Пример того, как сервер под управлением *nix может стать частью ботнета

марта 2, 2013 No comments

В последнее время на различных ресурсах появляются сообщения о том, что злоумышленники все чаще используют для осуществления DDoS-атак серверные конфигурации. Очевидно, что для использования такой системы необходимо сначала получить к ней доступ. Не так давно я столкнулся с довольно интересным, как мне показалось, образцом PHP Shell’а.

Читать продолжение моего поста на Хабрахабр

Установка pastebin: организовываем свой nopaste сервис

августа 28, 2011 2 comments

В настоящее время среди многих пользователей стали очень популярны различные сервисы nopaste: pastebin.com, paste.ubuntu.com, pastebin.mozilla-russia.org и т. д. Основным недостатком публиных сервисов такого рода является фактическое отсутствие контроля за опубликованной информацией, которая часто носит конфиденциальный характер. Решить данную проблему можно путем организации своего сервиса публикации фрагментов текста.
Исходный код веб-приложения, используемого на pastebin.com, распространяется под лицензией GPL и доступен для загрузки тут (зеркало). Также существует русифицированная версия (зеркало), используемая на  pastebin.mozilla-russia.org – на ней я и остановил свой выбор.
В качестве веб-сервера традиционно использую Lighttpd, с учетом специфики работы которого и будет описываться установка pastebin. Читать дальше..

Безопасность систем мгновенного обмена сообщениями на базе протокола XMPP: настоящее и будущее

апреля 23, 2011 No comments

Все чаще многие используют решения на основе протокола XMPP (Jabber) для мгновенного обмена сообщениями, в той или иной степени отказываясь от ICQ. Данный подход, безусловно, является правильным ввиду открытости Jabber – каждый может выбрать какой сервер ему использовать или же вовсе организовать работу своего собственного. Также протокол XMPP прекрасно себя зарекомендовал в корпоративной среде и многие компании уже несколько лет успешно используют Jabber наравне с электронной почтой для обмена информацией.
Принято считать, что коммуникационные решения на базе протокола Jabber являются наименее уязвимыми с точки зрения информационной безопасности. В данной статье я постараюсь проанализировать так ли это на самом деле и какие реальные перспективы имеет протокол XMPP в этом направлении. Вопрос будет рассмотрен в контексте использования протокола для обмена сообщениями как в личных целях на публичных и частных сервисах, так и в корпоративных условиях.
Читать продолжение моей статьи на Хабрахабр

Интеграция CMS Joomla и Ejabberd

апреля 17, 2011 4 comments

Актуальный мануал по интеграции CMS Joomla и Ejabberd читать на Хабрахабр.

Categories: Мануалы, Софт Tags: ,

Используем Dropbox для синхронизации и резервного копирования

февраля 24, 2011 1 comment

Каждый из нас делится на две категории: кто не делает резервные копии и кто их уже делает. Наверняка у каждого из Вас бывали случаи, когда аккурат в какой-нибудь не очень удобный момент что-то случалось с жестким диском компьюетра или пропадала флешка.
Меня однажды очень сильно впечатлила история о том, как у одного студента за несколько недель до защиты диплома отказал жесткий диск и ему пришлось восстанавливать результаты своей работы используя черновые распечатки. С тех пор я еженедельно делаю полные резервные копии своих документов и почты на внешний жесткий диск. Однако, бывают данные, которые необходимо синхронизировать периодически с другим устройством (стационарным компьютером, ноутбуком, коммуникатором и т.д.) или делать их резервные копии гораздо чаще. В таких случаях на помощь может придти облачный сервис для хренения и синхронизации данных Dropbox. Читать дальше..

Установка Mantis Bug Tracker

февраля 15, 2011 No comments

Некоторое время назад я столкнулся с задачей организовать систему отслеживания ошибок (Bug tracker). Существует огромное количество готовых решений с различными требованиями как по системным ресурсам, так и необходимому для их нормальной работы софту.
Мой выбор пал на свободную систему отслеживания ошибок MantisBT, поскольку она наиболее проста в установке и является очень функциональной. Для работы MantisBT необходим установленный веб-сервер в связке с PHP и MySQL (я традиционно использую Lighttpd+PHP+MySQL, хотя эта система прекрасно работает с другими веб-серверами).
Итак, приступим к установке. Читать дальше..

Установка phpMyAdmin из исходных кодов

января 7, 2011 3 comments

Очень многих интересует процесс инсталляции phpMyAdmin именно из исходников. Существует как минимум две основных причины, по которым гораздо удобнее устанавливать данное web-приложение именно из исходников:
1.При установке через систему пакетов во многих дистрибутивах операционной системы Linux вместе с phpMyAdmin устанавливается еще и web-сервер Apache, который на настоящий момент используется не у всех;
2. В PHPMyAdmin довольно часто обнаруживаются различного рода уязвимости, а обновления данного пакета в репозитории некоторых дистрибутивов поступают не очень оперативно.
Для установки phpMyAdmin из исходных кодов нам потребуется установленный web-сервер с PHP и MySQL.
Самую свежую версию phpMyAdmin можно найти на официальном сайте, куда и направимся. Я рекомендую устанавливать релизные версии, поскольку у бета-версии могут оказаться нестабильными, а это не очень хорошо может сказаться на работе сервера в целом.
Извлекаем из архива скрипиты phpMyAdmin и помещаем их в директорию web-сервера (/var/www/ по умолчанию). При этом я советую для удобства переименовать директорию со скриптами во что-нибудь более простое, например в phpmyadmin.
Скопируем конфиг cp /var/www/phpmyadmin/config.sample.inc.php /var/www/phpmyadmin/config.inc.php и немного отредактируем его, прописав секретную фразу в секцию
$cfg['blowfish_secret'] = 'секретная_фраза';
Далее заходим по URL http://имя_Вашего_хоста/phpmyadmin и видим форму входа в web-приложение. Для авторизации необходимо ввести имя пользователя базы данных MySQL.

Примечание.
После установки phpMyAdmin может сообщать об отсутствующем расширении mcrypt. Если у Вас Debian или Ubuntu, то данное расширение просто установить следующей командой:
apt-get install php5-mcrypt

Ejabberd 2.1.6: осторожно, mod_privacy!

января 6, 2011 No comments

Некоторое время назад решили обновить на своем сервере Ejabberd до версии 2.1.6. Все прошло довольно безболезненно, за исключением одного не очень приятного момента.
Многие пользователи Jabber используют списки приватности для работы в режиме невидимости (подробнее о списках приватности очень хорошо написано тут) и часто запрещают iq-запросы. На этом этапе начиная с версии 2.1.6 могут возникнуть проблемы:
1. Если добавить правило, запрещающее все исходящие запросы и не поместить свой JID в исключения, то подключить учетную запись будет невозможно;
2. Если добавить правило для какого-либо JID на запрет iq-запросов и не поместить свой JID в исключения, то работать со списками приватности будет невозможно.
Помочь пользователю в этих случаях можно дективировав все списки приватности для его аккаунта. В случае, если списки приватности хранятся в Mnesia, то для пользователя user@domain.tld:
{privacy,{"user","domain.tld"},
"blocked",
...

где "blocked"– активированный список. Для деактивации всех списков приватности пользователя необходимо прописать none вместо активированного списка:
{privacy,{"user","domain.tld"},
none,
...

Данное поведение Ejabberd не является ошибочным и связано с очередным исправлением. Данную особенность новой версии следует иметь ввиду и быть готовому к обращениям пользователей с описанными выше проблемами.

P.S. Огромное Спасибо за тестирование и обнаружение этой особенности Children of koRn.

Обзор A4Tech GLS-1630

января 5, 2011 No comments

Здравствуйте, Дорогие читатели! Поздравляю Вас с Новым 2011 Годом!
Сегодня я публикую обзор, который мне любезно предоставил мой хороший друг Manul32. Речь пойдет о беспроводном комплекте A4Tech GLS-1630.
Пару недель назад мне дико захотелось отвечать на сообщения и сёрфить не вставая с кровати. Для начала были определены критерии будущему набору:
1.Цена минимальна. Набор должен быть не основным, а скорее мультимедийным;
2.Радиус действия. Возможность переключать музыку из другого места;
3.Тип батареек предпочтителен 1xAA, просто есть аккумуляторы.
После недолгих скитаний по магазинам выбор пал на 2 набора A4Tech GL-5300 и собственно A4Tech GLS-1630. В первом оказалась совсем маленькая мышь, и она питается от 2хААА, так что приобрёл второй. Читать дальше..

Утилита для работы со скриншотами Photofile Clip Client

ноября 25, 2010 No comments

Не так давно состоялся релиз утилиты Photofile Clip Client от разработчиков проекта PHOTOFILE.RU, которая позволяет быстро создать скриншот заданной области экрана и сразу загрузить получившийся снимок на фотохостинг, либо сохранить его на локальном жестком диске и передать любым другим удобным способом. В программе ведется история загрузок на сервер, при необходимости всегда можно открыть загруженную картинку. Немаловажен тот факт, что в публичном доступе нет списка загруженных файлов и никто кроме Вас не сможет увидеть полный список опубликованных изображений.

Читать полностью на habrahabr.ru

Потребление памяти: 3.53MB