Posted by Marko M.
Fri, 26 Sep 2008 08:47:00 GMT
Jedan od onih dana kada se dešavaju krajnje čudni problemi na sistemu. Zvoni telefon, javlja se kolega iz podrške i dobija informaciju da jednom klijentu ne radi sajt već da konstantno dobija grešku 403. Pogledam sajt, stvarno. Dobro, lopatu u ruke pa da razgrnem malo logove Apacha. Kad tamo, ovo što vidite u naslovu. Pogledam .htaccess fajl i shvatim da u njemu nema ama baš ničeg. Dobro, bacim error_log pod rep - tail -f error_log i gledam šta se dešava. Gomila ljudi pokušava da pristupi sajtu bez previše uspeha jer dobijaju istu grešku kao i ja. Promenim CHMOD za .htaccess na 777. Ništa.
I onda shvatim da je ova poruka varka. Navela me je da posmatram pogrešno mesto. Ubrzo shvatam da je problem što je ceo public_html direktorijum pogešno namešten i da su mu dozvole 644. Jedna mala izmena na 755 i sve radi kako treba.
Ovo je jedan od onih besmislenih problema na koje čovek potroši ceo dan… ja sam potršio samo 10 min ali i to je mnogo.
Posted in unix, admin | Tags .htaccess, 403, Apache, error, server | 6 comments
Posted by Marko M.
Sun, 14 Sep 2008 12:07:00 GMT
Divan kišni dan. Ne znam za vas ali ja uživam kada pada kiša. Danas sam se nešto igrao u Perlu pa rekoh da podelim sa vama… možda vam zatreba nekada ovako nešto. Elem, pretpostavimo da i vi morate da izmenite jednu te istu liniju u preko 100 fajlova. (Sređivao sam prevod za Joomla! 1.5.7 pa je trebalo promeniti prvu linuju svih fajlova sa prevodom da umesto 1.5.6 stoji 1.5.7) Ima načina i načina, reče jedan mudar čovek. Tačno. I evo vam jednog krajnje jednostavnog načina da pomenutu radnju izvedete uz pomoć Perla:
perl -pi -w -e 's/trazi/zameni/g;' *.ini
I šta ovo radi? Pretražuje sve fajlove sa ekstenzijom INI i u njima ovo "trazi" i umesto toga stavlja "zameni". Ili malo detaljnije:
-e znači: izvrši sledeću liniju koda.
-i uredi(edit) u mestu.
-w prikaži upozorenja.
-p petlja(loop).
Ovo je izmenilo željenu linuju u 93 fajla za par sekundi. Vodite računa da znake tipa "/" i "." morate izbeći jednim "\" ispred svakog od njih. Recimo, moja linija za izmenu verzije Joomla! u fajlovima sa prevodom bi izgledala ovako:
perl -pi -w -e 's/1\.5\.6/1\.5\.7/g;' *.ini
Posted in admin, geek, programiranje | Tags geek, perl, programming, tips | 1 comment
Posted by Marko M.
Wed, 20 Aug 2008 13:50:00 GMT
Da ne odgovaram u vidu komentara jer to onda neće biti svima vidljivo. Već me je gomila ljudi pitala koliko košta usluga koju sam ponudio nešto ranije. Cena zavisi od posla koji treba obaviti. Sledi lista šta sve mogu da odradim pa se vi nađite na njoj.:)
- Joomla! sajt auditing - pregled već postavljene Joomla! prezentacije i primena sredstava za povećanje bezbednosti.
- Pen test servera - provera bezbednostni celog servera i dostavljanje dokumentacije i propustima kao i o rešenjima za iste.
- Auditing servera - ukoliko koristite VPS ili dedicated server odradiću kompletan test, update, audit proces i zatvaranje rupa na čitavom serveru - ovo se na odnosi na UNIX i sisteme na bazi UNIXa - BSD, GNU/Linux, Solaris, AIX bla, bla…
- Bilo šta što ima veze sa bezbednošću sajta i/ili čitavog servera. Server ovde podrazumeva: web server, DB server, mail server, FTP server… ma bilo šta.
Zapravo, možemo se dogovoriti za bilo koji tip usluga bez obzira da li treba pregledati Joomla!, Drupal, WP ili neki vaš lični CMS. Meni je to sve isto.
P.S. Par ljudi iz nekih firmi su mi tražili CV da bi objasnili šefovima koga bi to da unajme. Izvol’te: http://rehash.eccegeek.info/files/marko_cv.pdf
Posted in admin, geek, security | Tags geek, paranoia, security, servers | 2 comments
Posted by Marko M.
Wed, 20 Aug 2008 10:46:00 GMT
Dan prvi
"Hakovana mi je Joomla! Šta da radim?"
"Ne brinite. Mi ćemo Vam je srediti i vratiti u prethodno stanje."
Nekoliko minuta kasnije pošto je vraćen backup i provaljeno da korisnik ima Joomla! 1.5.1.
"Poštovani, prezentacija Vam je vraćena. Ipak, bilo bi pametno da uradite ažuriranje na novu verziju. Ovih dana je izašla zakrpa koja rešava baš problem koji imate."
"Aha. Hvala puno. Evo odmah."
Dan drugi
"Opet mi je hakovna Joomla!"
"Jeste li uradili ažuriranje na novu verziju?"(dok se postavlja to pitanje proverava se sajt - naravno da nije ažuriran sistem)
"Ah. Nisam. A trebalo je?"
I tako već skoro 10 dana. Trudim se da nađem razumevanje za ovakvo ponašanje. Ali mi nekako ne ide. Zato obaveštavam javnost, kako fizička lica tako i firme, koju mrzi da čita šta pišemo na Joomla! Serbia forumu da sam odlučio da ponudim uslugu profesionalnog Joomla! konsultovanja. Ukoliko nećete sami da lupate glavu kako da povećate bezbednost svog sistema i kako da održavate ceo sajt slobodno mi se obratite i ja ću vam za ne tako visoku cenu odraditi sve što je potrebno da malo mirnije spavate. A možemo se dogovoriti i za stalno održavanje. Zapravo, šta god je potrebno samo da se ne ponavljaju razgovori odozgo.
Moja email adresa je: marko[at]joomlaserbia.com pa mi se slobodno javite.
Posted in admin, geek, security | Tags consulting, joomla, security | 3 comments
Posted by Marko M.
Mon, 18 Aug 2008 11:46:00 GMT
Uvek se slatko nasmejem kada čujem za sve te "hakerske" napade. U poslednjih par dana to je jedna od najvrelijih vesti većine domaćih medija. "Razvaljeni" su sajt SPC-a, Ministarstva poljoprivrede, raznih firmi, političkih partija i sl. Gotovo svi sajtovi su dobili identično novo ruho u bojama plemena sa juga. No, dva najzabavnija su osvanula na B92 sajtu: Sajtovi bez zaštite od upada hakera i Novi napad hakera sa Kosova. Hakeri, hakeri, hakeri… nije nego.
Hajde da uradimo malu regresiju i pogledamo onako forenzički šta se tu sve dešavalo. Ako malo pažljivije izanaliziramo sve te žrtve moćićemo da izvedemo sledeći zaključak: 90% njih čine Joomla! 1.5.x instalacije. Ok. Dakle Joomla! je grozna i ona je kriva za sve, jel tako? Možda bih i progutao tu priču da kojim slučajem ne radim za Joomla! tim od nultog dana postojanja dotičnog CMS-a. Bez trunke pristrasnosti smem reći da ovog puta Joomla! nije kriva. Svi ovi slučajevi su školski primer ljudskog faktora kao problema u bezbednosti. Ali ne, ovog puta nije bilo naprednih NLP tehnika kako bi se jadni korisnici prevarili. Ne, ovog puta su ti jadni korisnici pogazili ono zlatno pravilo upotrebe gotovih softverskih rešenja za izradu web prezentacija. Ne jednom sam za vreme Joomla! dana u Beogradu prošle godine rekao da je jako važna stvar koristiti najnoviju verziju Joomla! softvera. Mislim da sam i zidovima u Rexu dosadio ponavljajući to.
Pošto u Srbiji svi znaju da prave sajtove i svi se razumeju u sve što ima veze sa online postojanjem tako smo se našli u sledećoj situaciji: oborene desetine satova u neverovatno kratkom vremenskom roku. Opasni neki hakeri? Ne bih rekao. Vrli admini dotičnih sajtova su valjda bili previše zauzeti da bi brinuli o bezbednosti svojih kreacija pa smo tako mogli da vidimo Joomla! sajtove koji koriste i po 6 meseci stare verzije Joomla!. Sve što osoba zadužena za život tog Joomla! sajta treba da radi jeste da bar jednom u nedelju dana ode na Joomla! glavni sajt ili Joomla! Srbija forum i vidi da li se dešava nešto jako važno. Ali ne! Mnogo je lakše postaviti i zaboraviti. Bitno je da radi. Dragi moji web stručnjaci, softver je živo biće. On se konstantno razivija i unapređuje. Posebno ako koristite neki jako živ projekat kakvi su Joomla!, phpBB ili WordPress. Apsurdno je očekivati da jednom napisan sistem ostane nepromenjen i bezbedan zauvek. Softver nije savršen i kako stvari stoje to neće ni postati u skorije vreme.
Već dva meseca radim kao stariji sistem administrator u SezamPro hostingu. Firma ima ogroman broj sajtova i neki od sajtova koji su našli svoje mesto na listi napada se nalaze kod nas. Tako sam imao priliku da pogledam šta se vrtelo na tim sajtovima kada su "odvaljeni" i da pomognem korisnicima da povrate svoje prezentacije. Prva stvar koju sam radio kada bi mi javili da je taj i taj sajt srušen jeste provera fajla CHANGELOG.php koji ima svaka Joomla!. Od 10 pregledanih sajtova ni jedan nije imao najnoviju verziju Joomla! Da stvar bude zabavnija, svi sajtovi su u proseku koristili Joomla! 1.5.x iz februara 2008. Ako znamo da je pre nedelju dana objavljena hitna zakrpa u vidu verzije 1.5.6 onda je krajnje interesantno kako to da niko nije ažurirao svoj sajt.
Neko mi onda reče da je možda komplikovana procedura za ažuriranje. Hmmm… hajde da je razmotrimo u nekoliko koraka:
1. Odlazak na Joomla! sajt i preuzimanja fajla koji se zove: Patch_1.5.x_to_1.5.6.zip. gde umesto ovog X stoji verzija Joomla! koju trenutno imate. Ako baš ne znate koja je uđete u svoj admin panel i gore desno jasno stoji potrebna informacija.
2. Raspakujete preuzetu arhivu na svom računaru.
3. Koristeći omiljeni program za FTP nakačite se na svoj sajt, uđete u direktorijum sa sajtom i prevučete sve datoteke iz arhive sa svoje mašine na sajt. Program će vas pitati da li želite da pregazite sve datoteke i vi ćete reći DA.
4. Nema 4. Ažuriranje je gotovo.
I takooo…
Bezbednosna kultura na srpskoj interenet sceni je toliko niska da je apsolutno sjajno što neko i ima sajt koji se ne obara par puta dnevno.
Idemo dalje. Naslovna strana Gazete od četvrtka, ako se ne varam, govori o pornografiji na sajtu jedne osnovne škole. "Stručnjaci" koje su kontaktirali iz dotičnog lista su komentarisali kako su hakeri napunili stranice tog sajta materijalom od kog bi se i markiz De Sad zacrveneo. Opet mene cimaju jer je sajt na našim serverima. Alatke u ruke pa u glib. Rezultat: na samom sajtu nije bilo nikakvog pornografskog sadržaja ali je zato forum bio urnisan. Nije mi bilo potrebno ne znam kakvo znanje da bih sračunao da dotični forum ima oko 100 korisnika od kojih skoro 80 čine botovi. Za neupućene, botovi su programi koji sami krstare Interenetom i obavljaju zadatke za koje su isprogramirani. Sledeća stvar koja mi pada u oči jeste činjenica da je na sajtu phpBB2 koji nije ažuriran ko zna od kada. Sećate se kada su pre par godina phpBB2 forumi padali kao zrele kruške? Izgleda da admin ovog foruma nije čuo za to.
Ako pak problem ne bude u softveru na sajtu onda obično bude do samog servera tj. opet lenjosti admina da ponekad proveri da li mu je softver možda bušan ili loše podešen. Primer - sajt SPC. Nalazi se na dedicated serveru u USA a za pokretanje sajta koriste Drupal ako se ne varam. Posle pada su lepo počistili kod kako bi se sakrilo koji se CMS tu vrti. Što je super. Ipak, to nije dovoljno. Drupal tim, kao i Joomla!, u poslednje vreme često izdaje zakrpe koje bi valjalo primenjivati. Pošto sajt SPC-a ima svoj server nisam mogao da odolim i da ne pogledam malo sam server. Samo ću reći: nmap -sS -sV -O 74.53.26.200 i sve će vam se samo kazati. Neko je mogao malo više da poradi na bezbednosti ovog servera.
Baš sam se raspisao, zar ne? Žao mi je ako sam vas smorio ali mi je preko glave naslova u medijima i priča o hakerima. Kakvi bre hakeri? Svaki klinac je mogao da nađe exploit za problem u Joomla! za sve verzije pre 1.5.6. i da se uloguje kao administrator. Problem nije u softveru već u lenjim korisnicima. Ažurirajte softver. Pravite rezervne kopije na dnevnoj bazi. Ako vam je sajt izuzetno posećen onda rezervne kopije treba praviti i češće. Primenite makar minimum bezbednosnih podešavanja za koja uputstva imate na svim matičnim sajtovma CMS-ova koje koristite. Ili unajmite nekog ko se zapravo razume u posao bezbednosti sajtova i servera.
Mental note: Otvoriti firmu za security consulting.:)
P.S. Dok ovo pišem čujem kako je jedan od sajtova koji je bio "srušen" prošle nedelje a koji smo vratili u život opet pao. Kako se ispostavilo korisnik nije našao za shodno da uradi update iako mu je predočeno u čemu je bio problem. Ahhh… the road to stupid is paved with good intention.
Posted in admin, security, serbia | Tags hacking, media, security, serbia | 9 comments
Posted by Marko M.
Fri, 25 Jul 2008 16:02:00 GMT
Deveti put za redom se proslavlja svetski dan sistem administratora. Dan kada se prisećamo koliko su nam važni naši sistem administratori. Kolege admini, srećan vam praznik! System down!
Posted in unix, admin, geek | Tags admin, bofh, calendar, geek, sysadmin_day | no comments
