среда, 31 октября 2012 г.

Баг PHP CGI

Критическая уязвимость PHP выполняемого в режиме CGI


На днях ко мне обратился один знакомый с просьбой посмотреть на то, что происходит у него на сайте. А точнее, как раз таки на сайте у него и ничего не происходило, т. е. полный штиль.

А интуиция мне подсказывала, что это может быть затишье перед бурей)
Я послал команду пинг на сервер, и она вернула мне (правильный ответ:)

Команда же traceroute захлебнулась на последнем прыжке, продолжая анализировать, не сосем адекватное поведение веб сервера, я решил обратиться к утилите w3m.

суббота, 27 октября 2012 г.

Как защитить свой сайт от взлома

«Самое опасное в войне — это недооценить противника и ус=покоиться... ...ё-о??!»
Воз=можно Ленин.

Как защитить свой сайт или реальный пример взлома сайта

Когда веб разработчик начинает создавать свой интернет проект, то первый вопрос на который он должен ответить, это:
Как меры необходимо предпринять для защиты сайта от взлома?



В последнее время, мне уже как-то скучновато становилось жить. Прихожу домой на обед, строго руководствуясь интуицией включаю компьютер, хочу зайти на свой сайт, но... немогу!

Жму Ctrl+R в Windows это быстрый вызов аналога консоли для выполнения команды.
Первым делом, естественно ввожу команду ping -t сайт.ру, но к моему удивлению, она возвращает мне более чем радужные результаты, команда tracert тоже бодрит и обнадеживает.

После этого делаю ftp подключение к хосту на котором расположен сайт, смотрю лог, и что я там вижу:
[23-Oct-2012 12:55:35] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /home/сайт.ru/WWW/injsys.inc.php on line 5
[23-Oct-2012 12:56:30] PHP Deprecated:  Function set_magic_quotes_runtime() is deprecated in /home/bestcatalog.hut4.ru/WWW/inc_system.inc.php on line 3
[23-Oct-2012 12:58:38] PHP Warning:  file(/.htaccess) [function.file]: failed to open stream: No such file or directory in php://input on line 1
[23-Oct-2012 13:01:38] ПХП Опасно: сижу в корневом каталоге своего хоста /home/сайт.ru/WWW/ редактирую шелл injsys.inc.php  А_КАКИЕ_СТРОКИ?=(да_все:)
Да это взлом --подумал я, но ip адреса тех веселых ребят, я естественно палить не буду, скажу только, что у каждого из них стоит NGINX на localhost, который примитивно пытается шифрануться под Апач.

А между тем в корневом каталоге своего сайта я обнаружил шелл inc_system.inc.php и (так уж получилось, что)  не очень долго думая, я его немного видоизменил.

Потом очистил .htaccess от ненужных инструкций web серверу, которые и блокировали веб-приложение.
Продолжая анализировать логи веб-сервера я обнаружен, что был взломан именно PHP сценарий catalog.php Времени оставалось мало (обед, уж подходил к концу:) поэтому я быстро поставил бан взломщику, и заблокировал скрипт каталога сайтов.

Вы знаете, мне меньше всего хочется нагружать Вас (моих читателей) технической стороной вопроса, так, как понимаю, что далеко не каждому интересны подробности, по прошествии определенного (правда пока не знаю, кем именно определенного) времени я обязательно их опубликую, и опишу все очень подробно.

В общем мой белый каталог сайтов честно отработал пол-года, даже начал пользоваться хорошей популярностью у спамеров.

Возможно это даже и к лучшему? :)

Во всяком случае я получил положительный (а он разве может быть отрицательным?) опыт!

Ведь когда я писал каталог, то даже и не мог предположить, что кому-то понадобится его взламывать. Это был мой двух недельный отпуск, в котором я и решил по быстрому разработать и опубликовать свой личный персональный сайт.
Хостинг соответственно выбрал бесплатный, т. к. наполнение контентом происходит чисто эпизодически.

Ну, а теперь благодаря подобному явлению я буду более внимателен к безопасности своих скриптов, и основной акцент сделаю именно на отсутствие возможностей взлома.


А[д]минь.

P.S. Причиной взлома сайта стала не ошибка в PHP скриптах, как мне казалось ранее, а банальная серверная уязвимость заключающаяся в подключении PHP в режиме CGI, бага уже давно известная, и практически на 99% веб серверов уже обновленная.

среда, 24 октября 2012 г.

Как заработать в интернете, советы начинающим блоггерам

Так, как же заработать в сети интернет и раскрутить свой блог одновременно?     
Существует огромное количество методов, позволяющих зарабатывать в интернете. 
Для веб-мастера горизонты более, чем радужные, а для простого (начинающего) пользователя?
Да! Тоже есть такие возможности, вот сегодня я и хочу рассказать о одной из их.

Участвуйте в конкурсах!!!        


Для начинающего блоггера участие в конкурсах, это не только возможность в первую очередь засветить=ся в определенных кругах, но и повод заработать немного лаванды!
А, что собственно для этого нужно?
Да самая малость! (причем капитало=вложения не нужны совсем:)

воскресенье, 21 октября 2012 г.

Как прокачать форму комментариев на платформе Blogger

Так, как же улучшить форму отправки комментариев на blogspot.com
  И все бы - ничего, но сегодня утром решил я ответить одному комментатору используя тег <Strike>  если, кто не знает это простое перечеркивание, а форма комментариев мне вернула:

Ваш код HTML не может быть принят: Недопустимый тег: STRIKE
Ды ладно подумал я, и принялся гуглить на заданную тему))

,

Все, кто когда-либо имел свой блог на blogspot.com знают, что стандартная форма комментариев на платформе Blogger, довольно проста по функциональности и внешнему виду. Оказывается можно значительно расширить функциональность формы комментариев с помощью скрипта NCcode. Который и добавит новые возможности при добавление комментариев.
По умолчанию, комментарии Blogger поддерживают вставку нескольких тегов: <b>, <i>, <a> Но мы то Веб-Мастера народ творческий и не можем позволить нашим читателям заключать себя в такие рамки ограниченного=функционала.
И вот оказывается существует такой скрипт NCcode.
С его помощью можно добавлять в комменты Blogger специальные коды. Вообщем скрипт крутой))
Как установить скрипт NCcode на blogspot? Да очень просто:

Заправка картриджей в Орле

Заправка картриджей или мой тернистый путь проб и ошибок.

Я помню еще те времена, когда заправка картриджей входила в мои (основные:) обязанности. Я внимательно отслеживал каждое свое действие производимое над картриджем, и фиксировал результаты. При решении сложных задач иногда приходилось погуглить (как следует), наградой же за труды мои -- всегда был положительный результат. Я же внутри себя чувствовал движение позитивной динамики)


Да, уж действительно: не делай сам, доверь ДЕДА профессионалам.
А профессионалов у нас в Орле = полно. Особенно в этом убеждаешся когда тебе приносят (абсолютно полный:) картридж и просят его заправить. Внимательно осматриваешь картридж находишь на нем лейбы других компаний, и записываешь в свой листок. Потом идешь в офис и делаешь тестовую копию, а там: ЖЕСТЬ!!!

среда, 17 октября 2012 г.

Вирус заблокировал страницу вконтакте и однокласниках


Вирус Trojan.Hosts говорит: Вы пытаетесь зайти из необычного места. Как вирус может заблокировать доступ к сайтам (вконтакте, одноклассники)

Что-то "везет" мне в последнее время с вирусней.
Как только все эти вирусы трояны, просачиваются на мой компьютер?
Ответ простой:
На двух компьютерах у меня дома стоит Windows XP.
И иногда мне приходиться загружаться именно в эту ОСь, ну там по ряду причин, антивирусы естественно стоят, как говориться Free, а на одном еще и без файрвола.
И вот пошла уже такая тенденция, второй раз я поймал троян просматривая (внешне) безобидный сайт о восстановлении Windows (на этот раз) в прошлый раз смотрел сети и поймал Winlock.
Я конечно понимаю, что XP-юшка дырявая, как решето, но совесть тоже нужно иметь?!
  
Как вирусы могут блокировать доступ к сайтам
 
Так вот решил я в очередной раз обновить страницу вконтакте, а он (Дуров?) и пишет мне:
Вы мол заходите с подозрительного адреса, оставьте номер телефона => потом они пришлют мне СМС => (или я им, уже не помню:) для подтверждения и уже я им отправлю код?

                                                       

Весело получается! Одно стоит || Другое, блин качается().

пятница, 12 октября 2012 г.

Таблэтка Щастья Купить, Продам, Почем?

 Это, как выглядит (или могло бы выглядеть) - Счастье глазами ДЗЕН.

Ну, типо у меня уже все есть, не знаю, только, как все это съесть!

Что бы по жизни не болеть - умей себя преодолеть!
Зачем? Зачэм?? Вам это на=до! 
Очередной раз я поймал себя на мысли, оглядываясь по сторонам спортзала, в котором группа добра-желателей практиковала Син-и-Цуань.
А Вы когда нибудь стояли в позиции "орудие, сокрушающее горы" полчаса? Это когда тело тебя уже не слушает, а голова пытается объяснить, что ты псих. А ты стоишь упертый, как баран в ожидании чуда. И все, что можно сделать в данной ситуации -> расслабиться, и победить собственное Эго. И вот в какой-то из моментов происходит, плавный переход, а именно Инь переходит в Ян. Именно в этот момент и происходит наполнение Щастьем. Когда ты всем своим (орга-меха-низмом:) осознаешь, что в очередной раз победил (темную часть) себя! Инь по китайски:) А ведь я же, на тот момент, даже и не знал, что Син-и-Цуань переводится, как воля, идущая из сердца)

понедельник, 8 октября 2012 г.

Постовой на перекрестке, или методы GET и POST в PHP

Так, кто-же он тот самый постовой?
От куда черпает начало этот поставой?
Есть такой метод передачи данных --POST.
И служит он для передачи данных на сервер. При использовании этого метода данные, передаются в теле запроса, (ну это-то, что после:) заголовков. В свою очередь для обработки этих данных используются языки веб программирования ПХП, Perl и другие. И его основное отличие от второго метода GET заключается в том, что он может передавать большие объемы информации, в отличии от некоторых (типа GET:), который не смотря на свое обыкновение палит передаваемые параметры в строке URL, (что уже не есть хорошо!) да еще и длинна URL все-таки ограничена. От туда-то как говорится все и начиналось. Более подробную информацию о методах POST и GET используемых в PHP, а так же способох взлома и эксплуатации уязвимости оных, можно узнать здесь: http://master-it.biz/methods-post-get-post-php.html
На самом деле существенных отличий между этими двумя методами передачи данных нет.
За исключением того, что при передаче данных методом Get, передаваемые параметры видны в строке Url, и злоумышленник может их легко подделать.