Emoji字符画着玩

 🌤️
   ☁️☁️  ☁️
 ☁️    🕊️
🌧️            ☁️

            🏇

删除僵尸粉的自动化

在删除僵尸粉的自动化方面,做了一点微小的工作,免费分享一下。

准备过程有点复杂,既然是免费分享,服务支持是谈不上了,我只介绍大体如何设置,能看懂的应该就克服各种困难了,看不明白的也不能多解释了……

  1. 点这里获得Python编程语言,并安装。
  2. 在cmd里运行pip install selenium,安装Selenium,这是用来遥控Chrome浏览器的Python模块。
  3. 点这里获得Chrome浏览器并安装。
  4. 点这里获得Chrome Driver,或者,假如你已经有Chrome,可以到这里下载一个版本匹配的Chrome Driver,把解压后的.exe文件放到一个可执行路径目录里。
  5. 点这里下载僵尸清除程序,解压后存到任何地方都可以(比如桌面)。右击,Edit with IDLE,把下图所示的程序开头三行代码改成你真正的登录信息和用户信息(放心,不会偷你的登录信息),存盘,双击文件图标运行。

其它信息:

  1. 这个程序并非黑进了渣浪的后台数据库,所有的浏览和删除都和正常的手动操作无异,看到的数据也并无不同。它只是接管了一系列枯燥的翻页和点按鼠标的动作,不叫苦不嫌累而已。
  2. 随时可以关闭Chrome浏览器窗口终止这个程序,关闭时,监控小窗里会出现可忽略的错误信息。程序会随时把执行进度存到本地同目录的一个数据库里面,下次运行时会记得处理过谁,没处理过谁。数据库文件是本地同目录的spamfans,由程序第一次运行时产生。
  3. 第一次运行时它会根据上面三行代码登录,以后再运行时,它就记得登录状态了(根据存在本地同目录的weibo-cookies.txt文件,由程序产生),如果它偶尔忘记,还会根据代码里的信息再填。
  4. 程序运行时,尽量不要把鼠标在Chrome窗口上指来指去,不要把Chrome窗口最小化(用其它窗口遮蔽没事),以免干扰到它。
  5. 对“僵尸”的初步定义是粉丝少于5,发帖少于10,或者跟此人ID体现的注册年代不般配的(很早的ID,却粉丝及发帖甚少,没有传播力)。程序还会对初筛过的ID一个个翻看主页,最近3个月没说过话的会被移除。躲过一次巡视的并非永久安全了,巡视确认活粉的有效期是30天。
  6. 12月9日,对“僵尸”的定义取消了对粉丝数的考量,因为这个是即使很有趣的博主也无法掌控的事。取消这个指标,也可以避免我自己的小号被删。

和注册机器人的战斗

帮朋友代管一个问答站点。这个站点常常被发垃圾广告的盯上,而且使用注册发帖机器人,潮水般地往上冲。最近一次大规模攻击出现在10月15日晚上到16日早晨,总共产生了43000多条垃圾。

因为只是代管,所以我并不能接触到后台代码和数据库,只能使用网页管理界面来清理垃圾。而这些网页界面又有点残疾,例如,删除垃圾问题时,虽然提供了多选勾框,却只能删除顶头一个。

汇总一下,手边能用的抵抗工具有:

  • 关闭新用户注册。
  • 删除垃圾用户的网页界面(每次只给删20个)。
  • 删除垃圾问题的网页界面(每次只给删1个)。

好在我还是个程序员,虽然并不穿格子装。当天下午,我用JavaScript写了个网页,把垃圾用户/问题的编号范围输入之后,点一下“清理用户”,它就会循环往复地按照原站点期望的格式生成form,并提交删除。按照每秒清理10个用户的速度,很快就干干净净了。

这个清理工具有点小花样:提交删除表格时,会在新窗口打开(否则退不回来,就没法循环执行),打开的新窗又要在5秒钟后关闭(否则任务一多,浏览器的窗口就密密麻麻了)。这样,浏览器不停地弹出新窗又关掉,忙得不亦乐乎的样子,煞是好看。

写好这个清理工具之后,把它往自己的网站上一丢,就可以放心地出去玩了。即使问答站点再遭攻击,我也可以从手机上远程清理了。执行清理代码的权限依赖于事先在问答站点上成功登录,所以也不担心链接泄露被网络爬虫乱点按钮。

接下来我又想:事后发现并清理,终究显得有点被动。当我忙着做图写东西时,还得随时盯着站点,就太分心了。JavaScript在读取外域网页时功能有限,所以我用PHP写了个新版本,能代刷网页,发现出事时,能自己清理。不过,本质上,这个工具就和注册机器人一样了,这大概就是传说中的“终于活成了自己讨厌的人的样子”。

自动防御工事的逻辑是:

  • 每隔一段时间,读取主页上的注册用户数目。
  • 如果突然出现不合常理的激增,则判定为注册机器人攻击。
  • 判定攻击后,首先关闭新用户注册功能,掐断垃圾源头。
  • 接下来,向站点提交表格,删除在此期间出现的所有新用户。
  • 静候半小时后,重新开放注册功能,但半分钟后回来检视一下,看看攻击是不是还在继续。
  • 如果攻击还在继续,再次关闭新用户注册,清理这半分钟产生的小垃圾,如此循环往复。

刚刚写好新工具,一个小机器人就吹着喇叭发动了祭旗式的攻击(上图的UNDER ATTACK指的就是它),攻击从当天傍晚6点持续到次日凌晨零点。刚才说过,每次检测出批量攻击时,程序会先关闭用户注册半小时,然后打开,半分钟后再杀回来重新看一眼。对面这个小机器人在这每次间隔半小时的半分钟缝隙里,急急忙忙地创建垃圾用户,几个小时过去,它用掉了将近一百个帐户编号,也算是相当执着了。

今天早晨出了个巧之又巧的小意外。在网页刚刚启动,进行30秒热身刷新时,放在本站的服务器突然跳表,时间戳从23:01:32跳回23:00:20,呛死了我的防御工事。

它的判断逻辑是“假如新注册的用户数乘以某比率,大于刚才流逝的秒数,则判断是注册机器人攻击。”而这里,虽然新注册用户为零,但“刚才流逝的秒数”是个负值……万幸的是,我从做JavaScript版时,就设了个保险杠,此杠以内的老用户无论如何不能碰。所以虽然代码走进了“删除某些用户”的那一块,却立刻被驳回了。

感谢这个服务器提供的意外test case,这部分代码已加固,不会再被弄死了。

后记:晚上在本站服务器上把玩这个程序时,跳表现象又出现了。不禁大感兴趣,细细研究一下这个现象的来源。它发作得如此频繁,使我无法相信有个系统管理员坐在那里没事调时钟。更像是有多台负载均衡服务器,它们的时钟不一致。

写了个小网页,每5秒输出一次系统时间,在完美世界里,应该获得一条单调上升的直线。然而我实际得到的,是剧烈颠簸的数据。使用Excel画出来就更加一目了然,共有三条直线,说明至少有三台负载均衡,其中两台差异不那么大,而第三台慢了许多。如果拿中间一条线做参照的话,最上面的时钟快了23秒,最下面的则慢了108秒。

金色记忆

山竹的假寐

台风“山竹”跨越吕宋岛前后

山竹横跨吕宋岛之后,台风眼走着走着就没了?

都是假象,“一闭,一睁,一天过去了。” 合眼打个盹,脚一趟到海面,又来了精神。

动图由来自日本向日葵8号卫星的82幅图片合成。

文成公主是哪位度母的化身?

一直在中文网站上看到:藏胞认为,文成公主是绿度母化身,尺尊公主是白度母化身。查看松赞干布左衽服装时,忽然想认真核实一下这个认知。

查询英文站点的结果,白绿相反:尺尊公主绿,文成公主白。

英文维基上的尺尊公主词条

注重考据的英文维基百科也没有指明这个说法的来源。藏文资料搜不到,看不懂(这是主要原因!),还是从图片中寻找线索吧。

曾在2011年国博唐卡展上拍到《释迦牟尼佛迎请入藏图》唐卡,左上角颂子出现了“文成公主”字样,右上方云气(从公主手中宝瓶所生)所托主尊则是白度母。​

释迦牟尼迎请入藏图

《佛陀迎请入藏图》左上方偈颂

公主头顶云气里的白度母

所以,多数中文网站上的内容(很多是互相抄袭)说反了?

为了更好地核实右边所坐公主是文成而非尺尊,再多看一些细节。​

公主和松赞干布相对而坐,她座下的官员身着汉式服装。虽然官帽长帽翅是宋朝样式的,也不该有帽正,还不伦不类地挂了一串佛珠,还是能看出浓郁的汉式气息。和左侧(松赞干布一侧)群众的白头巾对比,汉族气息更浓郁。

左侧藏式和右侧汉式服装的对比

更有说服力的一个细节是公主座侧的珊瑚树瓷瓶,上面是八仙纹样。来自尼泊尔的尺尊公主一定不会有这样的瓷瓶。但我必须要说:八仙纹样出现在珊瑚树瓶上,跟公主座下的宋式官帽一样,也是个时空交错的bug——如同《封神榜》里的姜后泣而言曰:“古人云:‘粉骨碎身俱不惧,只留清白在人间。’”

公主座侧瓷瓶上的八仙纹样

所以,画面中的这位公主,从形象到文字说明,都可以确认是文成公主。其头顶云气里的形象说明,至少作画者认为白度母​是文成公主的本尊。

​自己的功课做得差不多了,就可以拿起电话,直接​打给藏族朋友了。他说:甲姆萨(文成公主的藏文称呼)是白度母,巴姆萨(尺尊公主的藏文称呼)是绿度母。

顺便说说,唐卡中的文成公主,也是入乡随俗的左衽呢。

左衽的松赞干布

松赞干布,图片来源布达拉宫

清代·铜鎏金松赞干布及二妃像(题图),扎什伦布寺藏,首都博物馆《天路文华》所见。松赞干布被认为是观音菩萨的化身,造像规范头巾中藏阿弥陀佛像。二妃是文成公主和尺尊公主,分别被认为是绿度母和白度母的化身。刚刚留意到他们的衣服左衽,查了一下布达拉宫造像(右)和敦煌壁画赞普像(下),果然都是左衽。

和而不同——四川木雕

日偏食

在成都,今天日偏食的可见时间是18:46到19:27。本来想科学一下,每两分钟拍一帧做动画,结果刚刚拍了六帧,就来了一片几十分钟也散不去的浓云……放弃科学转文艺。太阳沉到云中之前的倒数第二张,离成都的食甚只差6分钟,而且画面里出现了飞机!挺好,不遗憾。

考古成都