In Apache HTTPD server normally when you have no index or default page in a directory, a visitor may be served with a full list of files in that the directory. В HTTPD-сервер Apache, как правило, когда у вас нет индекса или страницу по умолчанию в каталоге, посетитель может быть с полным списком файлов в этом каталоге. This could pose a serious security risk. Это может создать серьезную угрозу безопасности. It also exposes your files to the world at large, allowing them to be indexed by search engines and at the least pose privacy risk. Он также раскрывает свои файлы для мира в целом, что позволяет им быть проиндексированы поисковыми системами и по мере создают частную жизнь опасности. There are well known Google hacks which exploit this feature. Есть хорошо известные Google хаки, которые используют эту возможность. To stop default directory listing, add this to the htaccess file. Чтобы остановить запись директории по умолчанию, добавьте к этому htaccess файл.

Read more (137 words) » Читать дальше (137 слов) »

On running ./configure in dansguardian (web content filter for Linux), I got the following error - configure: error: pcre-config not found! Об запустив. / Настроить в dansguardian (содержание веб-фильтр для Linux), я получил следующее сообщение об ошибке - настроить: ошибка: pcre-конфигурации не найдена!
configure: WARNING: Cache variable ac_cv_prog_PCRE contains a newline. . сконфигурировать: ПРЕДУПРЕЖДЕНИЕ: Кэш ac_cv_prog_PCRE переменная содержит строки.. The solution, as usual, is simple: Решение, как обычно, прост:
Read more (49 words) » Читать дальше (49 слов) »

Every major & minor version of WordPress (1.5, 2.0, 2.1…) comes with teething problems which are then fixed in patch releases. Все крупные и мелкие версия WordPress (1,5, 2,0, 2,1…) поставляется вместе с проблемы роста, которые затем исправлена в патч-релизов. Will WordPress 2.5 release finally break the curse? Будет WordPress 2,5 освободить, наконец, разорвать проклятие? Maybe not… Может быть, не…

Read more (400 words) » Читать дальше (400 слов) »

Suhosin is an advanced protection system for PHP installations. Suhosin это передовые системы защиты для PHP установок. It was designed to protect servers and users from known and unknown flaws in PHP applications and the PHP core. Он был разработан для защиты серверов и пользователей от известных и неизвестных недостатков в PHP приложений и PHP ядра. Suhosin comes in two independent parts, that can be used separately or in combination. Suhosin поставляется в двух независимых частей, которые могут быть использованы отдельно или в комбинации. The first part is a small patch against the PHP core, that implements a few low-level protections against bufferoverflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections. Первая часть представляет собой небольшой патч против PHP сердцевиной, которая реализует несколько низкий уровень защиты от bufferoverflows или уязвимостей форматирования строки и вторая часть является мощным расширением PHP, которая реализует все другие меры защиты.

Read more (141 words) » Читать дальше (141 слов) »

You never worry about your site security until after your site has been hacked for the first time. Вы никогда не беспокоиться о безопасности своего сайта до тех пор, пока ваш сайт был взломанный для первого времени. It is always a moment of truth, when you first realize how vulnerable you (your site & your data) truly are. Это всегда момент истины, когда вы впервые понимаем, насколько уязвимы вас (ваш сайт и ваши данные) действительно являются. You have probably dozens of scripts running on your server ranging from weblog software, comment form, maybe a CMS like Mambo or Joomla, not to mention your home-grown scripts. Вы, вероятно, несколько десятков сценариев, работающие на сервере, начиная от программного обеспечения веб-журнал, прокомментировать форме, может быть, как и CMS Mambo или Joomla, не говоря уже о вашей отечественной скрипты. Have you ever had them audited? Вы никогда не были им проверенные? Do you always keep updating them whenever a new release is available? Вы держите их актуализации в тех случаях, когда новый релиз доступен? Do you run all your applications and scripts in chroot jail? Как вы проводите все ваши приложения и скрипты в chroot тюрьму? Do you regularly check for rootkits? Хотите регулярно проверять наличие руткитов? The answer to most of the above is probably no. Ответить на большинство из выше, вероятно, нет. The truth is that any of them can lead to your site and data being compromised. Истина заключается в том, что любой из них может привести на свой сайт и данных в компьютере. In this context an intrusion detection system can provide you early warning when something goes wrong so you can fight it. В этом контексте систем обнаружения вторжений могут предоставить вам раннего предупреждения, когда-нибудь пойдет не так, чтобы можно было бороться с ним. Let’s look at Samhain, a popular intrusion detection system. Давайте посмотрим на Samhain, популярных систем обнаружения вторжений.

Read more (283 words) » Читать дальше (283 слов) »

This WordPress blog was hacked for few hours on 24th December (nice Christmas present!) from Russia. Это WordPress блоге был взломанный в течение нескольких часов на 24 декабря (Ницца рождественского подарка!) Из России. The hacker exploited several WordPress vulnerabilities in administrative scripts to gain full access to the website (as permitted to apache user), including the ability to upload & run scripts, delete any file owned by apache user, view the file and directories etc. This is a full disclosure on the how the site was hacked and how I detected and removed the hack along with few comments on the state of WordPress security. Хакера используют несколько уязвимостей в WordPress административные скрипты для получения полного доступа к сети Интернет (как это разрешено для пользователя apache), в том числе возможность загружать и запускать скрипты, удалить любой файл, принадлежащий пользователю apache, просмотр файлов и каталогов и т.д. Это полное раскрытие информации о том, каким был взломанный сайт и насколько я обнаружены и устранены приемом наряду с некоторыми замечаниями о состоянии WordPress безопасности. I added a WordPress plugin and made modifications to prevent any such hacking attempts in future using WordPress. Я добавил WordPress плагин и сделал изменения, чтобы предотвратить такие попытки взлома в будущем с помощью WordPress. This is a must read for WordPress bloggers. Это должно идти на WordPress блоггеры.

Read more (2226 words) » Читать дальше (2226 слов) »

SSH is aptly termed as poor man’s VPN. SSH является, как метко назвал бедняка VPN. You can use it to either forward local host host name and port to a remote server running ssh daemon. Вы можете использовать его либо вперед локального хоста имя хоста и порт на удаленном сервере работает ssh демон. You can also use it to forward remote server’s port to a local host and port. Вы также можете использовать его вперед на удаленном сервере порт для локального хоста и порт.

Read more (224 words) » Читать дальше (224 слов) »

DROP (Don’t Route Or Peer) is an advisory “drop all traffic” list from Spamhaus, consisting of stolen ‘zombie’ netblocks and netblocks controlled entirely by professional spammers. DROP (Не маршрута или коллегиального) является консультативным "падение весь трафик" из списка Spamhaus, состоящая из украденных "зомби" netblocks и netblocks контролируется исключительно профессиональным спамерам. DROP is a tiny sub-set of the SBL advisory designed for use by firewalls and routing equipment. Капли крошечные к югу от комплекса консультационных SBL предназначенный для использования брандмауэров и маршрутизации оборудования. It can also be implemented in iptable rules as explained below. Оно может быть также осуществлены в iptable правила, как это поясняется ниже.

Read more (292 words) » Читать дальше (292 слов) »

I used to receive around 5,000-7,000 spams daily on angsuman [at] taragana [dot] com email which is publicly available on the internet. Я использовал получать около 5000-7000 спамов ежедневно на angsuman [на] taragana [точка] ком электронной почты, который публично доступна по интернету. It was consuming too many productive hours daily to fight spam. Было потребляющих слишком много продуктивных часов в день по борьбе со спамом. I Я decided to fight back решили бороться назад . To reduce the spams I first made changes to my postfix configuration with the aim to stop most spams upfront. Чтобы уменьшить спамов я впервые внесли изменения в моем постфиксное конфигурации с целью остановить большинство авансовых спамов. With 6 simple changes to my postfix configuration my spams dropped from 5,000 - 7,000 to a manageable 5-20 spams daily, often less. С 6 простых изменений к моему постфиксное конфигурации моего спамов сократилось с 5000 - 7000 по регулированию 5-20 спамов в день, зачастую меньше. Let’s look at these 6 simple postfix changes in details to drastically reduce your spam count too. Давайте посмотрим на эти 6 постфиксное простые изменения в деталях резко сократить спам слишком рассчитывать. I am consistently getting over 99% spam reduction after implementing these changes. Я постоянно получать свыше 99% спама снижение после реализации этих изменений.

The changes proved to be safe and without false positives . Изменения оказались не помешает и без ложных срабатываний. In several weeks of manual browsing through the log file, I couldn’t spot a single false positive (a case where legitimate mail is rejected). В нескольких недель ручного просмотра через лог-файл, я не мог месте одного ложного положительный (случай, когда законные почта отвергается).

Note: This changes do not involve (nor do they conflict with) spamassasin or clamav, which I might add later. Примечание: В этом изменения не связаны (кроме того, они не противоречат) spamassasin и clamav, который я мог бы добавить позже.
Read more (823 words) » Читать дальше (823 слов) »