За последнее время появилась множество уязвимостей в программных продуктах, но об одной наверное слышали уже многие. Речь пойдет конечно же о VENOM и проблеме с виртуальным флоппи дисководом.
Привилегированный пользователь виртуальной машины потенциально может вызвать ее сбой и запустить произвольный код в хост-системе с разрешениями QEMU. Даже если виртуальный дисковод не настроен, эту уязвимость все равно можно будет эксплуатировать.
Больше информации вы можете почерпнуть в статье на ZdNet (link - http://www.zdnet.com/article/venom-security-flaw-millions-of-virtual-machines-datacenters/ ).
Если ваш виртуальный сервер за последнюю неделю без предупреждения перезагружался, вероятно хостер обновлял ПО на сервере и вы уже находитесь в защищенности. :)
Небольшой обзор более мелких проблем:
1) Компрометация системы в Magento. Удаленный пользователь может скомпрометировать целевую систему. Уязвимость существует из-за ошибки, позволяющей обойти механизм аутентификации.
Обновление доступно на официальном сайте: http://www.magentocommerce.com/products/downloads/magento/
2) Отказ в обслуживании в FFmpeg. Удаленный пользователь может вызвать отказ в обслуживании.
Обновление доступно: https://github.com/FFmpeg/FFmpeg/commit/e8714f6f93d1a32f4e4655209960afcf4c185214
3) Межсайтовый скриптинг в FreePBX. Удаленный пользователь может осуществить XSS-атаку.
Подробности: http://git.freepbx.org/projects/FREEPBX/repos/digiumaddoninstaller/commits/2aad006024b74c9ff53943d3e68527a3dffac855
Update: справедливости ради, действительно, человек обращался к нам с ТЗ. Сначала мы отказали, потом решили, что получится взять заказ через неделю. Пообещали сами связаться первыми, но немножко промурыжили с конкретным ответом в потоке дел. За что просим у DDsupport прощения.
P.S. Не стесняйтесь напоминать нам о себе, если мы забыли сделать это первыми. Процесс разработки отлажен нормально, а вот в общении до заказа бывает возникают нюансы.
Вы нас ни с кем не перепутали? Нерешенных вопросов ни с кем нет.
Можно ваши контакты сюда или пм.
К нам обратился клиент - владелец reselling бизнеса доменов с задачей реализовать систему внутреннего учета и работы с доменными регистраторами. Данная система позволяет вести базу по регистраторам, следить за промо-акциями и отслеживать цены на различные зоны.
Нами была реализована веб-панель (как фронтенд, так и бэкенд), которая состоит из следующих частей:
1) Профиль доменного регистратора.
Представляет из себя карточку компании, где можно заполнять различные данные, связанные с регистратором. К примеру адрес, страна, валюта, реселлерская программа, наличие API, метки регистратора. Отдельно задаются поддерживаемые зоны с ценами.
2) Модуль подбора регистраторов.
Модуль, позволяющий производить выборку из регистраторов по различным параметрам.
3) Модуль слежения за изменением цен на доменные зоны.
Реализация слежения за ценами на сайтах регистраторов с выводом значений в единую таблицу (изменения подсвечиваются).
4) Модуль слежения за промо-акциями.
Автоматическое слежение за промо-акциями на домены и смежные услуги, с моментальным извещением на электронную почту.
5) Реализация многопользовательского доступа к панели с разграничением прав пользователей по группам: пользователь, сотрудник службы поддержки, администратор.
Данный программный комплекс создавался под ключ за 3 недели. Процесс разработки велся по Agile методологиям. Каждые три дня клиенту показывалось демо продукта с работающим функционалом, сделанным за прошедший период. Непосредственно в разработке использовались AIOHttp + React + React-router + Bootstrap + Websockets + Reflux.
Может быть проблема в том, что проблема в правах на папку, в которой файлы вы пытаетесь файлы создавать или копироваться.
В качестве простого метода тыка посмотрите из-под какого пользователя у вас работает Apache (или смотря в чем крутится PHP) и при помощи sudo пытайтесь от имени этого пользователя вычислять где каких прав недостаточно. Например:
sudo -u www-data ls /var/www/yourdomain.rusudo -u www-data touc /var/www/yourdomain.ru/somefile
По ошибкам permission denied быстро получится вычислить где каких прав не хватает.
После захода по SSH войти в mysql клиента через пользователя, к примеру, root:
mysql -p -u root
И далее:
CREATE USER 'username'@localhost IDENTIFIED BY 'yourpassword'; CREATE DATABASE yourdb; GRANT ALL on yourdb.* TO 'username'@localhost; FLUSH PRIVILEGES;
Где username - имя создаваемого пользователя. yourpassword - его пароль и yourdb - БД, которую создаете и затем даете на права на работу с ней пользователям.
Putnik, мы совсем недавно зарелизили эту услугу + не можем сливать тз клиентов, т.к. после заказа они уже их. Отсюда будут проблемы с примерами. Поэтому нужно читать как "составление с нуля".
Вы стучите, пообщаемся.
Нам часто приходится решать очень мелкие задачи по администрированию, и сегодня мы хотим привести небольшой обзор нашей работы за последнюю неделю.
1. Фильтрация небольшого DDoS на операционной системе Debian средствами iptables+fail2ban+nginx.
2. Помощь в адаптации скриптов клиента к транслированию видео со стороннего источника. Был предоставлен веб-сайт, на котором при помощи обфусцированного JS-кода на воспроизведение выводится видео из видеосервиса, ссылка на которое собирается из нескольких мест и зашифровано паролем. Был разработан скрипт, который, получая ссылку с сайта, выдает ссылку на видео.
3. Полуавтоматическая миграция веб-хостинга клиента с панели управления Direct Admin на ISPManager. Суммарно был выполнен перенос семи серверов в ограниченный промежуток времени, написан ряд скриптов для автоматизации переноса настроек и проверок доступности веб-сайтов.
4. Написана инструкция + записано поясняющее видео по установке комплекта Ejabberd и OpenVPN на Debian силами клиента.
5. Выполнена установка и настройка средства автоматического функционального тестирования веб-приложений Selenium. Установка производилась на сервер, поэтому необходимо было настроить Selenium на работу без дисплея. Также были написаны скрипты для автоматического запуска всех зависимостей при загрузке системы.
6. Оптимизация работы БД MySQL. В целях повышения производительности были изменены параметры innodb_buffer_pool_size, innodb_atrx, увеличен кэш запросов и сменена политика транзакций.
С сегодняшнего дня у нас доступны для связи два дополнительных контакта - мобильные мессенджеры Viber и Telegram. Доступны для поиска по номеру телефона: +79657702554. В рабочее время по данному контакту наш менеджер по продажам всегда рад ответить на ваши вопросы. Звонки на этот номер не принимаем.
Свяжитесь с нами:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
Часто приходят заказы на разработку различного рода парсеров и средств автоматизирующих какую-то определенную деятельность на сайтах.
Например, один наш клиент, являющийся реселлером выделенных серверов пришел с проблемой. В одном из дата-центров, в котором он берет серверы, уже который год не могут починить API для партнеров. При этом весь необходимый функционал доступен через их сайт. Для нормального реселлера, у которого уже не 5 серверов, это совершенно неудобно. Хочется, чтобы клиенты сами могли перезагрузить сервер, переставить ОС или загрузить rescue mode/livecd без обращения в тех. поддержку. И реселлеру самому удобнее, когда просроченные сервера автоматически отключаются, чтобы клиенты сильно не откладывали процесс оплаты.
О методе решения вы можете подробнее почитать в новой статье на нашем блоге - http://contactroot.com/testirovanie-koda-s-requests/
Сегодня наша команда рада анонсировать новый сервис - помощь в написания технического задания на проект (на сайты и программное обеспечение).
Если у вас имеется идея и краткое описание, как вы видите себе проект, то мы поможет формализовать её в готовое техническое задание на разработку.
Что требуется от вас?
1) Use case (варианты использования, сценарии поведения).
Какие варианты использования предполагаются у вашего ПО/сайта? Каковы сценарии действий пользователей вашего продукта, что они могут с ним делать и к чему это приводит?
2) Описание workflow (поток задач).
Какие задачи решаются вашим ПО/сайтом и каком объеме?
Какие процессы протекают в проекте?
3) Существующие примеры аналогичных реализаций.
4) По возможности описание предметной области.
Какие в проекте есть сущности и их назначения.
Есть ли в нем пользователи, состоят ли они в группах?
Есть ли какие-либо объекты - серверы, товары, книги и прочее. Каковы их функции, какие задачи с помощью них решаются.
5) Сроки реализации и дополнительные требования к проекту. Необходимость соответствия определенным стандартам и сертификациям.
6) Предполагаемый бюджет на разработку.
7) Требования к используемому в проекте стэку технологий.
Что мы предоставляем?
Обычно мы предоставляем заказчику описание в таком формате, но в зависимости от конкретного проекта некоторые пункты могут опускаться.
1. Введение.
Описание проекта для общего понимания задачи разработчиком.
2. Эксплуатационное и функциональное назначение.
Первое понятие включает в себя выгоду, которой мы добиваемся используя ПО/сайт, второе понятие - какими техническими средствами это будет осуществляться.
3. Подробное описание предметной области, ее техническое представление, связи между объектами и описание их взаимодействия.
4. Термины и определения.
В целях исключения возможного недопонимания важные понятия лучше отразить в этом разделе.
5. Функциональные характеристики.
6. Требования к надежности и хостингу.
Учет требования высокой производительности, требований к интерпретаторам и дополнительному ПО на сервере.
7. Сдача и приемка.
Описание тех условий, при наступлении которых должен состояться расчет за работу, плюс дальнейшая поддержка и исправление багов.
Стоимость ТЗ начинается с 50 USD в зависимости от сложности поставленной задачи.
Консультируем по любым непонятным моментам.
Гарантируем, что ТЗ будет понято профессиональным разработчиком.
Как дополнительная услуга: можем помочь с рекрутом кодеров и контролем разработки (как и предложить свои услуги).
