In Apache HTTPD server normally when you have no index or default page in a directory, a visitor may be served with a full list of files in that the directory. Dans serveur Apache HTTPD normalement lorsque vous n'avez pas d'index ou page par défaut dans un répertoire, un visiteur mai être servi avec une liste complète des fichiers dans ce répertoire. This could pose a serious security risk. Cela pourrait poser un risque grave pour la sécurité. It also exposes your files to the world at large, allowing them to be indexed by search engines and at the least pose privacy risk. Il expose également vos fichiers au monde entier, leur permettant d'être indexé par les moteurs de recherche et au moindre risque de poser la vie privée. There are well known Google hacks which exploit this feature. Il sont bien connus Google hacks qui exploitent cette fonctionnalité. To stop default directory listing, add this to the htaccess file. Pour arrêter la liste des répertoires par défaut, ajoute à cela l'htaccess.

Read more (137 words) » Lire la suite (137 mots) »

On running ./configure in dansguardian (web content filter for Linux), I got the following error - configure: error: pcre-config not found! Le cours d'exécution. / Configure dans dansguardian (filtre de contenu web pour Linux), j'ai obtenu le message d'erreur suivant - configure: error: pcre-config not found!
configure: WARNING: Cache variable ac_cv_prog_PCRE contains a newline. . configure: WARNING: Cache ac_cv_prog_PCRE variable contient une nouvelle ligne.. The solution, as usual, is simple: La solution, comme d'habitude, est simple:
Read more (49 words) » Lire la suite (49 mots) »

Every major & minor version of WordPress (1.5, 2.0, 2.1…) comes with teething problems which are then fixed in patch releases. Toutes les grandes & de version mineure de WordPress (1,5, 2,0, 2,1…) est livré avec les problèmes qui sont ensuite fixés à patch rejets. Will WordPress 2.5 release finally break the curse? Will WordPress 2,5 libération enfin briser la malédiction? Maybe not… Peut-être pas…

Read more (400 words) » Lire la suite (400 mots) »

Suhosin is an advanced protection system for PHP installations. Suhosin est un système de protection avancé pour PHP installations. It was designed to protect servers and users from known and unknown flaws in PHP applications and the PHP core. Il a été conçu pour protéger les serveurs et les utilisateurs connus et inconnus failles dans des applications PHP et le PHP. Suhosin comes in two independent parts, that can be used separately or in combination. Suhosin vient en deux parties indépendantes, qui peuvent être utilisés séparément ou en combinaison. The first part is a small patch against the PHP core, that implements a few low-level protections against bufferoverflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections. La première partie est un petit patch contre le coeur de PHP, qui met en oeuvre un peu faible niveau de protection contre bufferoverflows ou chaîne de format vulnérabilités et la deuxième partie est un puissant extension PHP qui met en application toutes les autres protections.

Read more (141 words) » Lire la suite (141 mots) »

You never worry about your site security until after your site has been hacked for the first time. Vous n'avez jamais s'inquiéter de la sécurité du site jusqu'à ce que votre site a été piraté pour la première fois. It is always a moment of truth, when you first realize how vulnerable you (your site & your data) truly are. Il est toujours un moment de vérité, lors du premier vulnérables comment réaliser vous (ou votre site et vos données) sont vraiment. You have probably dozens of scripts running on your server ranging from weblog software, comment form, maybe a CMS like Mambo or Joomla, not to mention your home-grown scripts. Vous avez probablement des dizaines de scripts s'exécutant sur votre serveur à partir weblog logiciel, formulaire de commentaire, peut-être un CMS comme Mambo ou Joomla, pas de mentionner votre home-grown scripts. Have you ever had them audited? Avez-vous déjà eu les vérifiés? Do you always keep updating them whenever a new release is available? Avez-vous toujours à les mettre à jour chaque fois qu'une nouvelle version est disponible? Do you run all your applications and scripts in chroot jail? Avez-vous exécuter toutes vos applications et scripts en prison chroot? Do you regularly check for rootkits? Avez-vous régulièrement pour vérifier les rootkits? The answer to most of the above is probably no. La réponse à la plupart de ce qui précède est probablement pas. The truth is that any of them can lead to your site and data being compromised. La vérité est que l'un d'entre eux peut conduire à votre site et les données soient pas compromises. In this context an intrusion detection system can provide you early warning when something goes wrong so you can fight it. Dans ce contexte, un système de détection d'intrusions peut vous fournir d'alerte rapide lorsque quelque chose ne va pas pour vous permettre de le combattre. Let’s look at Samhain, a popular intrusion detection system. Jetons un coup d'oeil à Samhain, un populaire système de détection d'intrusions.

Read more (283 words) » Lire la suite (283 mots) »

This WordPress blog was hacked for few hours on 24th December (nice Christmas present!) from Russia. WordPress Ce blog a été piraté pour quelques heures le 24 Décembre (joli cadeau de Noël!) De Russie. The hacker exploited several WordPress vulnerabilities in administrative scripts to gain full access to the website (as permitted to apache user), including the ability to upload & run scripts, delete any file owned by apache user, view the file and directories etc. This is a full disclosure on the how the site was hacked and how I detected and removed the hack along with few comments on the state of WordPress security. The Hacker WordPress exploité plusieurs vulnérabilités dans les scripts d'administration pour obtenir le plein accès au site (comme le permet à l'utilisateur apache), y compris la possibilité de télécharger et exécuter des scripts, de supprimer tout fichier appartenant à l'utilisateur apache, voir le fichier et les répertoires etc C'est une divulgation complète sur la façon dont le site a été piraté et comment je détectés et supprimés le hack avec quelques commentaires sur l'état de sécurité de WordPress. I added a WordPress plugin and made modifications to prevent any such hacking attempts in future using WordPress. J'ai ajouté un plugin WordPress et apporté des modifications à empêcher de tels tentatives de piratage à l'avenir en utilisant WordPress. This is a must read for WordPress bloggers. C'est un must pour lire bloggers de WordPress.

Read more (2226 words) » Lire la suite (2226 mots) »

SSH is aptly termed as poor man’s VPN. SSH est appelé à juste titre comme Poor Man's VPN. You can use it to either forward local host host name and port to a remote server running ssh daemon. Vous pouvez l'utiliser pour soit l'hôte local avant le nom de l'hôte et le port à un serveur distant ssh démon. You can also use it to forward remote server’s port to a local host and port. Vous pouvez également l'utiliser pour transmettre à distance du serveur à un port hôte local et le port.

Read more (224 words) » Lire la suite (224 mots) »

DROP (Don’t Route Or Peer) is an advisory “drop all traffic” list from Spamhaus, consisting of stolen ‘zombie’ netblocks and netblocks controlled entirely by professional spammers. DROP (Ne pas route ou par les pairs) est un conseil "chute tout le trafic" liste de Spamhaus, composé d'objets volés "zombie" netblocks netblocks et entièrement contrôlé par des spammeurs. DROP is a tiny sub-set of the SBL advisory designed for use by firewalls and routing equipment. DROP est un petit sous-ensemble de la SBL consultatifs conçus pour être utilisés par des pare-feu et routeurs. It can also be implemented in iptable rules as explained below. Il peut également être mise en œuvre des règles iptable, comme expliqué ci-dessous.

Read more (292 words) » Lire la suite (292 mots) »

I used to receive around 5,000-7,000 spams daily on angsuman [at] taragana [dot] com email which is publicly available on the internet. J'avais l'habitude de recevoir environ 5000-7000 spams par jour sur angsuman [at] taragana [dot] com e-mail qui est accessible au public sur Internet. It was consuming too many productive hours daily to fight spam. Il a été consommant trop d'heures par jour de production de lutter contre le spam. I Je decided to fight back a décidé de se battre . To reduce the spams I first made changes to my postfix configuration with the aim to stop most spams upfront. Pour réduire les spams-moi tout d'abord apporté des modifications à ma configuration de postfix dans le but d'arrêter la plupart des spams avance. With 6 simple changes to my postfix configuration my spams dropped from 5,000 - 7,000 to a manageable 5-20 spams daily, often less. Avec 6 de simples changements à ma configuration postfix mon spams est passé de 5000 - 7000 à une gérable 5-20 spams par jour, souvent moins. Let’s look at these 6 simple postfix changes in details to drastically reduce your spam count too. Jetons un coup d'oeil à ces 6 postfix simples modifications dans les détails de réduire considérablement le spam de votre compte. I am consistently getting over 99% spam reduction after implementing these changes. Je suis toujours obtenir plus de 99% de réduction de spam après la mise en oeuvre de ces changements.

The changes proved to be safe and without false positives . Les changements révélés être sécuritaires et sans faux positifs. In several weeks of manual browsing through the log file, I couldn’t spot a single false positive (a case where legitimate mail is rejected). Dans plusieurs semaines de manuel de la navigation sur le fichier de log, je ne pouvais pas une seule place de faux positifs (un cas où le courrier est légitime rejetée).

Note: This changes do not involve (nor do they conflict with) spamassasin or clamav, which I might add later. Note: Cette changements n'impliquent pas (pas plus qu'ils ne conflit avec) spamassasin ou clamav, que je pourrais ajouter plus tard.
Read more (823 words) » Lire la suite (823 mots) »

OpenSSL is a free, popular, robust, high quality, open source (Apache License) toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a full-strength general purpose cryptography library. OpenSSL est une libre, populaire, robuste, de haute qualité, open source (Apache License) la mise en œuvre d'outils Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1) protocoles ainsi qu'une résistance à usage général bibliothèque de cryptographie . It is available on multiple platforms (Linux, BSD & Windows). Il est disponible sur de multiples plates-formes (Linux, BSD et Windows). In short it means that you can use OpenSSL to easily create certificate signing request (csr file) for your server to request certificate from certification authority like Verisign, Thawte etc. You can also use OpenSSL to create self-signed certificate to use on your Apache web server, Dovecot and other SSL enabled services. En bref, cela signifie que vous pouvez utiliser OpenSSL pour créer facilement une demande de signature de certificat (CSR) pour votre serveur de demande de certificat d'autorité de certification comme Verisign, Thawte, etc Vous pouvez également utiliser OpenSSL pour créer des auto-signé certificat à utiliser sur votre Apache serveur Web, pigeonnier et d'autres services SSL. Let’s look at how we can easily create a CSR using SSL and also how we can create a self-signed certificate using OpenSSL. Regardons comment on peut facilement créer une RSE utilisant le protocole SSL et aussi comment nous pouvons créer une auto-signé certificat en utilisant OpenSSL.

Read more (502 words) » Lire la suite (502 mots) »