❗️ Уязвимость в Wordpress.
Камрады, тут в Wordpress обнаружилась очередная проблема, которая вполне сойдёт за уязвимость, позволяющую парализовать работу сайта, а в нужных руках натворить куда больше проблем.
Если кратко - то к скрипту wp-admin/load-scripts.php можно сформировать специальный запрос, который вернёт ответом большое количество данных. Можно взять какой-нибудь doser.py скрипт и сгенерировать большое количество обращений им, и этого уже будет достаточно что бы положить ресурс на лопатки, если на сервере не настроены лимиты. А можно пойти чуть дальше и начать подменять IP...
Подробности о произошедшем можно прочитать здесь:
https://goo.gl/epYnMj
Разработчики WP на данный момент не сочли проблему серьёзной, судя по всему, так что нашедший уязвимость Barak Tawily сделал форк WP, где поправил проблему так, как счёл правильным, плюс, подготовил BASH скрипт, который патчит текущую установку CMS. Спешить ставить этот патч не стоит, возможно таки разработчики отреагируют на проблему, но о его существовании будьте в курсе:
https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh
#wordpress #security #dos
Камрады, тут в Wordpress обнаружилась очередная проблема, которая вполне сойдёт за уязвимость, позволяющую парализовать работу сайта, а в нужных руках натворить куда больше проблем.
Если кратко - то к скрипту wp-admin/load-scripts.php можно сформировать специальный запрос, который вернёт ответом большое количество данных. Можно взять какой-нибудь doser.py скрипт и сгенерировать большое количество обращений им, и этого уже будет достаточно что бы положить ресурс на лопатки, если на сервере не настроены лимиты. А можно пойти чуть дальше и начать подменять IP...
Подробности о произошедшем можно прочитать здесь:
https://goo.gl/epYnMj
Разработчики WP на данный момент не сочли проблему серьёзной, судя по всему, так что нашедший уязвимость Barak Tawily сделал форк WP, где поправил проблему так, как счёл правильным, плюс, подготовил BASH скрипт, который патчит текущую установку CMS. Спешить ставить этот патч не стоит, возможно таки разработчики отреагируют на проблему, но о его существовании будьте в курсе:
https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh
#wordpress #security #dos
Blogspot
How to DoS 29% of the World Wide Websites - CVE-2018-6389
According to wordpress.com, the WordPress platform powers 29% of the worldwide internet websites. In this article I am going to explain ...
📝 Http smoke testing.
Есть такой термин - Smoke testing - это выполнение базовых тестов чего-либо для выявления очевидных ошибок. Мне подкинули ссылку на занятный репозиторий на Github, с утилитой для проведения http smoke тестов:
https://github.com/rodrigodiez/smocha
Работает достаточно просто - пишем testbook, в котором описываем что нужно проверить и каким условиям проверки объект должен соответствовать (код ответа, содержимое заголовка и т. п.). Далее просто запускаем тест и проверяем как будут обстоять дела. Для больших веб-ресурсов со сложной структурой, и для веб-приложений, пожалуй, вещь очень удобная.
#фидбечат #security #smoketest
Есть такой термин - Smoke testing - это выполнение базовых тестов чего-либо для выявления очевидных ошибок. Мне подкинули ссылку на занятный репозиторий на Github, с утилитой для проведения http smoke тестов:
https://github.com/rodrigodiez/smocha
Работает достаточно просто - пишем testbook, в котором описываем что нужно проверить и каким условиям проверки объект должен соответствовать (код ответа, содержимое заголовка и т. п.). Далее просто запускаем тест и проверяем как будут обстоять дела. Для больших веб-ресурсов со сложной структурой, и для веб-приложений, пожалуй, вещь очень удобная.
#фидбечат #security #smoketest
🗒 Regexp.
В коллекцию ссылок - сайт на котором можно потестировать свои regexp'ы и посмотреть примеры других пользователей. Порой бывает весьма полезно и занятно.
https://regex101.com/
#фидбечат #regex
В коллекцию ссылок - сайт на котором можно потестировать свои regexp'ы и посмотреть примеры других пользователей. Порой бывает весьма полезно и занятно.
https://regex101.com/
#фидбечат #regex
regex101
regex101: build, test, and debug regex
Regular expression tester with syntax highlighting, explanation, cheat sheet for PHP/PCRE, Python, GO, JavaScript, Java, C#/.NET, Rust.
🐧 Linux Kernel Runtime Guard.
Добрался таки до LKRG, о котором писал ранее. Познакомился сам, посмотрел, поставил, покрутил. Делюсь мнением, короткой инструкцией и описанием того, что модуль уже умеет делать сейчас. Всех заинтересованных приглашаю в соответствующую заметку.
📗 Открыть на сайте
#kernel #security #lkrg
Добрался таки до LKRG, о котором писал ранее. Познакомился сам, посмотрел, поставил, покрутил. Делюсь мнением, короткой инструкцией и описанием того, что модуль уже умеет делать сейчас. Всех заинтересованных приглашаю в соответствующую заметку.
📗 Открыть на сайте
#kernel #security #lkrg
🔏 ModSecurity и CVE-2018-6389.
Не так давно писал об очередной проблеме в Wordpress, эксплуатируя которую, злоумышленники могут нарушить работу ресурса. Помимо патча от нашедшего уязвимость, теперь доступно и решение для ModSecurity, которое позволяет использование уязвимости ограничить. Описание того как это сделать и все сопутствующие ссылки доступны в заметке.
📗 Открыть на сайте
#security #wordpress #modsecurity
Не так давно писал об очередной проблеме в Wordpress, эксплуатируя которую, злоумышленники могут нарушить работу ресурса. Помимо патча от нашедшего уязвимость, теперь доступно и решение для ModSecurity, которое позволяет использование уязвимости ограничить. Описание того как это сделать и все сопутствующие ссылки доступны в заметке.
📗 Открыть на сайте
#security #wordpress #modsecurity
🗄 Duplicati.
Мануал по настройке и работе Duplicati - системе для резервного копирования данных на сервере.
Приятный интерфейс, простота установки, большое количество разных протоколов для передачи данных, возможность пофайлового восстановления, пусть простая, но проверка бекапов, и ещё много чего, что в работе Duplicati понравилось. Похоже что у меня тут нарисовался претендент на место предпочитаемой системы для резервного копирования. Во всяком случае для каких-то небольших проектов точно.
📗 Открыть на сайте
#backup #duplicati #будничное
Мануал по настройке и работе Duplicati - системе для резервного копирования данных на сервере.
Приятный интерфейс, простота установки, большое количество разных протоколов для передачи данных, возможность пофайлового восстановления, пусть простая, но проверка бекапов, и ещё много чего, что в работе Duplicati понравилось. Похоже что у меня тут нарисовался претендент на место предпочитаемой системы для резервного копирования. Во всяком случае для каких-то небольших проектов точно.
📗 Открыть на сайте
#backup #duplicati #будничное
А пока я тут оказался слегка подзавален делами и работой, вот вам, камрады, пара занятных видео.
Первое - неплохой разбор основ Docker'а на русском языке. Бывалые специалисты вряд ли для себя что-то новое узнают, а вот тем кто с контейнерами ещё плотно не работал, посмотреть вполне можно.
https://www.youtube.com/watch?v=7GLP8_UEBp4
#видео #docker
Первое - неплохой разбор основ Docker'а на русском языке. Бывалые специалисты вряд ли для себя что-то новое узнают, а вот тем кто с контейнерами ещё плотно не работал, посмотреть вполне можно.
https://www.youtube.com/watch?v=7GLP8_UEBp4
#видео #docker
YouTube
Возможности программного обеспечения Docker [GeekBrains]
Начни карьеру с бесплатного курса "Основы программирования" https://goo.gl/jTP4nP
Знакомимся с возможностями программного обеспечения Docker.
Docker — это программное обеспечение для автоматизации развёртывания и управления приложениями в среде виртуализации…
Знакомимся с возможностями программного обеспечения Docker.
Docker — это программное обеспечение для автоматизации развёртывания и управления приложениями в среде виртуализации…
Второе видео - запись вчерашнего вебинара по Kubernetes от AvitoTech. Вечерком, под чаёк с печеньками, на фоне какой-то ещё работы - вполне себе. Беседуют о Kubernetes и о том, какие задачи с его помощью можно решать.
https://www.youtube.com/watch?v=CV1lnajST9w
#видео #kubernetes
https://www.youtube.com/watch?v=CV1lnajST9w
#видео #kubernetes
YouTube
Moscow Kubernetes Online
13 февраля в режиме онлайн на нашем youtube-канале пройдет панельная дискуссия, посвященная Kubernetes. Эксперты из компаний Флант, Рокетбанк, Axept Global и Avito соберутся вместе и обсудят те подводные камни Kubernetes, которые им удалось собрать, поделятся…
🗓 Curl и скорость доступа к сайту.
Маленькая заметка о том, как можно быстро, с помощью curl проверить скорость доступа к сайту.
📗 Открыть на сайте
#будничное #curl
Маленькая заметка о том, как можно быстро, с помощью curl проверить скорость доступа к сайту.
📗 Открыть на сайте
#будничное #curl
📚 Ученье свет.
Сегодня принёс вам две больших кучи разных книг по тематике. И на меге, и в боксе книги разложены по темам, так что ориентироваться в этих подборках не сложно.
Вот тут больший уклон на безопасность:
А вот здесь больше для сисадминов:
Думаю тут каждый найдёт для себя что-то интересное, так что загляните обязательно.
Если вы ведёте похожие подборки и не против ими поделиться - присылайте, посмотрим что там есть интересного все вместе.
#книга
Сегодня принёс вам две больших кучи разных книг по тематике. И на меге, и в боксе книги разложены по темам, так что ориентироваться в этих подборках не сложно.
Вот тут больший уклон на безопасность:
https://mega.nz/#F!ZoowSCKD!XkOxKqWxHFx1ydeHZzAM7g
А вот здесь больше для сисадминов:
https://app.box.com/s/mvj79ollw2mgqgzcenxdcfmpg3rkor8v
Думаю тут каждый найдёт для себя что-то интересное, так что загляните обязательно.
Если вы ведёте похожие подборки и не против ими поделиться - присылайте, посмотрим что там есть интересного все вместе.
#книга
Ну что, я почти отстрелял всё то, что мне тут навалилось в оффлайне, и скоро вернусь к обычному режиму, я думаю. А пока что, вот вам ещё немного видео. 🙂
👨🏻💻 DEFCON NN.
Первое - прямо сейчас идущая трансляция с DEFCON NN. Видео будет так же доступно после, так что имеет смысл за ссылкой последить, да и в принципе, если вечер свободен, обратить внимание на мероприятие:
https://www.youtube.com/watch?v=6CqV6eUSk2o
Вот тут можно почитать подробнее о мероприятии и сообществе - http://defcon-nn.ru/ У ребят получилось очень неплохо, на мой взгляд.
UPD: Второй день конференции:
https://www.youtube.com/watch?v=cWkJb_zCpVo
#видео #security
👨🏻💻 DEFCON NN.
Первое - прямо сейчас идущая трансляция с DEFCON NN. Видео будет так же доступно после, так что имеет смысл за ссылкой последить, да и в принципе, если вечер свободен, обратить внимание на мероприятие:
https://www.youtube.com/watch?v=6CqV6eUSk2o
Вот тут можно почитать подробнее о мероприятии и сообществе - http://defcon-nn.ru/ У ребят получилось очень неплохо, на мой взгляд.
UPD: Второй день конференции:
https://www.youtube.com/watch?v=cWkJb_zCpVo
#видео #security
💬 DevOops 2017.
Вторая ссылка - это большой плейлист свежевыложенных в открытый доступ материалов с DevOops 2017.
Контейнеры, оркестрация, мониторинг, облака, виртуализация и всё вот это вот. Обязтельно загляните, если ещё не видели:
Ссылка на плейлист: https://goo.gl/oFJu1r
#видео #devops
Вторая ссылка - это большой плейлист свежевыложенных в открытый доступ материалов с DevOops 2017.
Контейнеры, оркестрация, мониторинг, облака, виртуализация и всё вот это вот. Обязтельно загляните, если ещё не видели:
Ссылка на плейлист: https://goo.gl/oFJu1r
#видео #devops
Записки админа
Ну что, я почти отстрелял всё то, что мне тут навалилось в оффлайне, и скоро вернусь к обычному режиму, я думаю. А пока что, вот вам ещё немного видео. 🙂 👨🏻💻 DEFCON NN. Первое - прямо сейчас идущая трансляция с DEFCON NN. Видео будет так же доступно после…
👆🏻 У ребят второй день, ссылку на трансляцию добавил в пост.
⚙️ Fatrace.
Fatrace или file access trace - утилита для случаев, когда strace оказывается избыточен, и тебе нужно просто посмотреть что в данный момент в системе активно. На самом деле, когда наткнулся на неё, был приятно удивлён. Так, что держите соответствующую заметку с коротким обзором работы.
📗 Открыть на сайте
#будничное #fatrace #strace
Fatrace или file access trace - утилита для случаев, когда strace оказывается избыточен, и тебе нужно просто посмотреть что в данный момент в системе активно. На самом деле, когда наткнулся на неё, был приятно удивлён. Так, что держите соответствующую заметку с коротким обзором работы.
📗 Открыть на сайте
#будничное #fatrace #strace
⏺ Asciinema 2.0.
Об Asciinema я уже когда-то давно писал, это утилита, с помощью которой можно записывать происходящее в терминале и делиться этим с кем-либо. Так вот, не далече как вчера, увидела свет версия Asciinema 2.0, с которой, был осуществлён переход на новый формат asciicast v2, а с ним, у пользователей появились такие отличные возможности как трансляция работы терминала:
Делаем пайп:
Пишем:
Смотрим:
При необходимости, пользуемся netcat'ом:
Пишем:
Смотрим:
Так же, транслировать мы можем и в так называемом raw режиме, при его использовании, на машине, где мы будем просматривать поток, asciinema не обязателен:
Пишем:
Cмотрим:
А ещё там есть пауза трансляции, запись\чтение в файл\из файла и другие плюшки. Подробнее можно познакомиться здесь:
https://goo.gl/RT6bzj
#asciinema #фидбечат
Об Asciinema я уже когда-то давно писал, это утилита, с помощью которой можно записывать происходящее в терминале и делиться этим с кем-либо. Так вот, не далече как вчера, увидела свет версия Asciinema 2.0, с которой, был осуществлён переход на новый формат asciicast v2, а с ним, у пользователей появились такие отличные возможности как трансляция работы терминала:
Делаем пайп:
# mkfifo /tmp/demo.pipe
Пишем:
# asciinema rec /tmp/demo.pipe
Смотрим:
# asciinema play /tmp/demo.pipe
При необходимости, пользуемся netcat'ом:
Пишем:
# asciinema rec >(nc my.host.name 9999)
Смотрим:
# asciinema play <(nc -l localhost 9999)
Так же, транслировать мы можем и в так называемом raw режиме, при его использовании, на машине, где мы будем просматривать поток, asciinema не обязателен:
Пишем:
# asciinema rec --raw >(nc my.host.name 9999)
Cмотрим:
# nc -l localhost 9999
А ещё там есть пауза трансляции, запись\чтение в файл\из файла и другие плюшки. Подробнее можно познакомиться здесь:
https://goo.gl/RT6bzj
#asciinema #фидбечат
Herokuapp
2.0 · asciinema blog
News about asciinema development and new releases
🙅🏻♂️ Chomper.
А ещё, вот вам, камрады, занятный репозиторий, содержащий в себе оружие для борьбы с прокрастинацией и хронофагией - блокировщик неугодных сайтов на нужное вам время...
https://github.com/aniketpanjwani/chomper
Пишем конфиг с политиками (очень простой на самом деле) и запускаем chomper, что бы нас уже ничего не отвлекло от рабочего\учебного процесса. 🤓
#будничное
А ещё, вот вам, камрады, занятный репозиторий, содержащий в себе оружие для борьбы с прокрастинацией и хронофагией - блокировщик неугодных сайтов на нужное вам время...
https://github.com/aniketpanjwani/chomper
Пишем конфиг с политиками (очень простой на самом деле) и запускаем chomper, что бы нас уже ничего не отвлекло от рабочего\учебного процесса. 🤓
#будничное
GitHub
GitHub - aniketpanjwani/chomper: Internet blocker for the Linux desktop.
Internet blocker for the Linux desktop. Contribute to aniketpanjwani/chomper development by creating an account on GitHub.
📦 Бекап с tar.
Что бы не потерялось... Быстро сделать бекап всей системы, если она расположена на одной партации:
Если партиций используется несколько (например, /var или /home на отдельных разделах), то
#будничное #tar #backup
Что бы не потерялось... Быстро сделать бекап всей системы, если она расположена на одной партации:
# tar -cvpzf system.tar.gz --exclude=/system.tar.gz --one-file-system /
Если партиций используется несколько (например, /var или /home на отдельных разделах), то
--one-file-system
не подойдёт для такого случая, тогда просто достаточно создать архив от корня, но при этом, с помощью --exclude
исключить лишние директории.#будничное #tar #backup
☁️ Ещё про бекап.
И вот здесь один из подписчиков прислал ссылку на свой Github репозиторий со скриптом, для резервного копирования данных в облако по WebDAV:
https://github.com/zevilz/WebServerCloudBackups
Загляните, возможно покажется вам интересным, камрады. Если так, то звёздочку поставить не забудьте. 🙂
#фидбечат #backup #webdav
И вот здесь один из подписчиков прислал ссылку на свой Github репозиторий со скриптом, для резервного копирования данных в облако по WebDAV:
https://github.com/zevilz/WebServerCloudBackups
Загляните, возможно покажется вам интересным, камрады. Если так, то звёздочку поставить не забудьте. 🙂
#фидбечат #backup #webdav
GitHub
GitHub - zevilz/WebServerCloudBackups: Automatic backups your web projects bases (MySQL/MariaDB) and files via WebDAV, Amazon S3…
Automatic backups your web projects bases (MySQL/MariaDB) and files via WebDAV, Amazon S3 and SSH (rsync). - zevilz/WebServerCloudBackups
Записки админа via @vote
Контролируете ли состояние HDD\SSD на сервере? На сколько серьёзно относитесь к этому вопросу?
anonymous poll
Автоматизировал и жду алертов. – 82
👍👍👍👍👍👍👍 34%
Редко. Хм, сходил, проверил, спасибо. – 62
👍👍👍👍👍 26%
Вручную проверяю, но периодически. – 52
👍👍👍👍 22%
Автоматизировал и регулярно проверяю отчёты. – 44
👍👍👍👍 18%
👥 240 people voted so far.
anonymous poll
Автоматизировал и жду алертов. – 82
👍👍👍👍👍👍👍 34%
Редко. Хм, сходил, проверил, спасибо. – 62
👍👍👍👍👍 26%
Вручную проверяю, но периодически. – 52
👍👍👍👍 22%
Автоматизировал и регулярно проверяю отчёты. – 44
👍👍👍👍 18%
👥 240 people voted so far.
📉 KSM и ksmtuned.
Потребовалось разобраться с Kernel SamePage Merging немного, так что решил сделать соответствующую заметку. Буковок получилось много, но вышло неплохо, на мой взгляд.
📗 https://sysadmin.pm/ksmtuned/
Всем кто интересуется тюнингом памяти на KVM нодах, но ещё не слышал о KSM по какой-то причине, к ознакомлению очень рекомендую. Как работает, что делает, как активировать, где почитать документацию и т. п. - всё привёл в мануале.
#будничное #kernel #kvm
Потребовалось разобраться с Kernel SamePage Merging немного, так что решил сделать соответствующую заметку. Буковок получилось много, но вышло неплохо, на мой взгляд.
📗 https://sysadmin.pm/ksmtuned/
Всем кто интересуется тюнингом памяти на KVM нодах, но ещё не слышал о KSM по какой-то причине, к ознакомлению очень рекомендую. Как работает, что делает, как активировать, где почитать документацию и т. п. - всё привёл в мануале.
#будничное #kernel #kvm
Записки админа
KSM и ksmtuned - Записки админа
Разбираемся с технологией KSM (Kernel SamePage Merging), запускаем ksm и ksmtuned в работу на ноде с KVM виртуализацией.
Я даже не знаю как это прокомментировать... В общем, апдейт с помощью npm, у тех кто при этом выдал ему права root, убивает корректные права на системные файлы и директории, после чего, система становится неработоспособна.
Драма доступна по ссылке:
https://github.com/npm/npm/issues/19883
Аккуратнее там, камрады, надеюсь никого из вас это не задело.
#npm
Драма доступна по ссылке:
https://github.com/npm/npm/issues/19883
Аккуратнее там, камрады, надеюсь никого из вас это не задело.
#npm
GitHub
Critical Linux filesystem permissions are being changed by latest version · Issue #19883 · npm/npm
I'm opening this issue because: npm is crashing. npm is producing an incorrect install. npm is doing something I don't understand. Other (see below for feature requests): What's going w...