В Facebook’е появился новый “червь”, самораспространяющаяся картинка с аппетитной негритянской расовой тёлочкой почти без целлюлита, при клике на которую картинка постится на стену кликнувшему. Вот она:
Работает через CSRF - при клике открывается ссылка с ифреймом, который заставляет картинку засабмититься на стену от имени и по поручению кликнувшего юзверя. Видно фейсбуковцы не читают мой блог, защититься от подобной штуки [...]

• 3 Comments

Нашёл очередной полезный плагин для проверки безопасности Wordpress – сканер эксплоитов. После инсталляции плагина, в админке появляется новое меню – Exploit Scanner. Там можно проверить, есть ли в блоге что-то подозрительное, типа ифреймов, модифицированных пхп файлов, скрытых дивов и т.п. Проблема только в том, что у меня и в нормальной теме такого очень много, приходится внимательно [...]

• 6 Comments

Отравление логов (logs poisoning) это такой хитрый способ пробраться на чужой сервер, используемый хакерами. Апач как правило имеет лог файл, лежащий по стандартному пути (зависит от версии ОС). Читать и писать в этот файл могут те же юзеры, под которыми выполняются скрипты, то есть если хакер допустим нашёл какую-то уязвимость, позволяющую включать локальные файлы, но [...]

• 4 Comments

В последние несколько дней на сервер с блогом повадились лазать какие-то хакеры, пытающиеся подобрать пароли для различных стандартных юниксовых юзверей и заодно определить, есть ли вообще некий юзверь в наличии. Логи с ошибками распухают прямо на глазах, да и сервер бессмысленно грузится. Против них можно использовать вот такой скрипт:
iptables -N SSH_CHECK
iptables -A INPUT -p tcp –dport 22 [...]

• 12 Comments

В Штатах 18 летний хакер, используя подбор пароля по словарю, угадал слово-пароль happiness для админского аккаунта на Твиттере, после чего дал своим дружбанам на хакерском форуме доступ к аккам Чёрного Властелина и Бритни Джеймсовны Спирс. Дружбаны сразу правильно сориентировались и в блоге Обамы стали постить ссылки на CPA сайты.
Твиттер вообще крайне странный сайт, [...]

• 9 Comments

В комментах кинули ссылку на хитрый способ использования истории браузера. Обычно урлы, которые были посещены ранее, просто отображаются другим цветом, например фиолетовым вместо синего. Кто-то придумал, как это использовать, чтобы показывать пользователю картинки для голосования на социальных сайтах. Например если юзверь бывал на дигге, то через css навешивается скриптик, который просит пользователя проголосовать.
Но эту же штуку [...]

• 8 Comments