(rèn)罪
新澤西州的一名男子只是三人中的一員，他們通過竊取指控和創(chuàng)造了毀滅性的Mirai僵尸網(wǎng)絡(luò)，通過連接互聯(lián)網(wǎng)的設(shè)備的漏洞傳播，以釋放大量的分布式拒絕服務(wù)攻擊。就在上個(gè)星期，新的Mirai繼續(xù)在網(wǎng)上擴(kuò)散。
除了新澤西州Paras Jha外，美國司法部的新聞稿還指出，賓夕法尼亞州華盛頓市的20歲的Josiah White和21歲的路易斯安那州Metairie市的Dalton Norman是共謀者。
最嚴(yán)重的DDoS攻擊或完全摧毀了Twitter，GitHub，PlayStation網(wǎng)絡(luò)以及數(shù)百個(gè)其他網(wǎng)站，目標(biāo)是向受影響站點(diǎn)提供域名的服務(wù)。
Jha根據(jù)星期二開封的法庭文件承認(rèn)創(chuàng)造Mirai。羅格斯大學(xué)（Rutgers University）計(jì)算機(jī)科學(xué)專業(yè)學(xué)生最初被公認(rèn)為獨(dú)立計(jì)算機(jī)安全記者布萊恩·克雷布斯（Brian Krebs）于2017年1月公開認(rèn)定為可能的嫌疑人。

1.OpenStack基金會發(fā)布新容器項(xiàng)目
penStack基金會發(fā)布了一個(gè)新的容器項(xiàng)目，叫作Kata容器，以英特爾的Clear容器和Hyper的runV項(xiàng)目為基礎(chǔ)。Kata容器兼容Open Container Initiative（OCI）和Kubernetes的Container Runtime Interface（CRI），旨在提供虛擬機(jī)和容器的雙重優(yōu)勢。
該項(xiàng)目以英特爾的Clear容器和Hyper的runV項(xiàng)目為基礎(chǔ)。Clear容器使用了英特爾的VT技術(shù)來啟動(dòng)輕量級虛擬機(jī)，最開始用于解決內(nèi)核安全問題。Clear容器運(yùn)行時(shí)在輕量級虛擬機(jī)上以自己的內(nèi)核實(shí)例來啟動(dòng)容器，從而解決了共享內(nèi)核的問題。Hyper的runV是OCI運(yùn)行時(shí)的一個(gè)實(shí)現(xiàn)，OCI是一個(gè)用于定義容器和運(yùn)行時(shí)的標(biāo)準(zhǔn)規(guī)范。Hyper的runV被視為“容器管理程序”，支持Xen和KVM。以上兩個(gè)項(xiàng)目都被包含在Kata中，runV用來啟動(dòng)容器。

2.MongoDB 數(shù)據(jù)庫泄漏 3100 萬用戶信息
一位 IT 從業(yè)者， Kromtech 近日發(fā)現(xiàn)一個(gè)允許任何人存取的 MongoDB 數(shù)據(jù)庫，內(nèi)含 577GB 的資源，涉及 3100 萬名 ai.type 的 Android 用戶資料，其中包括用戶姓名、電話號碼、手機(jī)型號、通訊聯(lián)絡(luò)人等等。
ai.type 是為手機(jī)和平板電腦設(shè)計(jì)的個(gè)性化虛擬鍵盤，同時(shí)支持 Android 與 iOS 平臺，下載次數(shù)超過 4000 萬，但此次外泄的只有 Android 用戶資料。
Kromtech 發(fā)現(xiàn)，這個(gè)數(shù)據(jù)庫不僅存放了 3100 多萬名 ai.type 用戶的資料，如姓名、電話號碼、手機(jī)型號、照片、IP 等。還收集了 Google 搜索關(guān)鍵字、通訊記錄、用戶年齡等的私密信息。面對此次數(shù)據(jù)泄漏，ai.type 并未公開作出回應(yīng)，只是默默地在數(shù)據(jù)庫加上了密碼。

3.南方周末聲稱被惡意植入挖礦腳本
南方周末發(fā)表聲明稱其網(wǎng)站被惡意植入挖礦腳本，腳本已經(jīng)移除，但打開它的網(wǎng)頁 CPU 仍然會立即出現(xiàn) 100% 占用的情況。官方聲明稱，“近日，南方周末網(wǎng)站（infzm.com）發(fā)現(xiàn) OpenX 廣告業(yè)務(wù)模塊被惡意植入挖礦腳本，立刻進(jìn)行修復(fù)，于 12 月 15 日 11 時(shí) 10 分恢復(fù)正常。這次事件給用戶訪問造成影響，特致歉意。在專業(yè)部門支持下，現(xiàn)已查清漏洞，刪除植入，用戶可放心瀏覽使用網(wǎng)站。目前，南周報(bào)社已經(jīng)將此事上報(bào)主管部門，依法保護(hù)自身權(quán)益?！背酥?，沒有提供任何細(xì)節(jié)。

4.前員工曝光Uber惡劣行徑：監(jiān)聽對手、行賄及竊取數(shù)據(jù)
北京時(shí)間12月17日報(bào)道，作為谷歌母公司Alphabet指控Uber竊取商業(yè)機(jī)密案的一部分，一封揭發(fā)Uber實(shí)施可疑、欺詐性商業(yè)行為的信件在周五公布于眾。這封信由Uber前安全員工理查德·雅各布(Richard Jacobs)的代理律師書寫，指控Uber監(jiān)聽對手，向政府官員行賄，使用加密消息軟件隱藏其行徑。

今日知識點(diǎn)

用Python匹配HTML tag的時(shí)候，<.*>和<.*?>有什么區(qū)別

答案：
當(dāng)重復(fù)匹配一個(gè)正則表達(dá)式時(shí)候， 例如<.*>, 當(dāng)程序執(zhí)行匹配的時(shí)候，會返回最大的匹配值
例如：
import re
s = ‘’
print(re.match(‘<.*>’, s).group())
會返回一個(gè)匹配而不是
而
import re
s = ‘’
print(re.match(‘<.*?>’, s).group())
則會返回
<.*>這種匹配稱作貪婪匹配 <.*?>稱作非貪婪匹配