пятница, 29 июля 2011 г.
Утечка конфиденциальных данных на сайтах, учитесь на чужих ошибках
Грандиозный скандал - в Интернет попала личная СМС-переписка абонентов "Мегафона"
Конфиденциальная информация клиентов интернет-магазинов попала в общий доступ
Новая история с появлением в Интернете данных, которые не должны выдаваться обычному пользователю
В конце июля 2011 года люди ВНЕЗАПНО обнаружили, что поисковые машины индексируют страницы в интернете!
среда, 20 июля 2011 г.
В Великобритании арестован 16-летний хакер
Представитель полиции заявил о том, что хакер находится под заключением в полицейском управлении Центрального Лондона. Подозреваемому инкриминируется нарушение акта «О злоупотреблении компьютером» (Computer Misuse Act) от 1990 года.
Сотрудники силовых ведомств США подтвердили информацию о том, что арест малолетнего хакера, известного под псевдонимом Tflow, был произведен в рамках расследования атак на сервера платежных систем PayPal, по результатом которого также был произведен арест 16-ти граждан США . По сообщению Министерства юстиции США, голландская полиция также произвела ряд арестов и обысков, связанных с расследованием этого инцидента.
Релиз системы виртуализации VirtualBox 4.1.0
Спустя семь месяцев с момента выхода прошлой значительной версии, компания Oracle анонсировала релиз системы виртуализации VirtualBox 4.1.0. Готовые установочные пакеты доступны для Linux (Ubuntu, Fedora, openSUSE, Debian, Mandriva, SLES, RHEL), Solaris, MacOS X и Windows.
Ключевые улучшения VirtualBox 4.1.0:
Ключевые улучшения VirtualBox 4.1.0:
- Поддержка клонирования (дублирования) виртуальных машин и связанных с ними дисковых образов из управляющего GUI (из командной строки такое можно было сделать и раньше), при этом новая виртуальная машина сразу становится доступна в интерфейсе;
- Экспериментальная поддержка проброса PCI-устройств в реализации хост-систем, работающих под управлением Linux. Пробросив определенное PCI-устройство, например, сетевую карту, в гостевое окружение, данное устройство будет передано в эксклюзивное использование для данного окружения, что дает возможность свести к минимуму негативное влияние виртуализации на производительность при работе с проброшенным устройством;
- Улучшенный мастер создания виртуальных дисков;
- Новый мастер для копирования виртуальных дисков;
- Лимит памяти для 64-разрядных хостов увеличен до 1 Тб;
- В набор драйверов для гостевых систем на базе Windows включен экспериментальный драйвер WDDM (Windows Display Driver Model) ;
- GUI-интерфейс для платформы Windows переведен на использование Qt 4.7.3;
- В наборе "Guest Additions" модули и функции теперь представлены в виде служб, доступных через единый интерфейс;
- Новые сетевой режим "UDP Tunnel", позволяющий просто и прозрачно организовать соединение друг с другом нескольких виртуальных машин, работающих на разных хостах;
- Поддержка в графическом интерфейсе изменения сетевых параметров "на лету", возможность определения значения счетчика портов для SATA-контроллеров;
- Поддержка режима связанного клонирования;
- Возможность переименования дисков в клоне;
- Незначительная переработка некоторых диалогов в пользовательском интерфейсе;
- Новый режим подключения к сети "Generic Driver", предоставляющий новую архитектуру для создания плагинов, позволяющих создавать собственные реализации распределенной виртуальной сети;
- Экспериментальная поддержка горячего подключения SATA-дисков через VBoxManage;
- В Solaris добавлен новый сетевой драйвер, основанный на использовании технологии Crossbow и поддерживающий работу в Solaris, начиная с версии 11 build 159;
- Устранение около 50 ошибок, устраняющих проблемы в таких подсистемах, как USB, 3D, SMP, ATA/SATA, NAT и т.п.
воскресенье, 17 июля 2011 г.
Установка (LAMP) Apache2 с PHP5 и MySQL на CentOS 6.0
LAMP это сокращение от Linux, Apache, MySQL и PHP.
1. Заметка
В данной статье используется имя хоста server1.example.com с IP адресом 192.168.0.100. Эти параметры у вас будут отличаться, поэтому в случае необходимости их придется заменить.
2. Установка MySQL 5.0
yum install mysql mysql-serverЗатем мы создаем систему связи для MySQL (чтобы MySQL запускался автоматически):
chkconfig --levels 235 mysqld on/etc/init.d/mysqld startУстанавливаем пароль для суперпользователя (root) MySQL:
mysql_secure_installation[root@server1 ~]# mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!
In order to log into MySQL to secure it, we'll need the current
password for the root user. If you've just installed MySQL, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.
Enter current password for root (enter for none):
OK, successfully used password, moving on...
Setting the root password ensures that nobody can log into the MySQL
root user without the proper authorisation.
Set root password? [Y/n] <-- ENTER
New password: <-- yourrootsqlpassword
Re-enter new password: <-- yourrootsqlpassword
Password updated successfully!
Reloading privilege tables..
... Success!
By default, a MySQL installation has an anonymous user, allowing anyone
to log into MySQL without having to have a user account created for
them. This is intended only for testing, and to make the installation
go a bit smoother. You should remove them before moving into a
production environment.
Remove anonymous users? [Y/n] <-- ENTER
... Success!
Normally, root should only be allowed to connect from 'localhost'. This
ensures that someone cannot guess at the root password from the network.
Disallow root login remotely? [Y/n] <-- ENTER
... Success!
By default, MySQL comes with a database named 'test' that anyone can
access. This is also intended only for testing, and should be removed
before moving into a production environment.
Remove test database and access to it? [Y/n] <-- ENTER
- Dropping test database...
... Success!
- Removing privileges on test database...
... Success!
Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.
Reload privilege tables now? [Y/n] <-- ENTER
... Success!
Cleaning up...
All done! If you've completed all of the above steps, your MySQL
installation should now be secure.
Thanks for using MySQL!
[root@server1 ~]#3. Установка Apache2
Apache2 доступен как пакет в CentOS, поэтому мы можем
установить его так:
yum install httpdТеперь нужно настроить систему для запуска Apache:
chkconfig --levels 235 httpd onИ запустить:
/etc/init.d/httpd startТеперь откроем браузер, введем:
http://192.168.0.100Должны увидеть страницу:
По умолчанию корень Apache находится в /var/www/html, а конфигурационный файл в /etc/httpd/conf/httpd.conf. Дополнительные настройки хранятся в /etc/httpd/conf.d/.
4. Установка PHP5
Можно установить PHP5 и модуль для Apache следующим образом:
yum install phpТеперь нужно перезапустить Apache:
/etc/init.d/httpd restart5. Тестируем PHP5
В корне /var/www/html создадим файл info.php:
vi /var/www/html/info.phpВставим:
php
phpinfo();
?>Теперь вызываем этот файл в браузере по адресу:
http://192.168.0.100/info.php
6. Включение поддержки MySQL в PHP5
Чтобы включить поддержку MySQL в PHP, нужно установить пакет php-mysql. Можно еще установить некоторые другие модули PHP5:
Выполняем поиск
yum search phpВыбираем нужное, и ставим:
yum install php-mysql php-gd php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-xmlrpcТеперь перезапускаем Apache2:
/etc/init.d/httpd restartЗагружаем опять в браузере страницу
http://192.168.0.100/info.php и проверяем:
7. phpMyAdmin
PhpMyAdmin это веб-интерфейс управления базами данных MySQL.
Сначала подключите репозиторий RPMforge, потому что пакет phpMyAdmin не доступен в официальном репозитории CentOS 6.0:
Импортируйте GPG ключ:
rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txtНа x86_64 системах
yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmНа i386 системах
yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpmТеперь можно установить PhpMyAdmin следующим образом:
yum install phpmyadminНастроим PhpMyAdmin, для этого поменяем конфигурацию Apache так, чтобы у PhpMyAdmin была связь не только из localhost (закомментировав
vi /etc/httpd/conf.d/phpmyadmin.conf#
# Web application to manage MySQL
#
#/mysqladmin /usr/share/phpmyadminДалее изменяем аутентификацию в PhpMyAdmin с cookie на http:
vi /usr/share/phpmyadmin/config.inc.php[...]
/* Authentication type */
$cfg['Servers'][$i]['auth_type'] = 'http';
[...]Перезагружаем Apache:
/etc/init.d/httpd restartТеперь phpMyAdmin доступен по адресу:
http://192.168.0.100/phpmyadmin/
суббота, 16 июля 2011 г.
Смена редактора по умолчанию во FreeBSD
- Перейдите в домашний каталог:
# cd ~
- Откройте и отредактируйте файл .cshrc вашим любимым редактором, например:
# ee .cshrc
- Строку setenv EDITOR vi поменяйте на setenv EDITOR ee (то есть на тот редактор который нужен вам)
- Перелогиньтесь или перечитайте конфигурационный файл командой:
# source .cshrc
Компьютеры научились читать инструкции, устанавливать и играть в игры
Одной из основных причин, вызывающих у пользователей проблемы с компьютерами и прочими сложными машинами, является отсутствие у этих пользователей желания читать инструкции. Именно это советуют сделать новичкам, прежде чем задавать вопросы. Иногда это даже помогает, хотя особо талантливые проводят за чтением инструкций долгие часы, но так и не сдвигаются с мертвой точки.
Ученые Массачусетского технологического института все-таки решили извлечь из этой литературы хоть какую-то пользу и научили компьютеры читать инструкции и понимать их. А потом устроили им проверку, заставив прочитать документы на сайте Microsoft, а также полную документацию к компьютерной игре Civilization II. После этого система самостоятельно установила игру на компьютер и продемонстрировала, как она усвоила знания об игре.
Компьютер не просто научился играть в Civilization II, но и успешно выполнил 79% из предложенных ему заданий, и это весьма впечатляющий результат для электронного разума. Разработчики подчеркнули, что этот результат был достигнут машиной самостоятельно, безо всякой помощи со стороны, имелась только документация к игре. Это один из первых опытов в данной области, но если уже сегодня компьютеры самостоятельно устанавливают игры и играют в них, то каковы истинные возможности этой технологии? Видно, создатели апокалипсических шедевров и пророки, предостерегающие нас не доверять машинам, оказались правы?
Ученые Массачусетского технологического института все-таки решили извлечь из этой литературы хоть какую-то пользу и научили компьютеры читать инструкции и понимать их. А потом устроили им проверку, заставив прочитать документы на сайте Microsoft, а также полную документацию к компьютерной игре Civilization II. После этого система самостоятельно установила игру на компьютер и продемонстрировала, как она усвоила знания об игре.
Компьютер не просто научился играть в Civilization II, но и успешно выполнил 79% из предложенных ему заданий, и это весьма впечатляющий результат для электронного разума. Разработчики подчеркнули, что этот результат был достигнут машиной самостоятельно, безо всякой помощи со стороны, имелась только документация к игре. Это один из первых опытов в данной области, но если уже сегодня компьютеры самостоятельно устанавливают игры и играют в них, то каковы истинные возможности этой технологии? Видно, создатели апокалипсических шедевров и пророки, предостерегающие нас не доверять машинам, оказались правы?
Mozilla Foundation исполнилось 8 лет
Mozilla Foundation, основанная 15 июля 2003 года, отмечает своё восьмилетие.
Mozilla, как всем наверняка известно, стоит за бесплатным браузером Firefox, который является самой популярной альтернативой Internet Explorer. В то время, когда был выпущен Firefox, IE 6 занимал 95 % рынка.
Firefox быстро завоевал популярность, приняв и затем установив многие веб-стандарты. Многие даже связывают рост популярности Firefox и возвращение Microsoft к разработке Internet Explorer, долгое время никак не развивавшемуся.
Как говорится в твиттере проекта Mozilla Drumbeat, лучшим подарком на день рождения было бы присоединиться к Mozilla Foundation. Фонд является некоммерческой организацией, поддерживающей открытую сеть и создавшей такие движения, как сообщество Drumbeat. Членство начинается от 5 долларов, а за 30 долларов можно получить футболку Firefox.
Если вы хотите поблагодарить Mozilla Foundation за Firefox и внести свой вклад в его развитие, вы можете сделать это на Mozilla.org.
четверг, 14 июля 2011 г.
Adobe Flash Player 11 теперь поддерживает Linux х64
Adobe Labs вчера вечером объявила доступности для установки первой бета-версия предстоящего релиза Adobe Flash Player 11 для Linux, Windows и Machintosh платформ, теперь со встроенной поддержкой 64-битных операционных систем Linux.
Adobe Flash Player 11 Beta приносит с ряд совершенно новых особенностей, включая 3D, поддержка объемного звука HD, поддержка H.264/AVC для x64.
Особенности:
— Поддержка 64-разрядных операционных систем Linux и браузеров (также поддерживаются Mac OS X и Windows)
— В Linux теперь поддерживается в печать векторных изображений высокого качества
— Поддержка декодирования асинхронного битмап
— Поддержка объемного звука HD для получения полного видео High-Definition с 7.1-канальным звуком
— Поддержка 3D обработки
— Поддержка G.711 для сжатия аудио-телефонии, может быть использовано для интеграции в бизнес-приложениях с использованием кодека G.711
— Кодирование H.264/AVC для веб-камеры, для локального кодирования с более высоким качеством видео с использованием кодека H.264;
— Socket Progress Events, предназначен для создания продвинутых программ обмена файлами, таких как FTP-клиенты, которые посылают огромное количество данных
— Поддержка «Cubic Bezier Curves» для создания «cubic Beziers»
— Поддержка нативного JSON (JavaScript Object Notation)
— Поддержка TLS Secure Sockets
— Поддержка JPEG-XR
— Эффективная компрессия SWF
>>>Скачать Adobe Flash Player 11 beta<<<
>>>Инструкция по установке из tar.gz<<<
Adobe Flash Player 11 Beta приносит с ряд совершенно новых особенностей, включая 3D, поддержка объемного звука HD, поддержка H.264/AVC для x64.
Особенности:
— Поддержка 64-разрядных операционных систем Linux и браузеров (также поддерживаются Mac OS X и Windows)
— В Linux теперь поддерживается в печать векторных изображений высокого качества
— Поддержка декодирования асинхронного битмап
— Поддержка объемного звука HD для получения полного видео High-Definition с 7.1-канальным звуком
— Поддержка 3D обработки
— Поддержка G.711 для сжатия аудио-телефонии, может быть использовано для интеграции в бизнес-приложениях с использованием кодека G.711
— Кодирование H.264/AVC для веб-камеры, для локального кодирования с более высоким качеством видео с использованием кодека H.264;
— Socket Progress Events, предназначен для создания продвинутых программ обмена файлами, таких как FTP-клиенты, которые посылают огромное количество данных
— Поддержка «Cubic Bezier Curves» для создания «cubic Beziers»
— Поддержка нативного JSON (JavaScript Object Notation)
— Поддержка TLS Secure Sockets
— Поддержка JPEG-XR
— Эффективная компрессия SWF
>>>Скачать Adobe Flash Player 11 beta<<<
>>>Инструкция по установке из tar.gz<<<
LOL от журналистов! Жена Столлмана не стирает мужу рубашки!
Друзья!
Всех, кому нужно сделать паузу и отвлечься от рутины, прошу следовать под кат.
Обычный вечер. Обычная бесплатная газета в почтовом ящике.
Мы все знаем, где следует читать такие издания. Вот и я, сижу себе, читаю, дохожу до 8 страницы и что вижу?
Полоскание без стирки! Чудо-устройство!
И… ШОК!
РМС опасносте! Жена не стирает его рубашки в стиралках, как все нормальные люди?
Но, постойте. Какая жена? РМС не женат. Может быть, это ошибка? Может, это Андрей Ковалинский из Воронежской области? Но нет, ошибки быть не может. Оригинал фото на первой странице выдачи гугла.
Всех, кому нужно сделать паузу и отвлечься от рутины, прошу следовать под кат.
Обычный вечер. Обычная бесплатная газета в почтовом ящике.
Мы все знаем, где следует читать такие издания. Вот и я, сижу себе, читаю, дохожу до 8 страницы и что вижу?
Полоскание без стирки! Чудо-устройство!
И… ШОК!
РМС опасносте! Жена не стирает его рубашки в стиралках, как все нормальные люди?
Но, постойте. Какая жена? РМС не женат. Может быть, это ошибка? Может, это Андрей Ковалинский из Воронежской области? Но нет, ошибки быть не может. Оригинал фото на первой странице выдачи гугла.
Как узнать что у сайта под капотом?
Появился ещё один полезный инструмент для веб-мастера — UnderTheSite. Он изучает заголовки HTTP, код страниц (краулер скачивает примерно десять страничек), JavaScript и CSS, чтобы идентифицировать характерные следы тех или иных технологий (matcher’ы). Один запрос — и на странице отображается сразу полный список, что удалось обнаружить.
Google: Google Webmaster Tools Verification, Google Analytics, Google Web Server, UTF-8 Unicode charset, Google Web Fonts, HTML5, Google Website Optimizer, YUI Library.
Яндекс: jQuery, Nginx, Open Graph Protocol, OpenID, OpenSearch, UTF-8 Unicode charset.
Хабрахабр: Google Analytics, Nginx, MooTools, swfobject, UTF-8 Unicode charset.
Автор просит добавлять новые технологии для определения: каждый может сделать это самостоятельно после регистрации.
Так же советую такой сервис из этой же тематики как: builtwith.com
Google: Google Webmaster Tools Verification, Google Analytics, Google Web Server, UTF-8 Unicode charset, Google Web Fonts, HTML5, Google Website Optimizer, YUI Library.
Яндекс: jQuery, Nginx, Open Graph Protocol, OpenID, OpenSearch, UTF-8 Unicode charset.
Хабрахабр: Google Analytics, Nginx, MooTools, swfobject, UTF-8 Unicode charset.
Автор просит добавлять новые технологии для определения: каждый может сделать это самостоятельно после регистрации.
Так же советую такой сервис из этой же тематики как: builtwith.com
среда, 13 июля 2011 г.
Новая версия PuTTY 0.61, или внезапность спустя 5 лет разработок
- Kerberos/GSSAPI аутентификация в SSH-2
- Поддержка в Windows локальной авторизации X11
- Поддержка в Windows шрифтов без фиксированной ширины (не моноширинных)
- Поддержка GTK2 в Unix
- Подключение по логическому имени машины независимо от ее физического адреса
- Оптимизация управления потоками данных, криптографическая оптимизация
- Поддержка zlib@openssh.com SSH-2 метода сжатия
- Поддержка интерфейса Windows Aero
- Поддержка OpenSSH AES-шифрованных личных ключей в PuTTYgen.
Исправлены баги:
- Личные ключи OpenSSH с простыми числами поддерживаются в любом порядке
- Исправлены проблемы проброски портов
- Исправлены краши и зависания программы при выходе из сессии SSH с ошибкой
- На Windows исправлено зависание последовательного порта
- Работа с буфером обмена Windows теперь асинхронная, что исправило взаимную блокировку, если владелец буфера обмена находится на удаленной машине (через проброшенный порт или rdesktop)
понедельник, 11 июля 2011 г.
Китайский iPhone
Сотрудники центра по ремонту мобильной техники с оригинальным названием «Руки из плеч» выложили на YouTube весьма интересное видео. .
Сейчас нет недостатка в китайских клонах популярных смартфонов, и техника Apple отнюдь не стала исключением. В большинстве случаев эти аппараты внешне практически неотличимы от оригинала, но имеют слабую начинку и редко могут похвастаться качественной сборкой. Но они хотя бы выполняют основное предназначение телефона – можно звонить, отправлять SMS и даже выходить в интернет (у меня даже был такой в руках пару дней). Представленный на видео экземпляр не умеет и этого. В общем, лучше один раз увидеть, чем сто раз услышать:
Сейчас нет недостатка в китайских клонах популярных смартфонов, и техника Apple отнюдь не стала исключением. В большинстве случаев эти аппараты внешне практически неотличимы от оригинала, но имеют слабую начинку и редко могут похвастаться качественной сборкой. Но они хотя бы выполняют основное предназначение телефона – можно звонить, отправлять SMS и даже выходить в интернет (у меня даже был такой в руках пару дней). Представленный на видео экземпляр не умеет и этого. В общем, лучше один раз увидеть, чем сто раз услышать:
суббота, 9 июля 2011 г.
Раздаю инвайты на новую социальную сеть Google+
Компания Google запустила в бета режиме, свою новую социальную сеть, под названием Google Plus. Чтобы начать ей пользоваться, нужен инвайт который я пришлю Вам на указаны email.
Внимание!
Оказывается сейчас ивайты принимаются только на email от google – то есть только в том случае если у вас ящик на gmail вам придет инвайт.
UPDATE!
Теперь переманить друзей в новый лагерь еще проще, налетайте, товарищи, 150 безвозмездных приглашений в Google+: клик здесь.
Релиз CentOS 6
Наконец-то вышел релиз CentOS 6.0. Зеркала еще не все обновились, но на некоторых уже доступно.
Centos - дистрибутив, основанный на исходных текстах коммерческого дистрибутива RedHat Enterprise Linux. Об основных изменения в 6-й версии:
- дистрибутив базируется на ядре 2.6.32;
- включён новый для данного дистрибутива планировщик задач CFS (Complete Fair Scheduler);
- внедрена всесторонняя поддержка виртуализации KVM на 64-битных архитектурах (AMD64 и Intel 64), также отменена поддержка RHEL6 в качестве хоста Xen;
- ext4 используется в качестве файловой системы по умолчанию;
- улучшено управление snmp;
- реализовано горячее добавление периферийных устройств шины PCIe и оперативной памяти;
- множество пакетов доведено до актуального уровня (postgresql 8.4.4, apache 2.2.15, mysql 5.1.47, perl 5.10.1, python 2.6.5, php 5.3.2);
- улучшена поддержка технологий энергосбережения.
http://centos.mirror.nexicom.net/6.0/isos/x86_64/
http://mirror.teklinks.com/centos/6.0/isos/x86_64/
Защита сервера статья для начинающего сисадмина
Помните администраторы три пословицы,
нет! лучше распечатайте их и повесьте в на своем рабочем месте перед глазами:
"Безопасность - это процесс",
"Когда админу нечего делать, он занимается безопасностью",
"Безопасность определяется по самому слабому звену"
Статья ориентирована на админов *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) и защите серверов от удаленных атак, для остальных админов статья, я надеюсь, будет пищей для размышлений.
В разных книгах есть различные классификации атак хакеров, я введу свое деление на два условных класса ВСЕХ атак, разгруппирую их:
- Атака на сервисы, которые уязвимы и доступны через Интернет
- Атака через динамическое содержимое сервиса
путь1) приложение упадет и сервис будет не доступен, ситуация DoS;
путь2) приложение начнет захватывать ресурсы и истощив их, сделает DoS;
путь3) приложению скормят шелкод и выполнится код атакующего;
Это всё атаки на сервис (п.п1) и лечатся они только одним способом: админ оперативно узнает от разработчика о наличии уязвимости и обновляет данную программу.
Атака по пункту 2 - это когда, динамический сервис, реализованный на некотором языке программирования, допускает получение параметров и, не проверяя их, выполняет. Например, с помощью браузера атакующий, ползая по сайту под управлением Апач,
ищет уязвимости в самом сайте и эксплуатируя их, получает желаемое. Написанный на языке Tcl, бот для модерирования канала IRC сервера принимает запросы от пользователя (номер нового анекдота, дату дня для вывода погоды) и хакер, воссоздавая работу программного кода бота (reverse engineering), конструирует запросы, которые не были учтены автором бота.
Спросите как это? тогда вам точно нужна это статья. Так или иначе, чуть ниже все будет раcписано.
Атака на уязвимые сервисы и сам сервер
В данный раздел я отнес все атаки, чей удар приходится на систему и сервисы. Часто такие атаки возможны из ошибок в реализации программы, такие как переполнение буфера (buffer overflow). Если кратко, то это выглядит так, допустим в плохо написанном фтп сервере есть массив (буфер) для имени пользователя на определенное количество символов (к примеру 10), а получает такой фтп сервер 100 символов от недоброжелателя, если в коде фтп сервера такая ситуация не проверяется, то возникает переполнение буфера.Что же полезного хакерам дает переполнение локального буфера? Можно перезаписать адрес возврата на злонамеренный код. Удаленно это позволяет выполнить произвольный код на целевой системе, локально, если программа запущена под root'ом, это позволит получить привилегии администратора системы. Код, вызывающий переполнение буфера и выполняющий действия для хакера, называют шелкодом (shell code). Написание шелкода это непростая задача и требует от хакера знаний ассемблера, что подразумевает профессионализм в данной области.
Защита от атак на уязвимые сервисы и сам сервер
- Обновление. Необходимо научится обновлять систему целиком и следовательно уметь
"строить мир и ядро" для *nix, обновлять через пакетную систему Linux и уметь нажимать кнопку Обновить в Windows Update для лицензионной MS Windows. Для админов FreeBSD нужно уметь ставить софт, используя порты. Так вы будете плыть вместе с разработчиками, а не против них. Админам MS Windows нужно привыкать и чаще использовать формат дистрибутива MSI, который настоятельно рекомендуется Microsoft и поддерживает обновление старого пакета новым. Чтобы вы не делали на своем сервере, задайте себе вопрос, если появится новая версия этой программы, как легче обновить ее? Вы должны создать такое решение, которое вы полностью контролируете, да бывают проекты со своими разработками или патчами, но если ваши разработки требуют заморозки нужных вам приложений на определенной версии и вы не можете свои патчи применить к новой системе - ГРОШ цена такому решению! Сделаю тут лирическое отступление и расскажу, как мне пришлось ломать себя. Начитавшись в Интернете статей, которые начинаются обычно так "скачайте исходник и поставьте его make install". И что дальше? Новую версию как будете ставить? Держать старую версию, чтобы в ней сделать make (de|un)install? А в новой снова make install? Эти вопросы мне задавал мой друг Дмитрий Дубровин, когда мы начинали осваивать FreeBSD. Я стал понимать, что он прав, и, по крайней мере, для Фри такой путь не годится и, не следуя пути разработчиков FreeBSD, я себе только всё усложнял. Теперь освоив FreeBSD, когда парой команд скачиваются новые исходники для ядра Фри и всей системы, затем пара команд создают новый мир и ядро, а потом обновляются порты и приложения в системе, ты начинаешь понимать мощь *nix систем. Трудно передать гордость, которую испытываешь, когда обновляешь сервер с FreeBSD из старой ветки в текущую, перестроение мира системы, когда система сама себя компилирует из новых исходников (похоже как Мюнхаузен себя за волосы вытягивал) и все что до обновления работало, также работает "без напильника". Как вы уже поняли, нужно обязательно подписаться на рассылки безопасности от разработчиков того софта, который поддерживает ваш бизнес и обновляться периодически. Обновление всего и вся должно быть отточено и поставлено на рельсы. - Security tuning. Большинство серверных операционных систем идут не достаточно настроенными, по-умолчанию, для работы в агрессивной "химической" среде Интернет. Чтобы хакеры "не нахимичили" на вашем сервере нужно произвести тюнинг безопасности, а именно прочитать рекомендации производителя операционной системы по безопасности. Админы *nix систем могут вызвать
man securityи, прочитав советы разработчиков, делать сказку былью. Но какая бы ни была операционная система нужно тщательно тестировать работу сервера и сервисов после тюнинга безопасности. - Файрвол. Настроенный файрвол, который был проверен вами лично с помощью сканеров портов типа nmap и сканеров уязвимостей, если есть вывод от данных программ, то все ли вы понимаете о чем идет речь? При настройке файрвола помните, что существуют пути обхода его правил. Например, есть локальная сеть защищенная файрволом, выставив флаг запрещения фрагментированности пакета, можно при определенных ситуациях достигнуть адресата в локальной сети. Или частая ошибка администратора, излишнее доверие к исходящим пакетам собственного сервера. Представьте реальную ситуацию, вражеский код пытается инициировать соединение с хостом хакера-хозяина, а у вас правило в файрволе "от меня в интернет все разрешено". Составляя правила для файрвола, нужно полностью представлять всю картину сетевого общения ваших сервисов между собой и удаленными клиентами.
- Система обнаружения вторжений. Файрвол можно представить в виде каменных стен у рыцарского замка. Воздвигнул раз и сидишь внутри - сухо и комфортно. А что если кто-то уже из пушки проверяет прочность стен? Может уже нужно выглянуть из замка и навалять люлей кому-то? Чтобы знать, что происходит за стенами замка, те что снаружи, нужно на сервере иметь систему обнаружений вторжений (IDS). Если у вас будет такая система на базе понравившегося вам пакета, то если кто начнет палить из nmap-пушки, то вы будете в курсе, и атакёр тоже будет в курсе "что вы в курсе".
- Анализ нестандартных ситуаций. В многочисленных журналах в системе часто мелькают надписи "error: not open file /etc/passwd" или "access denied". Это маленькие звоночки, которые звонят о некорректно настроенном приложении, которое не может что-то, где-то прочитать, а может это не звоночек, а набат, который бьет тревогу о хакере, который на половине пути. В любом случае админ должен знать о таких вещах. Для облегчения труда админа созданы программы, которые проанализируют журналы на появление интересных фраз и отправят по почте администратору отчет. Не брезгуйте такой возможностью, такие программы сравнимы со стражниками, которые проверяют на доверенном пути, а все ли себя ведут так как предписано?
- Уберите версии программ. Уберите баннеры у ваших сервисов. Нет не те баннеры, которые вы показываете на своем сайте, а те строки что выдают ваши программы в приветствиях при подсоединении или в выводе ошибок. Не нужно светить версиями своих программ, хакеры по версиям ищут в Интернете доступные программы, эксплуатирующие ту или иную уязвимость (эксплойты - exploit). Тут единого нет решения, например если вы ставите из портов некую программу, то не пишите make install clean, так без вас все скачается, с компилируется и поставится. Лучше сделайте make fetch; make extract; потом зайдите в подкаталог files и там в исходниках можно подправить версию программы или выдать ее за другую и потом уже только make install clean. Апач очень информативен не к месту и еще светит версиями системы, PHP, Perl, OpenSSL. Отключается безобразие указанием директив в httpd.conf ServerSignature Off ServerTokens Prod. В Интернете можно найти помощь при подмене баннеров на любую программу. Цель одна - лишить атакующего ценной информации. Глядя на свой список сервисов, доступных из Интернета, спросите себя не выдает ли он лишней информации о себе и хранимой им информации. Например, DNS сервер bind может разрешать "перенос зоны" и ваши компьютеры с их IP и доменными именами будут доступны всем, а это плохо. Проверьте сами различными сканерами свой сервер и внимательно прочтите их результат работы. При замене баннера программы, советую вставить не случайный текст, а предупреждение об ответственности и о том, что действия журналируются. Так как были инциденты, когда хакера освобождали в зале суда, так как на взломанном фтп сервере была надпись "Welcome! Добро пожаловать!".
- Правило необходимого минимума. Минимизируйте доступные сервисы для Интернета. Отключайте ненужное, так как нельзя взломать то, что отключено. Частая ошибка, например, когда MySQL сервер, работающий в паре с Apache на одной машине, настроен так, что доступен удаленно на своем стандартном порту 3306. Зачем? Дайте команду
netstat -na | grep LISTENи дайте себе ответ: вы знаете какие программы на каком интерфейсе и какой порт используют? Вы контролируете ситуацию? Хорошо если так. - Много сильных и разных паролей. Часто в видео по хаку или рассказах хакеров о взломе, мелькает фраза "хорошо что у админа был один пароль на админку, который также подошел к ssh и ftp". Я надеюсь это не про вас. Отсюда правило: пароли на разные сервисы должны быть разными и не меньше 16 символов. Пусть записаны на бумажку, если боитесь забыть (в этом месте меня убивают специалисты по безопасности), но это лучше, чем ваш пароль дешифрует за несколько минут удаленный атакёр, так как маленькая длина пароля и похожесть на словарное слово позволили это сделать. Разные пароли на разные сервисы легко сделать если сервисы будут авторизовать не как системных пользователей в базе /etc/passwd, а как виртуальных в своих собственных планарных или СУБД базах. Не храните пароли на серверах в файле password.txt ко всем ресурсам, к которым вы как админ имеете доступ.
- Ограничение. Все ваши службы на сервере должны работать от разных ограниченных учетных записей (account) и никогда не работать от учетной записи root. Поверьте, если доберутся до повышения привилегий от ограниченной учетной записи до статуса рута (uid=0, gid=0), вас спасет отсутствие в вашей обновленной системе известных дыр. Кстати, многие админы забывают такую вещь, зачем, например, учетным записям для работы Apache и MySQL иметь доступ к shell! Ведь это можно отключить и вместо shell указать /bin/false. Ну-ка, честно, проверьте на своем подотчетном сервере ваши учетные записи к программам и скажите, если я не прав. В ваших SQL базах ограничивайте аккаунты минимально необходимыми привилегиями. Не давайте привилегии FILE, когда вызывается только SELECT.
- Всех в тюрьму! Обучитесь работе с песочницами (sandbox) или тюрьмами (jail) и запускайте приложения в этих изолированных комнатах, это затруднит взлом всего сервера. Если используете виртуализацию, то можно разнести службы по разным гостевым операционным системам.
- Эшелонированная оборона. Есть возможность что-то запретить несколькими путями в разных местах - сделайте это. НИКОГДА не думайте - это я запретил тут, там запрещать лишнее.
- Атака DoS (Отказ в обслуживании) - атака, чья цель забить какой-либо ограниченный ресурс сервера (интернет канал, оперативную память, процессор и тд и тп), так чтобы сервер не смог обслужить легитимных пользователей. Образно говоря, представьте что вам позвонил домой злоумышленник и молчал в трубку и так продолжалось весь вечер. Вам все это надоело и вы отключили телефон, а утром узнали, что пропустили важный звонок вашего шефа. Вот аналогия из реальной жизни атаки DoS.
В реальной жизни DoS часто выглядит так, из-за ошибки в программе, использование процессора подскакивает и долго держится у отметки 100%, а атакёр периодически использует данную дыру в программе. Криво написаное приложение может исчерпать всю оперативную память. Или "почтовая бомба" в виде сильно сжатого в архиве файла с множеством знаков [пробел], которого распакует для проверки антивирус и распакованный огромный файл переполнит раздел жестком диске на сервере или/и вызовет перезагрузку сервера. Защита от атак DoS:
- Обновление программы, которой манипулируют для атаки DoS
- Настроить квотирование ресурсов для учетной записи от которой работает данная программа. *nix системы позволяют настроить процент использования процессора, оперативной памяти, кол-во порождаемых процессов, открытых файлов и т.д. и т.п.
- Настройте логирование в программе и постарайтесь найти атакера-кукловода и заблокировать его в файрволе.
- Настройте программу как советует разработчик, гуру, по статьям в Интернете, если вы оказались в такой ситуации.
- DDoS (тот же DoS, но вас атакуют с нескольких компьютеров-зомби, под руководством
атакующего). DDoS разрушителен и их применяют только те вандалы, которые имеют стада зомбированных машин и будут требовать деньги за прекращение атаки или нанесение ущерба вашему бизнесу, чтобы пользователи, не достучавшись до вашего сервера, ушли к конкуренту. DDoS атаки не применяют хакеры, чья цель интелектуальный взлом вашего сервера, да-да ваш сервер это "загадка", которую хотят "разгадать". Как защитится от DDoS? Если будете надеяться на собственные силы и средства, то можно, автоматизируя работу скриптами выуживать IP адреса из различных логов и заносить в запрещающие правила файрвола. Так, например, поступил автор статьи "Есть ли жизнь под DDoS'ом?" в журнале Хакер. Блокируйте сети атакеров в файрволе, урон от DDoS можно уменьшить, если прочесть статьи по настройке ваших программ и выполнить эти инструкции. Например, для Apache есть множество статей как настроить его для минимизации урона от DDoS. Защита от атак DDoS:
- Если DDoS направлен на приложение, попытайтесь в логах найти отличия атакеров от легитимных пользователей, и автоматизируя скриптом, заносите в правила файрвола в deny
- Если DDoS направлен на систему (например, атака по ICMP протоколу), автоматизируя скриптом, заносите в правила файрвола в deny
- Настроить квотирование ресурсов для учетной записи от которой работает данная программа. *nix системы позволяют настроить процент использования процессора, оперативной памяти, кол-во порождаемых процессов, открытых файлов и тд и тп
- Настройте программу как советует разработчик, гуру, по статьям в Интернете, если вы оказались в такой ситуации
- Обратитесь к вашему вышестоящему провайдеру, чтобы он помог чем смог. Напишите жалобу на abuse@хозяин_сетей_откуда_атакуют.домен. Это поможет частично разрушить сеть атакера, пусть понесет урон, ему это деньги стоит. Испытаете моральное удовлетворение.
- Познакомьтесь с mod_security для Apache, это прекрасное средство поможет вам в некоторых ситуациях.
- Атака bruteforce пароля. Тут дыры в программах не виноваты, просто грубо подбирают пару логин/пароль. Кто оставлял сервер с настроенным ssh, но забывал ограничить доступ по ssh с определенных IP и с определенными логинами (директива в ssh_config AllowUser), тот наверняка видел в логах попытки перебора пароля маша:пароль_маши. Защита от bruteforce пароля:
- Ограничивайте кол-во попыток неудачных логинов/паролей
- Если приложение позволяет, то настройте увеличение времени перед новой попыткой логин/пароль.
- Если с приложением должен работать узкий круг людей, создайте такое правило и ограничьте им
Атака через динамическое содержимое сервиса
Данный вид атак часто происходит на связку Apache + (PHP | PERL) + (MySQL | PostgreSQL) для мира *nix и IIS + ASP + Microsoft SQL Server для мира MS Windows с помощью простого браузера, но это только частный случай, который просто чаще используется из-за популярности web. В данной связке языками программирования являются ASP, PHP, Perl, SQL поэтому их часто будут использовать хакеры для составления своих деструктивных конструкций. НО самое главное следует уяснить, что таких связок сервис + поверх них динамический контент на языках программирования множество и следовательно все они под прицелом хакеров. Например вот такой неполный список:- Веб-сервер + CGI скрипты
- Древняя связка ныне не употребляющаяся - Apache + PHF (именно P H F) скрипты
- IIS + сервер приложений ColdFusion
- Механизм SSI (Server Side Includes)
Отсюда вывод - взлом сайта через атаку на web, на котором лежат только статические html-страницы, ссылающиеся только друг на друга, НЕВОЗМОЖЕН. Атаки через ваш Web-сайт появились, когда люди захотели больше интерактивности и добавляли оную через языки программирования и базы данных.
Хакеры сёрфя по сайту, особое внимание обращают на скрипты, которым передается какой-либо параметр. А что если автор скрипта не проверяет что именно передается в качестве значения параметра?
Общие решения для админа от атак на динамическое содержимое сервиса (Web-сайт, как частный случай)
- Обновление. Мы уже об этом говорили, но, если вы используете стороннюю наработку (движки форумов, галерей, чатов и тд и п), то получайте сообщения об уязвимостях и латайте дыры. Мнение хакеров таково, если портал работает с финансами и их оборотом, то на таком портале не желательно наличие чьих либо разработок, кроме собственных. Конечно подразумевается, что разработку собственных движков на сайт писали кодеры, которые умеют безопасно программировать и имеют понятие об угрозах в Интернете.
- Будьте нестандартны. Во многих хакерских утилитах, базах уязвимостей часто мелькают пути forum/, gallery/, images/. Очень удобно! Знай админ, половина из них побреется и плюнет на твой сайт, когда сайт твой не расположен в /usr/www, а админка твоя не site.com/admin. Суть такова, если ты не стандартен, то это дополнительные палки в колеса хакеру, который атакует твой сайт. Ему придется добавлять/исправлять в ручную базу/скрипт. А всегда хакер это сможет или захочет? Молодых хакеров "скрипт-кидисов" это точно отпугнет. Вот, например, советы по безопасности PHP
# Сделать код PHP выглядящим как коды других типов
AddType application/x-httpd-php .asp .py .pl
# Сделать код PHP выглядящим как коды неизвестных типов
AddType application/x-httpd-php .bop .foo .133t
# Сделать код PHP выглядящим как html
AddType application/x-httpd-php .html .htm
Эта форма безопасности для PHP через скрытие имеет мало недостатков при небольших затратах. Сами хакеры, описывая свои взломы, пишут что скачивают такое же ПО, что расположено на вашем сервере, с сайта разработчика и смотрят с какими по-умолчанию именами таблиц/ путями/ работает тот или иной движок. Общий смысл в нестандартности - это затянуть процесс взлома, чтобы у хакера "блицкриг" не получился, а чем больше он тянет, тем больше вероятность его обнаружения. - Уберите версии движков и скриптов на сайте. Это ценная информация, которой должен быть лишен атакер, зная версию они ищут готовые решения для взлома. Сделайте так, чтобы ваши скрипты при ошибках не выводили полезной информации, такой как: путь к скрипту, где случилась ошибка (проблема "раскрытие пути") и сам вывод ошибки.
- Подумайте о необходимости .htaccess. Наличие файлов .htaccess подразумевает, что можно отменить ваши опции заданные в основном конфиге Апача, поверьте, хакеры так и сделают. Если отменить использование .htaccess с помощью директивы "AllowOverride None", то вы получите выигрыш в производительности Апача, так как он не будет просматривать при каждом запросе все каталоги по пути к веб-страничке и повысите безопасность веб-сервера Апач.
- XSS (Cross Site Scripting).
Межсайтовый скриптинг называется именно XSS, а не CSS, так как CSS это ранняя аббревиатура означающая "каскадные таблицы стилей". Атаки XSS направлены не против сервера, а против пользователей данного сервера. Но радоватся админ не надо! Выглядит атака XSS следующим образом, на сайте есть редактируемые поля на web-странице или параметры скрипта, которые не фильтрируются на конструкции вида <, >, javascript. Хакер добавляет в редактируемые поля код на языке программирования установленный на стороне клиента, обычно это Java и VBScript, и этот код становится частью HTML страницы. Когда пользователь посещает такую страницу, его браузер, разбирая страницу, выполняет этот код.
Что делают хакеры, благодаря XSS?- Кража кукисов (cookie, плюшки) - в этих текстовых файликах хранится информация, которую сервер "положил" пользователю для его последущей идентификации. В примере, если вы создадите файл test.html с таким содержимым (напишите его руками сами), то при запуске в браузере, он выведет XSS.
А ведь можно написать скрипт на Java и посерьезнее . Обычно подобные скрипты пишут на web-почту админу и, используя социальную инженерию, пытаются заставить его прочесть сообщение, чтобы получить его кукисы. Если в кукисах нет привязки к IP адресу и дополнительных мер защиты, то подменяют свои кукисы на кукисы админа и пытаются попасть в админку, которая не проверяет логин и пароль и идентифицирует людей только по кукисам.Уважаемый админ у мя произошла ошибка при посещении сайта помогите - Дефейс сайта (deface - замена стартовой страницы сайта, чаще всего index.html)
- Троянизация удаленного пользователя. Подбираются свежие эксплойты для браузеров пользователей и при их заходе на уязвимую страницу, поисходит попытка заразить компьютер трояном. Если у пользователя установлен антивирус со свежими базами, то он укажет, на появление в системе троянера. И ваш сайт упадет в глазах пользователя, возможно он больше к вам не придет.
- DoS. При большом количестве посетителей, скрипт дополнительно будет затребовать еще другие страницы с вашего сервера или с другого, кому-то может быть DoS.
- Для блокировки записи html тегов в базу данных из полей ввода информации, применяйте конструкции подобные htmlspecialchars для PHP, которые заменят < на <, > на >, & на & и так далее
Пример,
$comment = htmlspecialchars($comment, ENT_QUOTES);
$query = "insert into guestbook
(name, location, email, url, comment) values
('$name', '$location', '$email', '$url', '$comment')";
mysql_query($query) or die (mysql_error());
- Проверяйте и фильтруйте в своих скриптах все параметры, которые вводит пользователь и передающиеся скрипту через адресную строку. Изучите как правильно применять регулярные выражения для разбора поступающих данных. Для своего языка программирования найдите материал, обучающий приемам безопасного программирования.
- Если вы хотите использовать технологию cookie на своем сайте, то ознакомьтесь с безопасными методами работы с кукисами. Ограничивайте их действия во времени и по IP адресам.
- Как админ будьте бдительны, когда вас разводят с помощью социальной инженерии. Не забывайте о личной компьютерной безопасности за своим клиентским компьютером.
- Кража кукисов (cookie, плюшки) - в этих текстовых файликах хранится информация, которую сервер "положил" пользователю для его последущей идентификации. В примере, если вы создадите файл test.html с таким содержимым (напишите его руками сами), то при запуске в браузере, он выведет XSS.
- SQL injection. SQL инъекция.
Эта болезнь обозначает, что непроверенный параметр подставляют в SQL запрос, фигурирующий в скрипте. Скрипты, болеющие SQL injection хакер находит простым способом, к значению параметра поставляется кавычка site.com/view.php?id=1' или числовой параметр видоизменяют так site.com/view.php?id=2-1. Если подставленная кавычка вызывает "ошибку" (куча сообщений что не выполняется такой-то запрос в таком то скрипте по такому пути), то такой скрипт кандидат на прокачку его далее. Часто злоумышленники пользуются Гугл-хак'ом, запрашивая поисковик примерно такими запросами "site:www.жертва.ru Warning". Поисковик Гугл выдаст некорректные скрипты на вашем сайте, настолько древние, что они были давно уже проиндексированы пауком Гугла. Код, не проверяющий значение и страдающий SQL injection
$id = $_REQUEST['id'];
$result = mysql_query("SELECT title, text, datenews, author FROM `news` WHERE `id`='$id'");
Теперь представьте что вместо числа, вам подставят "-1 union select null/*" (без кавычек) и тогда ваш запрос превратится
SELECT title, text, datenews, author FROM `news` WHERE `id`='-1 union select null/*'
То есть, хакер хочет, чтобы помимо вашего запроса выполнился его запрос, объединеный с вашим с помощью директивы union. А дальше хакер будет пытаться составлять другие запросы и, учитывая мощь языка SQL, ничего хорошего это админу не сулит. От дефейса (deface - замена стартовой страницы сайта) до получения прав root на вашем сервере. Хакер так же может провести DoS атаку благодаря SQL injection: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) пара таких запросов и сервер в 100% загрузке процессора надолго.
Защита от SQL инъекции:
- Активно используйте такие средства серверов SQL как представления (view) и хранимые процедуры. Это позволит ограничить несанкцианированный доступ к базе данных.
- Перед тем как передавать в запрос параметр, его нужно проверить на тип (для PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() и is_integer()) и, минимум, закавычить с помощью конструкции типа addslashes для PHP.
- Проверяйте и фильтруйте в своих скриптах все параметры, которые вводит пользователь и передающиеся скрипту через адресную строку. Для своего языка программирования найдите материал, обучающий приемам безопасного программирования.
- Все скрипты работают с базой данных от какой-нибудь учетной записью базы данных, уберите у этой учетной записи все привилегии, которые не нужны для работы. Часто хакеры используют команду MySQL (MySQL взят для примера, это касается любого SQL сервера) "LOAD DATA INFILE" для чтения нужных им файлов с сервера и доступных для чтения учетной записи, от которой работает MySQL. Отсюда вывод, отключайте ненужные привилегии для ваших скриптов, такие как FILE, которые нужны для применения команды LOAD DATA INFILE. Принцип "основного минимума" должен быть взят за основу.
- Системная учетная запись, от которой работает SQL сервер, не должна иметь доступ к страницам сайта и системным файлам сервера.
- Подключение файлов. Include file. Допустим есть страница site.com/getnews.php?file=190607, но автор скрипта, используя include, подключает страницу, без проверок.
$file = $_REQUEST['file'];
include($file.'.html');
Защита от подключений файлов:
- Проверяйте и фильтруйте в своих скриптах все параметры, которые вводит пользователь и передающиеся скрипту через адресную строку. Для своего языка программирования найдите материал, обучающий приемам безопасного программирования.
- Хакерам очень нравится, когда язык программирования на сайте позволяет запускать системные команды. Следовательно, нужно запретить вызов таких функций в вашем языке программирования, если, конечно, это возможно. Например, в настройках PHP есть возможность указать список "запрещенных" функций с помощью disable_functions в php.ini.
- Троянская картинка
Если у вас есть на сайте возможность заливать файлы на сервер, будьте готовы к заливке, например, картинки аватары. В картинке в формате JPEG есть понятие метаданные (вспомните куда фотоаппрат записывает информацию при съемке кадра) и в эти метаданные запишут
";passthru($_GET['cmd']);echo ""; ?>
Защита от трояна:
- Корректно проверяйте расширение файлов. Даже если вы корректно обрабатываете разрешенные файлы, будьте готовы, что картинку из jpg в php, переименуют с помощью другой уязвимости на вашем сайте. Проверяйте наличие в картинке метаданных с помощью функций подобных exif_read_data() в PHP.
- Запретите средствами своего веб-сервера выполнение языков программирования в каталогах с изображениями. Для этого, просмотрите в конфигах Апача строчки вида "AddType application/x-httpd-", которые связывают языки программирования с расширениями файлов и запретите их выполнение в каталогах с изображениями. Для Apache запрещение выполнение файлов языка PHP будет конструкция
Order deny, allow
Deny from all
- Для своего языка программирования найдите материал, обучающий приемам безопасного программирования при обработке изображений и корректной заливки их на сервер.
- друг Александр Пупышев ака lynx за критику и советы
- сайт antichat.ru/
- сайт xakep.ru/
- книга Майкл Эбен, Брайан Таймэн. FreeBSD Администрирование: исскуство достижения равновесия
- книга Джоел Скембрей, Стюарт Мак-Клар, Джордж Курц. Секреты хакеров: Безопасность сетей - готовые решения. Второе издание
- Страница справочного руководства в FreeBSD man security содержит описание общих проблем защиты и правильной практики администрирования.
- Подпишитесь на списки рассылки freebsd-security@freebsd.org. Для этого пошлите письмо по адресу majordomo@freebsd.org с текстом subscribe freebsd-security в теле сообщения. Именно в этом списке рассылке обсуждается наиболее актуальные проблемы защиты.
- Страница информации о защите FreeBSD http://www.freebsd.org/security/
- Документ FreeBSD Security How-To http://people.freebsd.org/~jkb/howto.html
- Сайт CERT (http://www.cert.org/) содержит информацию об уязвимых местах в защите всех операционных систем.
- Книга "Брандмауэры и защита в Internet" (Firewalls & Internet Security) Уильям Чесвик (William R. Cheswick) и Стивен Беллоуин (Steven M. Bellowin)
- Книга "Построение брандмауэров в Internet" (Building Internet Firewalls, 2nd Edition) Брент Чэпмен (Brent Chapman) и Элизабет Цвики (Elizabeth Zwicky)
Я надеюсь, статья помогла вам увидеть все проблемы вместе, теперь админ нужно прочесть о компьютерной безопасности, баз данных, веб серверов, языков программирования из дополнительных источников. Резюмируя кратко статью, нужно быть в курсе новостей о выходе проблем с безопасностью, обновлятся и проверять в своих наработках все входные данные на корректность.
Да прибудет с вами сила!
Источник
воскресенье, 3 июля 2011 г.
Графические оболочки Linux
Графические оболочки Linux бывают разные, как их хозяева. Одни очень красивы, но ресурсоемкие. Другие непритязательны, но шустры и экономны.
Отличия:
и эффективное использование системных ресурсов. Изначально AfterStep был вариантом FVWM, который воспроизводил графический интерфейс
операционной системы NeXTSTEP, но с ходом разработки отдалился от своих корней. AfterStep включает в себя несколько модулей, таких как:
Pager - визуальный инструмент для управления и перемещения между несколькими рабочими столами
WinList - простая панель задач, отображающая активные приложения
Wharf - инструмент управления запуском приложений, панелью, содержащей наиболее часто используемые приложения и апплетами.
AfterStep поддерживает виртуальные экраны. Настройка внешнего вида производится при помощи набора текстовых файлов конфигурации.
Построена на основе кросс-платформенного инструментария разработки пользовательского интерфейса Qt. В состав входит оконный менеджер XPwm.
По замыслу разработчиков, их оконный менеджер должен облегчить пользователям Windows переход на Linux. XPde написан на Kylix.
для исследователей HCI (HCI - интерфейс "человек-компьютер"). Во-вторых она должна соответствовать существующим стандартам и быть достаточно
эффективной для ежедневного использования, делая ее подходящей платформой для оценки предложенных технологий.Metisse не фокусируется на
особенных видах взаимодействия (например 3D) и не должна рассматриваться как предложение нового рабочего стола. Это в большей степени инструмент
для создания новых типов окружения рабочих столов.
выпущен на условиях лицензии GNU LGPL. Цель проекта - создание рабочей среды с удобным и быстрым интуитивным интерфейсом с широкими возможностями для настройки пользователем. В частности, все функции
графического интерфейса доступны при использовании только клавиатуры. В то же время в число задач входила максимальная <лёгкость> IceWM в плане потребляемых ресурсов компьютера - памяти и процессора.
основан на VUE (Visual User Environment) от HP. Примерно до 2000 года CDE была промышленным стандартом для UNIX систем, но свободные оболочки
для рабочего стола, такие как KDE и GNOME, быстро становились всё более удобными и стали стандартом для многих Linux платформ, которые на этот период уже имели больше пользователей, чем большинство UNIX систем.
Unity
Unity — свободная оболочка для среды рабочего стола GNOME, разрабатываемая компанией Canonical для операционной системы Ubuntu. Она позволяет более эффективно использовать маленькие экраны нетбуков, благодаря, например, вертикальной панели для переключения между запущенными программами. Изначально, в качестве оконного менеджера использовался Metacity, который затем был заменён на Compiz, в настоящее время используется Mutter. Начиная с Ubuntu 11.04, Canonical заменил стандартную оболочку GNOME на Unity. Все стандартные приложения по-прежнему были взяты из GNOME. |
Equinox Desktop Environment
Equinox Desktop Environment (EDE) — свободная среда рабочего стола для UNIX-подобных операционных систем, отличается своей компактностью, быстротой, лёгкостью и простотой. |
IRIX Interactive Desktop
IRIX Interactive Desktop (изначально Indigo Magic) — среда рабочего стола по умолчанию на рабочих станциях Silicon Graphics с операционной системой IRIX. IRIX Interactive Desktop использует Motif поверх X Window System. По умолчанию оконным менеджером является 4Dwm. |
OpenWindows
OpenWindows — оконная среда для рабочих станций Sun Microsystems, которая поддерживала протоколы SunView, NeWS и X Window System. OpenWindows включалась в поздние версии операционной системы SunOS и Solaris до тех пор, пока не была заменена на CDE и GNOME 2.0 в Solaris 9. Оконная среда OpenWindows отвечала спецификации OPEN LOOK. |
Ambient desktop
Ambient — свободная среда рабочего стола предназначенная для операционной системы MorphOS. Создана при помощи MUI. Отличительной особенностью является простота, быстродействие и удобство работы. |
ROX Desktop
ROX Desktop — свободная среда рабочего стола для UNIX-совместимых операционных систем, которая базируется на файловом менеджере ROX-Filer. Название ROX происходит от RISC OS на X Window System. |
Gnome
Достоинства Gnome (GNU Network Object Model Environment):- Gnome официальный Рабочий Стол фирм IBM, HP, Sun
- Gnome официальный Рабочий Стол в государственных учереждениях штата Висконсинг в США, Северная область Испании - Экстремадура, Китай.
- Поддерживает 114 языков
- Легок в использование, легок в изучении
- Распространяется под лицензией GPL
- Дополнительные опции для людей с ограничеными возможностями
 |  |  |
KDE
Достоинства KDE:- Прекрасный современный рабочий стол
- Рабочий стол, полностью прозрачный для работы в сети
- Интегрированная система помощи, обеспечивающая удобный и согласованный доступ к системе помощи по использованию рабочего стола KDE и его приложений
- Единообразный внешний вид и управление во всех приложениях KDE
- Стандартизованные меню и панели инструментов, комбинации клавиш, цветовые схемы и так далее
- Интернационализация: в KDE поддерживается более 40 языков
- Централизованное единообразное конфигурирование рабочего стола в диалоговом режиме
- Большее количество полезных приложений для KDE
 |  |  |
 |  |  |
 |  |  |
Fluxbox
Достоинства Fluxbox:- колесо мышки меняет Рабочие Столы (Workspace)
- конфигурируемый TitleBar
- IconBar (для свернутых окон)
- поддержка KDE
- свой интегрированный keygrabber
- частичная поддержка GNOME
- расширенная поддержка Window Manager Hints
- конфигурируемые закладки Окон
 |  |  |
 |  |  |
Enlightenment
 |  |  |
xd640
XD640 простой графический рабочий стол для X-Window. Создан быть легким и быстрым для медленных компьютеров (i486 66MHz 16MB) и маленьких экранов (640x480).
Metacity
Достоинства Metacity:- Написан на GTK+ 2.x и отлично интегрирован с GNOME
- поддержка тем
 |  |
Amiwm
Достоинства AmiWM:- Для ценителей Amiga эмуляция работы в Amiga's Workbench
- Поддержка множества экранов
 |  |  |
XFce
XFce является графической оболочкой, построенной на основе инструментального пакета GTK+, используемого в Gnome, но гораздо легче и предназначен для тех, кому нужен простой, эффективно работающий стол, который легко использовать и настраивать. Вот некоторые из достоинств XFce:- Простой, легкий в обращении рабочий стол
- Полностью настраиваемый при помощи мыши, с интерфейсом "drag and drop"
- Главная панель похожа на CDE, с меню, апплетами и возможностями по быстрому запуску приложений
- Интегрированный оконный менеджер, менеджер файлов, управление звуком, модуль совместимости с Gnome и прочее
- Стандартизованные меню и панели инструментов, комбинации клавиш, цветовые схемы и так далее
- Возможность использования тем (так как использует GTK+)
- Быстрый, легкий и эффективный: идеален для устаревших/слабых машин или машин с ограниченной памятью
 |  |  |
 |  |  |
 |  |
WindowMaker
Основные фишки:- Поддержка национальных языков через I18N
- Все изменения применяются сразу без перезагрузки Оконного Менеджера
- Встроенная графическая утилита конфигурирования настроек
 |  |  |
Athene
По образу этого рабочего стола была разработана система управления MS Windows.Отличия:
- Оптимизирован под процессоры Intel Pentium
- Используется графическая технология SNAP от SciTech Software вместо X-Window
- Графика быстрее на 17% чем MS Windows и на 25% быстрее X-Window
- Обратная совместимость с X-Window приложениями
- Быстрая загрузка - между 5 и 15 секундами на современном оборудовании
- Редактируемый интерфейс, основанный на XML
- Plug and Play Hardware Support
- Локализация: полная поддержка Unicode
- Гибкая независимая от ОС архитектура
 |  |  |
 |  |
Sawfish
Отличия:- Основан на скрипт-языке LISP
- Темы и оформление используют GTK+
 |  |  |
 |
D3d
 |  |
AfterStep
AfterStep - менеджер окон для X Window System, во время разработки которого была предусмотрена гибкость настройки рабочего стола, улучшенный внешний види эффективное использование системных ресурсов. Изначально AfterStep был вариантом FVWM, который воспроизводил графический интерфейс
операционной системы NeXTSTEP, но с ходом разработки отдалился от своих корней. AfterStep включает в себя несколько модулей, таких как:
Pager - визуальный инструмент для управления и перемещения между несколькими рабочими столами
WinList - простая панель задач, отображающая активные приложения
Wharf - инструмент управления запуском приложений, панелью, содержащей наиболее часто используемые приложения и апплетами.
AfterStep поддерживает виртуальные экраны. Настройка внешнего вида производится при помощи набора текстовых файлов конфигурации.
 |  |  |
fvwm, mwm, twm
 |  |  |
 |  |  |
 |
XPde
XPde - проект, цель которого создание похожего внешне на Windows XP рабочего стола. XPde (XP Desktop Environment) - свободная среда рабочего стола, напоминающая по виду Windows XP.Построена на основе кросс-платформенного инструментария разработки пользовательского интерфейса Qt. В состав входит оконный менеджер XPwm.
По замыслу разработчиков, их оконный менеджер должен облегчить пользователям Windows переход на Linux. XPde написан на Kylix.
 |  |  |
Metisse
Metisse это основанная на X оконная система, разработанная с двумя целями. Во-первых, она должна облегчить разработку и внедрение инновационных технологий управления окнамидля исследователей HCI (HCI - интерфейс "человек-компьютер"). Во-вторых она должна соответствовать существующим стандартам и быть достаточно
эффективной для ежедневного использования, делая ее подходящей платформой для оценки предложенных технологий.Metisse не фокусируется на
особенных видах взаимодействия (например 3D) и не должна рассматриваться как предложение нового рабочего стола. Это в большей степени инструмент
для создания новых типов окружения рабочих столов.
 |  |
IceWM
IceWM - менеджер окон для X Window System в Unix-подобных операционных системах. Разработка IceWM началась с нуля в 1997-ом году, проект написан целиком на C++ ивыпущен на условиях лицензии GNU LGPL. Цель проекта - создание рабочей среды с удобным и быстрым интуитивным интерфейсом с широкими возможностями для настройки пользователем. В частности, все функции
графического интерфейса доступны при использовании только клавиатуры. В то же время в число задач входила максимальная <лёгкость> IceWM в плане потребляемых ресурсов компьютера - памяти и процессора.
 |  |
CDE
Common Desktop Environment (CDE) - проприетарная среда рабочего стола, основанная на Motif, для UNIX, HP OpenVMS. CDE разработана в The Open Group совместно с Hewlett-Packard, IBM, Novell и Sun Microsystems иоснован на VUE (Visual User Environment) от HP. Примерно до 2000 года CDE была промышленным стандартом для UNIX систем, но свободные оболочки
для рабочего стола, такие как KDE и GNOME, быстро становились всё более удобными и стали стандартом для многих Linux платформ, которые на этот период уже имели больше пользователей, чем большинство UNIX систем.
 |  |  |
Подписаться на:
Сообщения (Atom)