Αρχείο κατηγορίας php

Security stuff

Σήμερα το πρωί με ενημέρωσαν από την εταιρεία που διαχειρίζεται τους server μου ότι  από κάποιο αρχείο σε ένα site έφευγαν  spam mails. Με μια σύντομη αναζήτηση εντόπισα ότι το αρχείο είχε ανέβει με ftp κανονικότατα, χωρίς κάποια hackια. Πολύ πιθανό να ξέφυγε από τον πελάτη το pass μέσω κάποιου malware που διαβάζει τα passwords από τον ftp client.

Αυτό με έκανε να σκεφτώ λίγο πως θα αποφύγω ανάλογα περιστατικά. Έφτιαξα λοιπόν ένα php script το οποίο συνδέεται με ftp στον server και σκανάρει όλα τα αρχεία με executable extensions (php, php5 κλπ) και αποθηκεύει τη λίστα σε μια βάση. Την επόμενη φορά που θα τρέξει, με ενημερώνει για ότι νέο αρχείο υπάρχει, ώστε αν είναι κάτι που δεν το έχω προσθέσει εγώ, να το ελέγχω για πιθανά προβλήματα.

Δεν είναι και η πιο optimal λύση (θα μπορούσα με shell να ψάξω απλά όλα τα php αρχεία με ημερομηνία ως και μια μέρα πριν π.χ.) , όμως το υλοποίησα έτσι γιατί έχω σκοπό να προσθέσω μερικά ακόμα πράγματα στο script και να το ελευθερώσω σαν open source για όποιον χρειάζεται κάτι ανάλογο.

Μερικά πράγματα που θέλω να κάνω είναι:

  • Να ελέγχει όλα τα νέα αρχεία για περίεργες functions (exec, base64_decode κλπ)
  • Να με ενημερώνει για τα αρχεία που για κάποιο λόγο σβήστηκαν ή άλλαξαν (για αυτό και η βάση)
  • Να τρέχει αυτόματα με ένα cron job και να με ενημερώνει με email, μια φορά κάθε 3-4 μέρες

Πολύ απλά πράγματα, λογικά σε λίγες μέρες θα το ανεβάσω κάπου. Αν έχετε κάποια ιδέα… στείλτε μου.

Πάντως μια γρήγορη λύση για τα δείτε αν υπάρχει κάποιο ύποπτο αρχείο είναι να τρέξετε από shell την παρακάτω εντολή:

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/

η οποία θα σας δείξει αμέσως ότι υπάρχει με αυτές τις εντολές. Μπορείτε και να το περάσετε σε ένα cron job και να εκτελείται μόνο του, ενώ τα αποτελέσματα θα σας έρχονται στο email σας.


Δουλεύοντας με το Kodingen.com

Όσοι από εσάς δουλεύετε σαν web developers, γνωρίζετε ότι το πιο κλασικό πρόβλημα που υπάρχει πριν δουλέψετε σε οποιονδήποτε υπολογιστή, είναι το σχετικό στήσιμο. Πρέπει να στηθεί ο τοπικός server (στη δική μου περίπτωση apache/php/mysql). Επίσης πρέπει να εγκατασταθούν τα αντίστοιχα εργαλεία (εδώ και κάποιο διάστημα χρησιμοποιώ netbeans). Τέλος, πρέπει αν δουλεύετε και σε άλλους υπολογιστές, να μεταφέρετε τη δουλειά σας και να την συγχρονίσετε τοπικά (για αυτό το λόγο έχω στήσει ένα subversion server). Αυτό είναι σχετικά εύκολο, αφού τα περισσότερα γίνονται μόνο μια φορά, ενώ με κάποιο version control system, ακόμα και η δουλειά σας μεταφέρεται εύκολα.

Οι δυσκολίες όμως ξεκινάνε αλλού:

  • Τι γίνεται όταν χρειαστεί να δουλέψετε για λίγο σε κάποιον άλλο υπολογιστή για κάποια γρήγορη διόρθωση;
  • Αν όλα αυτά βαραίνουν πολύ τον υπολογιστή σας (π.χ. σε περιπτώσεις netbook) και σέρνεται όταν δουλεύετε;
  • Αν θέλετε να δουλέψετε σε κάποιο άλλο λειτουργικό σύστημα, το οποίο απαιτεί διαφορετικό στήσιμο και δεν έχετε τον ανάλογο χρόνο/γνώσεις κλπ;
  • Υποθέτω ότι ανάλογο θέμα θα υπάρχει όταν κυκλοφορήσει το Chrome OS, το οποίο δεν ξέρω κατά πόσο θα είναι βολικό αφού όλες του οι εφαρμογές είναι web based.

Μια πολύ καλή λύση για όλα αυτά είναι το Kodingen.com. Πρόκειται για μια web εφαρμογή η οποία σας επιτρέπει να ανεβάσετε τα project σας σε έναν δικό τους development server με διάφορες τεχνολογίες (php/perl/python/ruby, mysql/postgresql κλπ) και έπειτα να το επεξεργαστείτε με μια σειρά από editors που έχουν. Μπορείτε να το δοκιμάσετε online και έπειτα να το κατεβάσετε ή να το μεταφέρετε σε κάποιο δικό σας server μέσω ftp.

Η εφαρμογή είναι δωρεάν στη χρήση με κάποια βασικά resources (τα οποία είναι αρκετά για μικρά project), ενώ μπορείτε να αγοράσετε επιπλέον χώρο/domains/bandwidth κ.λ.π. σε εξαιρετικά χαμηλές τιμές.

Επίσης, υποστηρίζεται subversion σύστημα, πρόσβαση σε shell, ενώ για την πλήρη αξιοποίησή του, περιβάλλεται και από ένα social network που μπορεί να σας τροφοδοτήσει με πολύ χρήσιμες πληροφορίες, ή απλά να σας βοηθήσει να συνεργαστείτε με άλλους προγραμματιστές χωρίς να χρειάζεται να μοιραστείτε passwords και ευαίσθητες πληροφορίες μαζί τους.

Τέλος, κάτι πολύ χρήσιμο είναι η εγκατάσταση εφαρμογών στο χώρο σας, με ένα κλικ. Δείτε στο παρακάτω video ένα παράδειγμα:

Kodingen.com : Online Development Environment, ODE from Kodingen on Vimeo.

Το περιβάλλον είναι ακόμα σε beta έκδοση, όμως βελτιώνεται συνεχώς και από ότι φαίνεται πολύ σύντομα θα βγει στον αέρα κανονικά.

Πρέπει να αναφέρω ότι το Project είναι βασισμένο σε open source τεχνολογίες και είναι και το ίδιο Open Source. Η σελίδα του στο Google Code αναφέρει ως άδεια την GNU GPL2.

Update στο WordPress

Βρέθηκε ένα κενό ασφαλείας στο WordPress και για να διορθωθεί βγήκε νέα έκδοση, η 2.6.3. Όμως όσοι θέλουν να αναβαθμίσουν, μπορούν να κατεβάσουν μόνο τα δύο αρχεία που αλλάζουν.

  1. wp-includes/class-snoopy.php
  2. wp-includes/version.php

Τα κατεβάζετε και αντικαθιστάτε τα παλιά.

Open Flash Chart

Τις τελευταίες μέρες για τις ανάγκες ενός project που ετοιμάζω για έναν πελάτη έπρεπε να δημιουργήσω κάποια γραφήματα. Αρχική μου σκέψη για να γλιτώσω χρόνο από το development ήταν να χρησιμοποιήσω το Google Chart API, το οποίο δίνει με πολύ εύκολο τρόπο τη δυνατότητα να ενσωματώσει κάποιος στη σελίδα του μια σειρά από γραφήματα.
Μέχρι ένα βαθμό με κάλυπτε, δέχεται αρκετά μεγάλη παραμετροποίηση, είναι πολύ εύχρηστο και φυσικά έχει πολύ καλό design.
Όμως σκέφτηκα να ψάξω μήπως βρω κάποιο καλύτερο framework – το οποίο να ενσωματώνεται στο project μου και όχι να κάνω κλήσεις σε τρίτα site.
Τελικά έπεσα πάνω στο Open Flash Chart, ένα open source project, το οποίο δημιουργεί γραφήματα σε flash, ενώ παρέχει βιβλιοθήκες για τον χειρισμό τους σε όλες τις δημιφιλείς scripting γλώσσες, όπως την PHP που χρησιμοποιώ.
Κυκλοφορούν μάλιστα δύο εκδόσεις του, η δεύτερη πολύ πιο βελτιωμένη, αλλά παράλληλα συντηρείται η πρώτη που είναι πιο απλή στο χειρισμό.
Τελικά χρησιμοποιώ αυτό. Όποιος χρειάζεται κάποιο εντυπωσιακό framework για να δημιουργεί charts, ας ρίξει μια ματιά.

Αλλαγή encoding στο Nikaria

Σήμερα κάθισα και άλλαξα το encoding στο Nikaria.gr σε utf-8. Για διάφορους λόγους, ένας είναι για να μπορώ αργότερα να βάλω adsense πιο εύκολα, άλλος είναι για να λειτουργούν σωστά κάποια link.
Το θέμα είναι ότι χρειάστηκε να κάνω την αλλαγή και σε όλη τη βάση δεδομένων. Και επίσης να χρησιμοποιήσω κάποιες iconv functions για περιεχόμενο που έρχεται από το pramnos.net, το οποίο παραμένει σε iso-8859-7.
Τέλος, για να γίνει πιο σωστά το indexing στις μηχανές αναζήτησης, διαχώρισα το ελληνικό από το αγγλικό περιεχόμενο με τη δημιουργία ενός subdomain. Έτσι η αγγλική ενότητα τώρα είναι στη διεύθυνση:
http://en.nikaria.gr
Ποιος νοιάζεται θα μου πείτε τώρα…