grsecurity

grsecurity nie jest softem samo w sobie, jest to zestaw poprawek i zmian, które służą do zwiększenia bezpieczeństwa maszyny do której jest zdalny dostęp z miejsc o niepotwierdzonym statusie bezpieczeństwa np. logowanie do shell’a. po co mi to wszystko Zainstalowanie pakietu poprawek zwiększa bezpieczeństwo systemu i jest kolejnym elementem zabezpieczenia przed atakami zarówno z zewnątrz jaki i z wewnątrz systemu. losowo przydzielane: uid, gid i pid zabezpieczenie /proc przed pokazywaniem właścicieli procesów zabezpieczenie symlinków przed wyścigiem/tmp… Czytaj dalej grsecurity

jeszcze o bezpieczeństwie wordpressa

Przedwczoraj we wpisie przedstaw się, zostaniesz zhakowany pisałem o bezpieczeństwie wordpressa i o potrzebie usunięcia sygnatury z wersją. Część udało się zrealizować samą skórką. Niestety nie jest to wszystko co trzeba zrobić. Identyfikacja następuje jeszcze w wielu miejscach i te niestety wymagają zmian w kodzie, co dotyczy plików: wp-includes/feed*.php – zawierają generator. wp-includes/general-template.php – buduje linka do arkusza css z panelu administratora, a ekran wykorzystywany jest dla odnośnika… Czytaj dalej jeszcze o bezpieczeństwie wordpressa

przedstaw się, zostaniesz zhakowany

Mało śmieszna sytuacja z dzisiejszego dnia. W nocy został wydany wordpress 2.3.3, w którym poprawiono poważny błąd bezpieczeństwa, który z grubsza polega na tym, że posiadając dowolnego użytkownika w serwisie, można zmienić posty, nawet jeżeli nie ma się do tego uprawnień. Po przeczytaniu natychmiast wystawiłem zadanie do działu obsługi, żeby powiadomili klienta i rozpoczęli procedurę uaktualniania kilku serwisów opartych właśnie o wordpressa. Za około 30 minut klient sam podesłał zadanie, że w jednym z wpisów pojawiły… Czytaj dalej przedstaw się, zostaniesz zhakowany

Zapomniałeś hasła?

Google znajdzie go dla ciebie. Niestety. Taki złowieszczy tytuł oraz cały artykuł znajdziecie na stronie Guardiana. Forgotten your password? Google can find it for you. Unfortunately Większość dotyczy hasha md5, więc nie jest aż tak źle jak zapowiadają, ale podsumowując: proste hasło dla którego ktoś uzyska (ukradnie) hash md5 daje się odnaleźć w bardzo krótkim czasie. Musiałem to sprawdzić.