Сети для людей / Network for people

Август 27, 2008

Как заразить вирусом свой собственный вебсайт

Filed under: Устранение проблем, Хостинг — vladbuk @ 11:02 дп

Эта статья адресована в первую очередь всем владельцам собственных вебсайтов. Возможно, вы уже сталкивались с враждебным вторжением, а может быть, вам это еще только предстоит. Но в любом случае далеко не всегда виноватым является хостинг.

В последнее время участились случаи внедрения вредоносного кода в HTML и PHP страницы, а также в файл .htaccess. Как это проявляется?

  • При доступе к своему сайту вы можете получать сообщения об ошибках php, если там применяются скрипты или используется какой-либо движок на PHP (wordpress, joomla).
  • Обычные HTML страницы могут быть искажены или доступ к ним ограничен либо полностью отсутствовать.
  • Возможно появление ошибки выполнения скриптов 500 при заражении .htaccess.
  • Сообщение антивирусных программ о заражении при открытии своих сайтов.
  • Что-либо другое, не соответствующее нормальной работе вебсайта.

Что все это значит и как проверяется?

При просмотре исходного кода вебстраниц вначале или в самом конце присутствует загадочный код как правило в виде кодированного javascript. Скажем вот такого вида (приводится не полностью):

<script>function vyVdxyxdaYY(vyatVYybYVy){ var vYdbddxaVaV=530;
return(parseInt(vyatVYybYVy,16));}function vayatyaVatd(vVayxytttdy)
{ var vdxxaxdaYVy=530; var vtVbxYytbYa='';
for(vYbbbaxVbYx=0; vYbbbaxVbYx<vvayxytttdy.length;>...

или

<!-- [ ab2aab4b9d766629b77b9b4febadeb6f ] --><script>eval
(unescape('function%20crZnLPY%28uTm%29%7Bfunction%20sPWGz%28unYS%29%7
Bvar%20fUrEeI%3D0%2CvEImT%2CtKGn%3DunYS.
length%3Bfor%28vEImT%3D0%3BvEImT%3CtKGn%3BvEImT++%29fUrEeI+%3DunYS.
charCodeAt%28vEImT%29*tKGn%3Breturn%20new%20String%28fUrEeI%29%7DuTm%3
Dunescape%28uTm%29%3Bvar%20uneE%3Deval%28%27ajrdgMu%
3Amje%3Fn%3Ft%3Fs%3F.%3Fcda%3Fldlde%3Fe%3A%27.
replace%28/%5BM%5C%3Fdj%5C%3A%5D/g%2C%20%27%27%29%29.toString ...

.csharpcode, .csharpcode pre
{
font-size: small;
color: black;
font-family: consolas, «Courier New», courier, monospace;
background-color: #ffffff;
/*white-space: pre;*/
}
.csharpcode pre { margin: 0em; }
.csharpcode .rem { color: #008000; }
.csharpcode .kwrd { color: #0000ff; }
.csharpcode .str { color: #006080; }
.csharpcode .op { color: #0000c0; }
.csharpcode .preproc { color: #cc6633; }
.csharpcode .asp { background-color: #ffff00; }
.csharpcode .html { color: #800000; }
.csharpcode .attr { color: #ff0000; }
.csharpcode .alt
{
background-color: #f4f4f4;
width: 100%;
margin: 0em;
}
.csharpcode .lnum { color: #606060; }Это самый достоверный признак заражения вредоносным кодом. При посещении вашей страницы при помощи Internet Explorer (как правило) компьютер пользователя заражается трояном и цепная реакция продолжается. Вирус ищет новые лазейки для распространения при этом собирая пароли.

Кто посмел это сделать и как его найти?

В 99% случаев источником данного заражения собственных вебсайтов являетесь вы! Ваш компьютер с Windows уже заражен трояном, который, используя пароли доступа по FTP к вашим вебсайтам, без вашего ведома проникает на них и заражает файлы в корневой публичной папке. По последним данным заражению могут подвергаться и вложенные папки до нескольких уровней вложения. Заражаются файлы HTML, PHP, .htaccess. Самые последние вирусы могут изменять расширения HTML файлов на .htm. Код дописывается в конец файла. И при загрузке страницы запускает iframe. И цепочка продолжается.

Что делать и как быть?

  1. Проверить компьютер на предмет наличия вирусов и делать это систематически, регулярно обновляя вирусные базы.
  2. Проверить компьютер на трояны и spyware, если антивирус этого не позволяет.
  3. Сменить пароль на доступ к серверу.
  4. Отменить сохранение пароля в FTP-менеджерах, которыми вы пользуетесь как администратор FTP-сервера (Total Commander, Far, и т.п.) — т.е вводить пароли вручную.
  5. Регулярно проводить архивирование незараженных вебсайтов.

Единственный способ лечения это скачивание вебсайта (при отсутствии локальной копии) и ручное удаление вредоносного кода. Либо выгрузка чистой сохраненной версии.


Небольшой совет профессионалов: ftp пароли можно сохранять с дописанным одним символом и при запросе пароля его просто удалять.

При соблюдении указанных действий появление новых заражений прекращается.

Реклама

Июнь 26, 2008

Тонкости работы с flickr.com: EXIF данные, поиск фотокамер, архивы

Filed under: Фото, Хостинг — vladbuk @ 7:46 дп

Вы наверняка слышали о фотохостинге flickr.com. Не исключено, что вы даже выгружаете туда свои фотоархивы, или, возможно, у вас есть там платный аккаунт. Не будем рассказывать о всех возможностях этого замечательного сервиса, а лишь остановимся на тех, о которых рассказано не много.

Во-первых, EXIF данные. Вкратце, это стандарт, позволяющий добавлять к изображениям дополнительную информацию. Ее автоматически дописывают цифровые фотокамеры и фликр может эту информацию учитывать и обрабатывать. Количество служебных данных, поддерживаемых стандартом EXIF очень велико. Чуть ниже мы рассмотрим еще два свойства, дающие нам возможность пользоваться интересными возможностями flickr.com.

А пока три важных момента:

  1. EXIF данные могут удаляться программами по обработке изображений, такими как Photoshop. В частности, фотошоп удаляет их при сохранении для Веба. Поэтому после обработки используйте только обычное сохранение или опцию меню Сохранить как.
  2. Flickr.com учитывает EXIF данные в загруженных изображениях, но он не позволяет скачивать изображения вместе с ними. Это возможно только в одном случае, когда используется платный аккаунт и вам доступна ссылка на оригинал изображения, а не на ужатую копию. На бесплатном акаунте даже ваши собственные изображения всегда ужимаются, доступа к оригиналу вы не получаете и скачать фотки вместе с EXIF данными вы не можете. Что самое интересное, после перехода на платный аккаунт, вы получите доступ к собственным выгруженным оригиналам.
  3. Вы можете скрыть EXIF данные от публичного просмотра, установив соответствующую опцию в настройках аккаунта — http://www.flickr.com/account/prefs/exifprivacy/?from=privacy.

Во-вторых из использования EXIF данных вытекает интересная возможность поиска фотокамер. В меню Camera Finder вы можете увидеть различные типы фотокамер. Там перечислены все модели, при помощи которых отсняты изображения, загруженные во Flickr. То есть, если вы хотите узнать возможности фотоаппарата, который собираетесь покупать, вы можете посмотреть различные снимки, сделанные с его помощью. Или же наоборот, если вы, например, приобрели Canon PowerShot A590 IS, то интересные фотки, сделанные с его помощью, могут открыть вам новые возможности вашей камеры.

И в-третьих те же EXIF данные содержат информацию не только о параметрах выдержки и диафрагмы каждого отснятого кадра, но и дату съемки. А это, в свою очередь, позволяет точно ориентироваться по загруженным на flickr снимкам. Причем делать это по двум временным параметрам: время съемки и время выгрузки на фотохостинг. Данный выбор осуществляется в меню You -> Your Archives.

P.S. Считывать EXIF данные могут практически все программы просмотра изображений. Рекомендацией автора же является FastStone Image Viewer — наверное лучшая из бесплатных, а также платных аналогов.

Май 27, 2008

Как создать сервис бесплатных блогов за 5 шагов

Filed under: Блоги, Хостинг, Soft, Wordpress — vladbuk @ 10:55 дп

Бесплатных служб, предоставляющих возможности ведения блогов, в Интернете превеликое множество. Все они позволяют каждому желающему почувствовать себя настоящим писателем. Но их функциональные возможности имеют различные ограничения и из-за этого не позволяют развернуться в полную силу. А порой совсем не дают реализовать необходимые функции, доступные для блога на своём хостниге. Если вам необходима персональная конфигурация, собственные шаблоны страниц, отсутствие ограничений и полный контроль над своими и чужими блогами, то существует простое и доступное решение на базе WordPress. Реализовать полнофункциональный сервис блогов позволяет многопользовательский движок WordPress MU.

Система по своему функционалу полностью повторяет возможности обычного Вордпресса, но позволяет на одном домене размещать практически неограниченное количество независимых блогов. Детально все подробности установки и настройки описаны в документации к движку. Но основных шагов по выбору хостинга, тем и плагинов можно назвать всего пять.

Выбор хостинга. У вас есть возможность выбора типа адресации блогов: субдоменная (как на блоггере) либо папочная (как на ЖЖ). В первом случае потребуется выделенный либо виртуальный сервер (этот способ существенно дороже), во втором можно использовать более дешёвый хостинг (при большом количестве реальных блогов все равно придется перейти на собственный вебсервер). Ваш выбор определяется только количеством финансов.

Установка и настройка WordPress MU. Этот пункт не вызывает сложностей и ничем не отличается от установки обычного Вордпресса. Полезной информации на эту тему довольно много.

Выбор шаблонов дизайна. Многопользовательский движок работает с темами обычного Вордпресса. А здесь уж выбор определяется только вашими личными предпочтениями. Можно брать как с официального сайта (большой список — рекомендуется), так и из других источников. В любом случае большинство тем придется доработать и русифицировать (если это необходимо). И, конечно же, не забывайте о дизайне главной страницы — её в идеале необходимо сделать уникальной.

Установка дополнительных плагинов, с помощью которых вы сможете полностью преобразить функционал вашего сервиса блогов. В первую очередь позаботьтесь о защите от спама (Bad Behavior) и защите от регистрации ботов (Signup-Security-Question). Далее можно устанавливать всё что вам необходимо. Рекомендовать можно модуль обратной связи (Feedback), модуль уведомлений администратора (KB-Notify-Admin), а также универсальный медиаплейер (Anarchy media player). Очень много специализированных плагинов вы найдете на сайте http://wpmudev.org/. Не забывайте, что большое количество плагинов увеличивает нагрузку на сервер.

Монетизация блогов. Альтруизм, безусловно, хорошее качество, но на нём далеко не уедешь. Самый простой способ получить отдачу с сервиса блогов это установка контекстной рекламы. Достаточно просто добавить один-два блока в каждую тему и пользовательские блоги станут приносить прибыль. Чем известнее и популярнее будет ваш сервис, тем больше вас будет радовать пассивный денежный поток.

Остаётся только одно — привлечение посетителей. Скажем таким способом: Быстрый способ привлечения трафика и ссылок на ваш сайт. Хотя, конечно, ваша фантазия в этом вопросе ничем не ограничивается.

Ярким примером следования приведенным пяти пунктам служит сервис бесплатных блогов http://vlavla.com/.

Апрель 3, 2008

Дешёвые домены и бесплатный хостинг Godaddy

Filed under: Хостинг — vladbuk @ 8:25 пп

Может быть вы уже слышали об одном из самых крупных доменных регистраторов Godaddy? Гугль регистрирует домены для своих пользователей у него. Да и хостинг там мега, точнее гигабайтный по смешным ценам. Хотя и дороже, чем на Siteground. А знали вы, что можно использовать скидочные купоны при заказе услуг на Godaddy? Кажется мне, что знали.

Поэтому результаты этого запроса вас не удивят. Даже на такой небольшой сумме как плата за регистрацию домена в зоне .com ($10, округлённо) мне удалось получить экономию в 1 доллар. А бывают регистрации и по $6.95 и скидки на другие услуги до 20%. И ведь всё это легально и законно. Форма регистрации домена уже содержит поле для ввода данных купона на скидку. Любознательным быть не только интересно, но и выгодно.

Чем примечателен крупный хостер или регистратор, так это автоматизацией абсолютного большинства процессов. Все функции активируются при помощи панели управления. Регистрация домена происходит почти мгновенно. Предоставляются возможности редактирования ДНС файла для вашего домена хоть вручную. Бесплатно служба поддержки может переместить существующий сайт с другого хостинга.

Но хитрые маркетологи не сразу открывают все бесплатные функции. Они не прячут дополнительные возможности, но и не кричат о них на каждом пикселе своего сайта. А если внимательно исследовать все пункты меню панели управления, то найдутся там и форвардинг и 100 почтовых ящиков. Но больше всего удивила возможность выбора бесплатного хостинга к зарегистрированному домену: можно Windows, можно Linux. А какой хотите PHP: 4 или 5? Но раз уж нашли, то получайте ваши 10 Мб, 300 Мб траффика, 10 MySQL баз, фтп доступ и так далее …за 6.95 долларов в год.

Январь 2, 2008

Бесплатный онлайн диск на 30 Гб

Filed under: Линкодром, Хостинг, LAN — vladbuk @ 1:44 пп

Сетевое устройство, резервирование файлов, файловый хостинг, online storage, hdd online

В прошлом году "Интернетные штучки" делали перевод статьи с mashable.com о всевозможных онлайн хранилищах, архивах, дисках и т.п. Укртелеком уже второй раз перед Новым годом порадовал новыми тарифами, что вызвало интерес к подобным сервисам. И на днях мне попалась одна служба, не включенная в указанный выше список. После поверхностного изучения предоставляемых возможностей, я сразу же начал ее активное использование.

Что же предлагает нам сервис для хранения файлов со странным названием humyo.com?

  • 25 Гб для медиафайлов (музыка, фото, видео) и 5 Гб для файлов других типов бесплатно.
  • Отсутствие ограничений на срок хранения файлов и трафик.
  • Автоматическую сортировку выгруженных файлов по типу.
  • Упорядочивание музыкальных композиций по различным критериям.
  • Доступ с мобильного телефона.
  • Прослушивание выгруженной музыки в онлайне и просмотр фотографий на установленных веб-программах.
  • Контроль доступа, предоставляемого к файлам.
  • Поиск по размещенным на сервисе вашим файлам, а также файлам других пользователей.
  • Высокоскоростную загрузку файлов с других сайтов (напрямую, минуя локальное скачивание).
  • 256-битовое кодирование информации, контроль доступа пользователей к почтовым вложениям.
  • Синхронизация локальных и выгруженных файлов.
  • Интеграция с Проводником Windows — подключение к сервису в виде сетевого диска.

Но словами не опишешь то, что нужно смотреть и пробовать на ощупь. Вот, к примеру, ссылка на универсальный конвертер видеофайлов SUPER, выгруженный на humyo.com — http://www.humyo.com/F/62550297/EMBED. На сервисе много выгруженной музыки, которую несложно найти. Я уже копирую туда свой музыкальный архив — освобождаю винт как минимум на 10 Гб. А при скорости подключения более 128 Кб/сек слушать музыку можно просто добавляя ее в Winamp из сетевого диска humyo.com

Get your free humyo.com online file storage

Декабрь 18, 2007

Подарочный сертификат на 750 Гигабайт хостинга

Filed under: Хостинг — vladbuk @ 11:07 пп

Имеется в наличии несколько подарочных (точнее скидочных) сертификатов на хостинг. Необходимо использовать до 24 декабря 2007 года. Сертификат дает скидку 20 долларов — хостинг получается по 63 доллара 40 центов в год + домен в подарок. Кроме 750 Гб дается 7,5 Терабайт трафика в месяц и все остальное без ограничений (почта, базы данных, субдомены…).

Я думаю никому не надо, но на всякий случай: sclif@narod.ru.

Создайте бесплатный сайт или блог на WordPress.com.