Log for Ubuntu 台灣社群
Xubuntu.org 可能遭入侵 (★ 111 分)
原始貼文內容無法直接讀取,可能受到 Reddit 網站的網路政策或身分驗證限制。不過根據 Hacker News 上的使用者回報與技術分析,Xubuntu 官方網站 (xubuntu.org) 的下載頁面近期疑似遭到入侵。使用者指出,透過該網站的 torrent 連結所下載到的壓縮檔中,包含可疑的執行檔 (`.exe`) 與一份標示「Copyright (c) 2026 Xubuntu.org」的 `tos.txt` 文件,由於目前仍是 2025 年,該年份異常令人懷疑。檔案內容無法對應到真實的 `iso` 檔案結構,顯示該檔案可能是經過惡意修改的假冒安裝映像。官方已暫時停用下載區,並稱是「伺服環境升級時出現小失誤」,但此說法被部分用戶質疑過於淡化問題,懷疑背後存在更嚴重的安全漏洞。
在後續技術討論中,許多使用者開始檢查官方映像的校驗碼 (checksum) 與 GPG 簽章。部分人指出,從美國 Leaseweb 伺服器鏡像站點下載的 Xubuntu 24.04.3 版本 ISO 檔案,其 SHA256 校驗碼仍可正確驗證,顯示主要發行映像仍未受影響;但若攻擊者已控制網站內容,竄改校驗碼文字檔本身,則即使驗證成功也無法保證安全。多名資深 Linux 使用者因此再次強調,驗證下載檔案時應同時核對加密簽章 (cryptographic signatures) 與發行方公開金鑰,並建議交叉比對多個鏡像站與獨立來源的金鑰,以確保檔案完整性,而非僅依賴網站顯示的哈希值。
討論串中另有人提及類似的過去事件,例如 XZ 函式庫後門案,由開源貢獻者 Jia Tan 長期滲透至系統安全元件中,直到被開發者意外發現微小效能異常才曝光。這起事件讓許多開發者反思,若國家級威脅行為者(state‑level actor)有計畫地滲透開源專案,即使是主流散佈檔案與安全簽章機制也難以完全防範。此外,也有人指出目前的惡意檔案若僅在安裝 Windows 時操作,對清空系統的使用者影響有限,但這不應降低防範態度。部分人倡導轉向更高安全架構的作業系統,例如 Qubes OS,其以多虛擬環境隔離不同操作的設計,可降低單一入侵的風險,不過仍需自行驗證官方映像,以避免被替換的風險。
整體而言,這次疑似被入侵事件再次突顯開源社群對信任鏈的依賴問題。雖然 Xubuntu 團隊表示事件受到控制,但社群普遍認為應加強網站主機安全、驗證程序與鏡像管理流程,避免重蹈類似的供應鏈攻擊。多數討論也延伸至更廣泛的開源生態防護議題,反思「信任但需驗證」的重要性。
👥 31 則討論、評論 💬
https://news.ycombinator.com/item?id=45634367
原始貼文內容無法直接讀取,可能受到 Reddit 網站的網路政策或身分驗證限制。不過根據 Hacker News 上的使用者回報與技術分析,Xubuntu 官方網站 (xubuntu.org) 的下載頁面近期疑似遭到入侵。使用者指出,透過該網站的 torrent 連結所下載到的壓縮檔中,包含可疑的執行檔 (`.exe`) 與一份標示「Copyright (c) 2026 Xubuntu.org」的 `tos.txt` 文件,由於目前仍是 2025 年,該年份異常令人懷疑。檔案內容無法對應到真實的 `iso` 檔案結構,顯示該檔案可能是經過惡意修改的假冒安裝映像。官方已暫時停用下載區,並稱是「伺服環境升級時出現小失誤」,但此說法被部分用戶質疑過於淡化問題,懷疑背後存在更嚴重的安全漏洞。
在後續技術討論中,許多使用者開始檢查官方映像的校驗碼 (checksum) 與 GPG 簽章。部分人指出,從美國 Leaseweb 伺服器鏡像站點下載的 Xubuntu 24.04.3 版本 ISO 檔案,其 SHA256 校驗碼仍可正確驗證,顯示主要發行映像仍未受影響;但若攻擊者已控制網站內容,竄改校驗碼文字檔本身,則即使驗證成功也無法保證安全。多名資深 Linux 使用者因此再次強調,驗證下載檔案時應同時核對加密簽章 (cryptographic signatures) 與發行方公開金鑰,並建議交叉比對多個鏡像站與獨立來源的金鑰,以確保檔案完整性,而非僅依賴網站顯示的哈希值。
討論串中另有人提及類似的過去事件,例如 XZ 函式庫後門案,由開源貢獻者 Jia Tan 長期滲透至系統安全元件中,直到被開發者意外發現微小效能異常才曝光。這起事件讓許多開發者反思,若國家級威脅行為者(state‑level actor)有計畫地滲透開源專案,即使是主流散佈檔案與安全簽章機制也難以完全防範。此外,也有人指出目前的惡意檔案若僅在安裝 Windows 時操作,對清空系統的使用者影響有限,但這不應降低防範態度。部分人倡導轉向更高安全架構的作業系統,例如 Qubes OS,其以多虛擬環境隔離不同操作的設計,可降低單一入侵的風險,不過仍需自行驗證官方映像,以避免被替換的風險。
整體而言,這次疑似被入侵事件再次突顯開源社群對信任鏈的依賴問題。雖然 Xubuntu 團隊表示事件受到控制,但社群普遍認為應加強網站主機安全、驗證程序與鏡像管理流程,避免重蹈類似的供應鏈攻擊。多數討論也延伸至更廣泛的開源生態防護議題,反思「信任但需驗證」的重要性。
👥 31 則討論、評論 💬
https://news.ycombinator.com/item?id=45634367
Proton 算是半個虛擬機器吧,這樣破解器應該可以正常運行,畢竟以前 wine 都幫我執行病毒了
我還是想說,希望經濟情況比較沒有負擔以後,支持正版,以前我聽盜版 MP3,現在就算想買 CD / DVD / DRM-free 都沒有,只剩下不知道歌曲會不會備下架的串流平台
我還是想說,希望經濟情況比較沒有負擔以後,支持正版,以前我聽盜版 MP3,現在就算想買 CD / DVD / DRM-free 都沒有,只剩下不知道歌曲會不會備下架的串流平台
我不常使用 Snap,好奇問個,如果我把資料做 hard link 到其他地方,是否就不會有問題?
例如我用 Snap 安裝 Redis 並設定持久化儲存,然後把資料的位置 hard link 到其他地方(例如
例如我用 Snap 安裝 Redis 並設定持久化儲存,然後把資料的位置 hard link 到其他地方(例如
~ 下)這樣是否即便 snap remove 也不會讓資料就這樣掰了?hard link 是透過檔案系統中的 inode 來指到 data block,建立 link 以後,會新增一個新的 inode 並指向原有的 data block
從應用程式上來看,會是多一個檔案,但是更動到其中一個檔案,另一個檔案的內容也會跟著改變 (共用 data block),但是刪除檔案時,另一個檔案還在 (因為是不同的 inode)
從應用程式上來看,會是多一個檔案,但是更動到其中一個檔案,另一個檔案的內容也會跟著改變 (共用 data block),但是刪除檔案時,另一個檔案還在 (因為是不同的 inode)
對,我就是想說這樣是否即便 Snap 移除了他資料夾底下的檔案,自己做的 hard link 也還能「hold 住」資料
純粹想到想說看有沒有人有經驗,單純技術討論而已XD目前未知,哪天有空再來實驗看看
純粹想到想說看有沒有人有經驗,單純技術討論而已XD目前未知,哪天有空再來實驗看看
重大 AWS 雲端服務當機事故發生 (★ 240 分)
這篇討論的主題是美國東岸區域 `us-east-1` 發生的重大 AWS 雲端服務異常,導致包括 DynamoDB、S3、CloudFront 等核心服務大量中斷。此事故牽連廣泛,被形容為「爆炸半徑極大」的事件,不僅使多家大型科技公司與一般使用者受影響,也凸顯了 AWS 基礎架構過度集中於單一区域的風險。原始貼文引用了 Reddit 討論 DynamoDB 無法運作的報告,指這次停擺的規模非比尋常,各種依賴該區域的服務紛紛受到波及。
多位開發者與架構師在留言中指出,這次問題初步確認源自 DynamoDB,並因內部依存關係而造成連鎖效應。其中有論者提到 Coinbase、Vercel、Slack、Asana、Heroku Scheduler、Jira、Confluence、npm、pnpm 等使用 AWS 的主要平台服務都出現中斷或延遲。AI 平台如 Perplexity 也被回報無回應,顯示受影響層面橫跨金融、開發、協作與人工智慧等多個領域。更有留言戲稱:「當 us-east-1 掛掉時,網路世界也跟著停擺。」反映這個區域在全球雲端運作中的過度關鍵地位。
在對事件的技術分析中,許多開發人員指出 AWS 的架構形成一張極度複雜的相依圖,各服務在內部都隱含著對 us-east-1 的依賴,儘管資料或計算負載分散於不同區域,但仍難完全脫離此主區域。部分工程師建議企業應避免將主要服務部署於 us-east-1,改採 us-east-2 (俄亥俄州) 或其他區域,甚至應考慮多區域 (multi-region) 或多雲端 (multi-cloud) 策略,以降低風險。然而,另有資深使用者指出,有些 AWS 中央服務例如 Route53、CloudFront、Organizations 等仍集中在 us-east-1,使完全脫離幾乎不可能。
這場災情也引發業界自嘲與反思。有網友諷刺,許多在面試時強調「分散式系統 (distributed systems)」能力的公司,此刻自家網站卻因分散不足而癱瘓。有人進一步批評,大型科技公司在打造穩定架構以外,反而過度著重於形式化與表演性的技術文化。另一些留言提出,這樣的事件再度提醒世人,過度依賴網際網路與單一雲端供應商的後果極為嚴重。整體言論氛圍集中在對 AWS 架構集中化、防災設計不足與行業依存過度的質疑,亦透露出對全球雲端穩定性長期隱憂的關切。
👥 28 則討論、評論 💬
https://news.ycombinator.com/item?id=45640772
這篇討論的主題是美國東岸區域 `us-east-1` 發生的重大 AWS 雲端服務異常,導致包括 DynamoDB、S3、CloudFront 等核心服務大量中斷。此事故牽連廣泛,被形容為「爆炸半徑極大」的事件,不僅使多家大型科技公司與一般使用者受影響,也凸顯了 AWS 基礎架構過度集中於單一区域的風險。原始貼文引用了 Reddit 討論 DynamoDB 無法運作的報告,指這次停擺的規模非比尋常,各種依賴該區域的服務紛紛受到波及。
多位開發者與架構師在留言中指出,這次問題初步確認源自 DynamoDB,並因內部依存關係而造成連鎖效應。其中有論者提到 Coinbase、Vercel、Slack、Asana、Heroku Scheduler、Jira、Confluence、npm、pnpm 等使用 AWS 的主要平台服務都出現中斷或延遲。AI 平台如 Perplexity 也被回報無回應,顯示受影響層面橫跨金融、開發、協作與人工智慧等多個領域。更有留言戲稱:「當 us-east-1 掛掉時,網路世界也跟著停擺。」反映這個區域在全球雲端運作中的過度關鍵地位。
在對事件的技術分析中,許多開發人員指出 AWS 的架構形成一張極度複雜的相依圖,各服務在內部都隱含著對 us-east-1 的依賴,儘管資料或計算負載分散於不同區域,但仍難完全脫離此主區域。部分工程師建議企業應避免將主要服務部署於 us-east-1,改採 us-east-2 (俄亥俄州) 或其他區域,甚至應考慮多區域 (multi-region) 或多雲端 (multi-cloud) 策略,以降低風險。然而,另有資深使用者指出,有些 AWS 中央服務例如 Route53、CloudFront、Organizations 等仍集中在 us-east-1,使完全脫離幾乎不可能。
這場災情也引發業界自嘲與反思。有網友諷刺,許多在面試時強調「分散式系統 (distributed systems)」能力的公司,此刻自家網站卻因分散不足而癱瘓。有人進一步批評,大型科技公司在打造穩定架構以外,反而過度著重於形式化與表演性的技術文化。另一些留言提出,這樣的事件再度提醒世人,過度依賴網際網路與單一雲端供應商的後果極為嚴重。整體言論氛圍集中在對 AWS 架構集中化、防災設計不足與行業依存過度的質疑,亦透露出對全球雲端穩定性長期隱憂的關切。
👥 28 則討論、評論 💬
https://news.ycombinator.com/item?id=45640772
Xubuntu 官網被植入竊取加密貨幣的惡意程式
使用 Xfce 桌面環境的 Ubuntu Linux 衍生發行版 Xubuntu 官網遭駭客入侵,駭客在下載頁面提供了一個 zip 壓縮檔,裡面包含一個可疑的 exe 檔案與一個 tos.txt 檔案。該檔案的版權宣告為 Copyright (c) 2026 Xubuntu.org。駭客植入的惡意程式用來竊取加密貨幣,其手法是掃描剪貼簿上的加密貨幣地址,並將其替換成駭客控制的錢包地址。被掃描的加密貨幣包含 Bitcoin(比特幣)、Litecoin(萊特幣)、Ethereum(以太幣)與 Dogecoin(狗狗幣)等。
https://news.ycombinator.com/item?id=45634367
https://xubuntu.org
https://news.ycombinator.com/item?id=45634367
使用 Xfce 桌面環境的 Ubuntu Linux 衍生發行版 Xubuntu 官網遭駭客入侵,駭客在下載頁面提供了一個 zip 壓縮檔,裡面包含一個可疑的 exe 檔案與一個 tos.txt 檔案。該檔案的版權宣告為 Copyright (c) 2026 Xubuntu.org。駭客植入的惡意程式用來竊取加密貨幣,其手法是掃描剪貼簿上的加密貨幣地址,並將其替換成駭客控制的錢包地址。被掃描的加密貨幣包含 Bitcoin(比特幣)、Litecoin(萊特幣)、Ethereum(以太幣)與 Dogecoin(狗狗幣)等。
https://news.ycombinator.com/item?id=45634367
https://xubuntu.org
https://news.ycombinator.com/item?id=45634367