Архив метки: безопасность

Prestashop права на папки

Сделать магазин — не сложно, сложнее правильно настроить в Prestashop права на папки для нормальной безопасности. Может кому пригодится 🙂

chmod 777 config
chmod 777 tools/smarty/compile
chmod 777 tools/smarty/cache
chmod 777 tools/smarty_v2/cache
chmod 777 tools/smarty_v2/compile
chmod 777 sitemap.xml
chmod 777 log
chmod 777 img -R
chmod 777 mails -R
chmod 777 modules -R
chmod 777 themes/prestashop/lang -R
chmod 777 themes/prestashop/cache -R
chmod 777 translations -R
chmod 777 upload -R
chmod 777 download -R

Террорист с автоматом — уходит в прошлое. Ну, или мне так кажется…

Террорист с автоматом
Террорист с автоматом

По крайней мере такие мысли приходят в голову всякий раз, когда читаешь об очередной успешной DDoS-атаке, в результате которой атакующие получили требуемый выкуп. Не будем вдаваться в технические тонкости осуществления оной (от банального бот-нета, до выделенных ресурсов на сверхскоростных каналах) — важно одно: серверы Behemoth, созданные специально для отражения атак с честью выдержали 38 (тридцать восемь!!!!) суток атаки, мощность которой в пике достигала 110+ Гбит/с и 90+ млн пакетов в секунду.
Я с легкой ностальгией вспоминаю свой домашний сервер, стоящий под столом на выделенном канале домашнего провайдера и выдерживающего посещаемость до 2-3 тысяч хостов в сутки в середине нулевых… Сейчас подобные ресурсы лягут за секунды.
И вдумываясь в перспективы происходящего становиться страшно, ведь, несмотря на то, что небритый террорист с автоматом более страшен с точки зрения визуального эффекта — область его воздействия сугубо локальна, в то время, как террористы нашего века атакуют сервера, отвечающие за колоссальные объемы информации и управления не покидая кресел и на снимая наушников…

Кстати, вы видели, как выглядит DDoS-атака, если ее визуализировать? Специально для этого существует разработка Logstalgia

SMS-спам — мысли о новостях законодательства России.

SMS-спам - новости законотворчества
SMS-спам — новости законотворчества

Лента новостей в который раз порадовала очередными новостями законотворчества депутатов в России. Наконец-то они внесли изменения в закон о запрете SMS-спама.
Среди нововведений-обязательное наличие договора о согласии на прием рассылок. Интересно, что согласно новой редакции закона — Оператор Связи (именуемый в народе ОпСосом 🙂 ) так же обязан доказать согласие абонента на получение им такой информации, как сообщения о состоянии счета, перечислениях и прочем-прочем, включая так любимые ОпСосами новости о тарифных планах.
Непонятно одно — следует ли предположить в самом ближайшем будущем появление методов атак на бизнес, связанных с организацией спамовых SMS-рассылок с контактами атакуемой организации? Ее себестоимость не так велика, как кажется на самом деле — из практического опыта рассылка 1000 сообщений обходится в сумму около 6-7 долларов с учетом использования прокси-серверов и методов маскировки IP-адреса. Важно так же учесть, что я не считаю себя специалистом по SMS-спаму, и данные были получены в результате практических экспериментов. Уверен, что у Специалистов в данной сфере стоимость рассылок будет в полтора-два раза ниже.
При должном уровне подготовки атаки представителям атакуемой организации будет ой как нелегко доказать свою невиновность, а учитывая, что сумма штрафов явно будет немалой — жизнь становится интереснее.

Применение лингвистического анализа для деанонимизации в Сети

Интересная новость попалась на днях: центр исследования чтения из Бельгии провел исследования, целью которых являлось выявить разницу между словарным запасом мужчин и женщин.

Специально для этого они попросили более полумиллиона людей пройти простой тест – отмечать появляющееся на экране слово пометкой – известно им это слово или нет. Ниже представлена выборка, демонстрирующая максимальную корреляцию между полами с перевесом в мужскую сторону.

  • кодек (88%, 48%)
  • соленоид (87%, 54%)
  • голем (89%, 56%)
  • мах/mach (93%, 63%) — в английском языке mach имеет единственное значение, в отличие от русского
  • хамви (88%, 58%)
  • клеймор (87%, 58%)
  • ятаган (86%, 58%)
  • кевлар (93%, 65%)
  • паладин (93%, 66%)
  • большевизм (85%, 60%)
  • бипед (86%, 61%)
  • дредноут (90%, 66%)

А теперь посмотрим на выборку слов, которая отражает превосходство женщин:

  • тафта (48%, 87%)
  • локоны/tresses (61%, 93%)
  • бутылочный ёршик/bottlebrush (58%, 89%)
  • оборка/flouncy (55%, 86%)
  • маскарпоне (60%, 90%)
  • декупаж (56%, 86%)
  • прогестерон (63%, 92%)
  • глициния (61%, 89%)
  • тауп (66%, 93%)
  • отделка оборками/flouncing (67%, 94%)
  • пион (70%, 96%)
  • корсаж (71%, 96%)

Минусом данного анализа является тот факт, что он проведен для носителей английского языка, но провести экспериментальные работы для носителей русского языка пока никто не додумался, или – как всегда – есть более первоочередные задачи. Впрочем, краткий эксперимент из 5 слов, проведенный мною среди ближнего окружения только подтверждает выводы 🙂 (фейспалм)

В целом – анализ весьма интересный, и позволяет надеяться, со временем методы лингвистического анализа, которые давно и успешно применяются для деанонимизации в Сети будут улучшены.

Так и вижу в некотором не совсем отдаленном от нас будущем – радость маркетологов, которые присоединились к анонимному чату в TOR, и начинающим вдруг понимать, что юзер под ником SFFS12 – на самом деле мужчина в возростной категории от 30 до 32, проживающих там-то и там-то, совершающий покупки по таким-то дням, увлекающийся тем-то и тем-то … А ведь так и будет 🙂

Права на доступ к файлам сайта на WordPress

Сегодня утром получил письмо от компании Hetzner в Германии, клиентом которой являюсь уже много лет:

We have received information regarding spam and/or abuse from do-not-reply@******.***.

Please would you take all necessary measures to avoid this in future.

Furthermore, we request that you send a short response within 24 hours to us and to the complainant. This response should contain information about how this issue could happen and what you intend to do about it.

How to proceed:

— Solve the problem.
— Send a response to us using the following link: http://abuse.hetzner.de/statements/?token=************
— Send a response by email to the complainant

A technician will check the data and coordinate further proceedings. If multiple complaints have been received, the situation could lead to the server being blocked.

Ничего так себе — начало воскресного дня. Попасть в блок-лист из-за рассылки спама с адреса клиента моего сервера — не очень интересная возможность, потому пришлось разбираться с возникшей проблемой (благо, пасмурность на улице влияла на работоспособность).
Итак, я начал с проверки исходящий адресов — как оказалось, адреса, с которого шла рассылка в природе не существовало.
По совету сведущего человека решил использовать разработку AI-Bolit. Установка скрипта очень проста — нужно всего-лишь скопировать все файлы из архива в папку исследуемого сайта и запустить проверку:
php ./ai-bolit.php
Проверка занимает какое-то время, по результатам которой в папке, где установлен AI-Bolit будет сформирован .html файл с отчетом по безопасности. Что делать дальше — решать вам. В моей ситуации оказалось, что вся корневая директория установлена с правами 777, ну и конечно же — установлен шел для доступа к сайту.
Пришлось удалять все вручную — более 90 файлов + сравнивать и восстанавливать кое-что из бекапов 🙁

Оптимальная настройка права на доступ к файлам сайта на WordPress:

755 на все папки
644 на файлы

600 -rw——- /home/user/wp-config.php
604 -rw—-r— /home/user/cgi-bin/.htaccess
600 -rw——- /home/user/cgi-bin/php.ini
711 -rwx—x—x /home/user/cgi-bin/php.cgi
100 —x—— /home/user/cgi-bin/php5.cgi

И еще — лично я никогда не боюсь упрощать свою жизнь, потому для подобной операции вместо работы в командной строке на сервере предпочитаю использовать FileZilla — правый клик на нужном каталоге, в выпадающем меню выбираем «Права доступа к файлу». Если желаем обработать объем информации пакетом — выбираем «Перенаправить во вложенные каталоги».

FileZilla - установка прав
FileZilla — установка прав

ВАЖНО: после завершения работы со скриптом Айболита — не забудьте удалить все файлы с сервера!