此为 HydroOJ 发展初期遇到的意外事件。随着 HydroOJ 的发展我们将不断对存在的问题进行修复,每一次意外事件后我们都会修改策略防止相似的事件再次发生。所以用户不必过于担心此类事件带来的影响。


此贴将以时间顺序向大家讲述 HydroOJ 在 2021.4.212021.4.21 上午发生的一些事情。

8:02 a.m.

用户 shabioj 在大量 HydroOJ 官方公告之下发表侮辱性言论,严重违反HydroOJ 社区规范。鉴于其言论对 HydroOJ 影响之恶劣,加上其用户名本身带有侮辱性,HydroOJ 管理员对其作出 撤销 自由发言权限 三年 的处分并发布了公告。

以下为其发言之一与处分公告:

cb1zWD.png

cb3pSe.jpg

8:57 a.m.

用户 shabioj 推测因不满管理员对其的处分而使用临时邮箱恶意在大量帖子中回复大量长篇无意义内容,并且在处分公告之下继续发表辱骂言论。

以下为其小号的部分发言:

cb3R6H.png

cb3hnA.png

HydroOJ 的管理员们迅速删除了其所有言论,对其所有小号作出 撤销 自由发言权限 三年 的处分并发布了公告。由于一些原因,此公告并没有留存截图。

同时,由于 HydroOJ 暂时无法查出该用户的 ip,未防止其造成更加恶劣的影响,站主 Macesuted 决定临时关闭 HydroOJ 所有非管理员用户的自由发言权限并进行了公告,同时关闭了注册入口。

以下为公告内容:

cbGAG8.jpg

但是,由于一些原因,注册入口并未被关闭。

9:06 a.m.

HydroOJ 所有官方公告均被删除。由于非管理员用户无法删除其他用户的公告,Hydro 对其管理员进行了内部自查,并未发现问题。因此我们推测这是 HydroOJ 主站受到攻击导致的。

9:31 a.m.

站主 Macesuted 暂时关闭的主站尝试进行数据库修复。

9:52 a.m.

HydroOJ 源码开发者及版权所有者 undefined 加入了数据库的回滚与修复。

10:08 a.m.

HydroOJ 主站再次可被访问。

与此同时,为防止今后再次遇到用户恶意创建大量小号并且对主站进行骚扰的问题,管理员们进行了用户注册及身份验证的讨论,以下为讨论结果概括:

  • 若单使用邮箱验证会遇到与今天类似的使用大量临时邮箱注册的问题,否决;
  • 若使用手机验证码注册,考虑到现阶段很多OIer很难拿到手机,会对用户造成很大的不便,否决;
  • 人工验证,考虑到目前人力资源不充足且会对审核人员产生极大的压力,否决。

10:13 a.m.

HydroOJ 全部官方公告已复原,但公告下的评论丢失。

11:34 a.m.

HydroOJ 出现用户恶意大量重复提交代码评测占用评测机资源,疑似为之前用户本人。

以下为提交记录的一部分:

cbwba4.png

管理员对其作出了 撤销进入主站 一年 的处分并发布公告,该公告并没有被截图。

为防止在此出现此行为,Macesuted 临时关闭了所有非管理员用户评测代码的权限并发布公告,该公告无截图。

12:12 a.m.

undefined 再次加入,与 Macesuted 一同进行后台优化与恢复。

13:58 a.m.

在经历短暂的重启后,HydroOJ 回复到 2021.4.212021.4.21 日凌晨还未被攻击时的状态,一切恢复。但此时依旧取消全部非管理员用户的自由发言权限。

同时,为了避免端口被攻击,Macesuted 关闭了直连网址。

早上的风波暂时平息。

写在最后

一封来自 HydroOJ 管理组的道歉信

由于 HydroOJ 至今为止创立的时间并不长,我们并没有足够的应对类似事件的经验与方法。今天发生的事情我们是第一次遇到,还没有准备全面,甚至很多规则都是今天早上刚写的,导致我们在处理时有些手忙脚乱、同时由于我们在早上处理此时间的方法过于简单粗暴,对其他用户造成了不小的困扰,并且产生了不小的影响,HydroOJ 管理组在此向大家表示歉意。

但是,经过今天早上的事件,我们的管理员内部变的更加团结,我们的能力也变的更强。我们十分相信我们在下一次遇到类似问题时能过更快、更好的解决。希望您能继续信任本 OJ 与本 OJ 的管理员们。感谢您对我们的大力支持!

HydroOJ 管理组

2021.4.212021.4.21


在经历今天的事件后,我们将会更加严厉查处类似违规行为。希望用户们能够严格遵守 HydroOJ 社区规范

此公告将会置顶 14 天。

感谢在此事件中做出巨大贡献的管理员(排名不分先后):Macesuted、undefined、wheneveright、Rosmarinus。

5 comments

  • @ 2022-5-26 20:05:10

    回复“因此我们推测这是 HydroOJ 主站受到攻击导致的。”

    ???!

    😕 3
    • @ 2022-5-26 19:57:33

      2021.4.21是周三啊,你们管理员大部分都是学生吧,不上课的吗?

      • @ 2021-4-26 15:55:16

        ucwcat/se

        • @ 2021-4-26 15:20:08

          临时邮箱问题可以通过仅允许常见后缀的白名单策略解决。

          • @ 2021-4-26 15:39:55

            但是这会妨碍到很多使用自己的域名邮箱的用户的正常体验。

            目前解决方案为临时邮箱黑名单。

          • @ 2021-4-26 16:04:25

            域名邮箱非常尴尬,使用域名邮箱同样可以进行批量注册。只有当该域名是可信任的,才应该允许其使用。 @

            Macesuted
          • @ 2021-4-26 16:06:58

            可以考虑在同一时间,对系统内存在的“待信任的”同后缀域名邮箱做最大数量限制。

          • @ 2021-4-26 16:47:07

            但也许我们可以在用户使用自己的域名进行批量注册的时候同样将其域名拉入黑名单。

            我相信我们在数据库中的一行操作相比他建个域名邮箱来说,应该是我们更划算一点…@

            ucw
          • @ 2021-4-26 16:51:13

            获取基本的域名邮箱几乎没有开销。在识别并拉黑的逻辑不能够自动进行的条件下,考虑到人工操作时可能已经造成较大影响,问题实际上并没有被解决。 @

            Macesuted
        • @ 2021-4-21 16:11:08

          非常抱歉我今天早上过于鲁莽的行为对不少用户产生了大的影响。

          接下来我们会努力完善社区规则,加强对用户的行为约束,争取让这样的事情在未来不再发生,建立良好的学术氛围,提高 HydroOJ 网站的稳定性。

          另感谢 Rosmarinus 花长时间为我们整理了此篇公告。

          • 1