Αρχείο ετικέτας php

Security stuff

Σήμερα το πρωί με ενημέρωσαν από την εταιρεία που διαχειρίζεται τους server μου ότι  από κάποιο αρχείο σε ένα site έφευγαν  spam mails. Με μια σύντομη αναζήτηση εντόπισα ότι το αρχείο είχε ανέβει με ftp κανονικότατα, χωρίς κάποια hackια. Πολύ πιθανό να ξέφυγε από τον πελάτη το pass μέσω κάποιου malware που διαβάζει τα passwords από τον ftp client.

Αυτό με έκανε να σκεφτώ λίγο πως θα αποφύγω ανάλογα περιστατικά. Έφτιαξα λοιπόν ένα php script το οποίο συνδέεται με ftp στον server και σκανάρει όλα τα αρχεία με executable extensions (php, php5 κλπ) και αποθηκεύει τη λίστα σε μια βάση. Την επόμενη φορά που θα τρέξει, με ενημερώνει για ότι νέο αρχείο υπάρχει, ώστε αν είναι κάτι που δεν το έχω προσθέσει εγώ, να το ελέγχω για πιθανά προβλήματα.

Δεν είναι και η πιο optimal λύση (θα μπορούσα με shell να ψάξω απλά όλα τα php αρχεία με ημερομηνία ως και μια μέρα πριν π.χ.) , όμως το υλοποίησα έτσι γιατί έχω σκοπό να προσθέσω μερικά ακόμα πράγματα στο script και να το ελευθερώσω σαν open source για όποιον χρειάζεται κάτι ανάλογο.

Μερικά πράγματα που θέλω να κάνω είναι:

  • Να ελέγχει όλα τα νέα αρχεία για περίεργες functions (exec, base64_decode κλπ)
  • Να με ενημερώνει για τα αρχεία που για κάποιο λόγο σβήστηκαν ή άλλαξαν (για αυτό και η βάση)
  • Να τρέχει αυτόματα με ένα cron job και να με ενημερώνει με email, μια φορά κάθε 3-4 μέρες

Πολύ απλά πράγματα, λογικά σε λίγες μέρες θα το ανεβάσω κάπου. Αν έχετε κάποια ιδέα… στείλτε μου.

Πάντως μια γρήγορη λύση για τα δείτε αν υπάρχει κάποιο ύποπτο αρχείο είναι να τρέξετε από shell την παρακάτω εντολή:

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/

η οποία θα σας δείξει αμέσως ότι υπάρχει με αυτές τις εντολές. Μπορείτε και να το περάσετε σε ένα cron job και να εκτελείται μόνο του, ενώ τα αποτελέσματα θα σας έρχονται στο email σας.


Δουλεύοντας με το Kodingen.com

Όσοι από εσάς δουλεύετε σαν web developers, γνωρίζετε ότι το πιο κλασικό πρόβλημα που υπάρχει πριν δουλέψετε σε οποιονδήποτε υπολογιστή, είναι το σχετικό στήσιμο. Πρέπει να στηθεί ο τοπικός server (στη δική μου περίπτωση apache/php/mysql). Επίσης πρέπει να εγκατασταθούν τα αντίστοιχα εργαλεία (εδώ και κάποιο διάστημα χρησιμοποιώ netbeans). Τέλος, πρέπει αν δουλεύετε και σε άλλους υπολογιστές, να μεταφέρετε τη δουλειά σας και να την συγχρονίσετε τοπικά (για αυτό το λόγο έχω στήσει ένα subversion server). Αυτό είναι σχετικά εύκολο, αφού τα περισσότερα γίνονται μόνο μια φορά, ενώ με κάποιο version control system, ακόμα και η δουλειά σας μεταφέρεται εύκολα.

Οι δυσκολίες όμως ξεκινάνε αλλού:

  • Τι γίνεται όταν χρειαστεί να δουλέψετε για λίγο σε κάποιον άλλο υπολογιστή για κάποια γρήγορη διόρθωση;
  • Αν όλα αυτά βαραίνουν πολύ τον υπολογιστή σας (π.χ. σε περιπτώσεις netbook) και σέρνεται όταν δουλεύετε;
  • Αν θέλετε να δουλέψετε σε κάποιο άλλο λειτουργικό σύστημα, το οποίο απαιτεί διαφορετικό στήσιμο και δεν έχετε τον ανάλογο χρόνο/γνώσεις κλπ;
  • Υποθέτω ότι ανάλογο θέμα θα υπάρχει όταν κυκλοφορήσει το Chrome OS, το οποίο δεν ξέρω κατά πόσο θα είναι βολικό αφού όλες του οι εφαρμογές είναι web based.

Μια πολύ καλή λύση για όλα αυτά είναι το Kodingen.com. Πρόκειται για μια web εφαρμογή η οποία σας επιτρέπει να ανεβάσετε τα project σας σε έναν δικό τους development server με διάφορες τεχνολογίες (php/perl/python/ruby, mysql/postgresql κλπ) και έπειτα να το επεξεργαστείτε με μια σειρά από editors που έχουν. Μπορείτε να το δοκιμάσετε online και έπειτα να το κατεβάσετε ή να το μεταφέρετε σε κάποιο δικό σας server μέσω ftp.

Η εφαρμογή είναι δωρεάν στη χρήση με κάποια βασικά resources (τα οποία είναι αρκετά για μικρά project), ενώ μπορείτε να αγοράσετε επιπλέον χώρο/domains/bandwidth κ.λ.π. σε εξαιρετικά χαμηλές τιμές.

Επίσης, υποστηρίζεται subversion σύστημα, πρόσβαση σε shell, ενώ για την πλήρη αξιοποίησή του, περιβάλλεται και από ένα social network που μπορεί να σας τροφοδοτήσει με πολύ χρήσιμες πληροφορίες, ή απλά να σας βοηθήσει να συνεργαστείτε με άλλους προγραμματιστές χωρίς να χρειάζεται να μοιραστείτε passwords και ευαίσθητες πληροφορίες μαζί τους.

Τέλος, κάτι πολύ χρήσιμο είναι η εγκατάσταση εφαρμογών στο χώρο σας, με ένα κλικ. Δείτε στο παρακάτω video ένα παράδειγμα:

Kodingen.com : Online Development Environment, ODE from Kodingen on Vimeo.

Το περιβάλλον είναι ακόμα σε beta έκδοση, όμως βελτιώνεται συνεχώς και από ότι φαίνεται πολύ σύντομα θα βγει στον αέρα κανονικά.

Πρέπει να αναφέρω ότι το Project είναι βασισμένο σε open source τεχνολογίες και είναι και το ίδιο Open Source. Η σελίδα του στο Google Code αναφέρει ως άδεια την GNU GPL2.

CaptainBook.gr

Το τελευταίο project που ανέβασα είναι ένα ηλεκτρονικό κατάστημα το οποίο έστησα για λογαριασμό τριών φίλων, σε συνεργασία με τον εξαιρετικό γραφίστα Γιάννη Αγάθο.

Το Logo
Το Logo

Αν και ακόμα δουλεύουμε και κάνουμε διαρκώς αλλαγές, το site λειτουργεί ήδη σε beta μορφή και μπορείτε να κάνετε κανονικά τις αγορές σας από αυτό.  Ήδη έχω κάνει μια πολύ μεγάλη παραγγελία την οποία και παρέλαβα σήμερα.

Μια ιδιαιτερότητα του site σε σχέση με άλλα ηλεκτρονικά καταστήματα με βιβλία, είναι ότι πέρα από κατάστημα, είναι ένα πλήρες portal γύρω από το βιβλίο. Θα έχει αρκετά πλούσια αρθρογραφία, πληροφορίες όπως βιογραφικά συγγραφέων, αλλά και διάφορες λειτουργίες με σκοπό να το μετατρέψουν σε μια δυνατή κοινότητα γύρω από το βιβλίο.

Η υλοποίηση έγινε με τη βοήθεια δύο πολύ δυνατών open source projects. Το ένα είναι το Zen Cart για τις λειτουργίες του cart, το άλλο είναι το wordpress για τις λειτουργίες της κοινότητας.

Φυσικά για να τα παντρέψω χρειάστηκε αρκετές τροποποιήσεις, ενώ για τις ιδιαίτερες ανάγκες του καταστήματος χρειαστήκαμε πάρα πολλά custom modules και plugins, ενώ αναπτύσσουμε σταδιακά και άλλα.

Για να είμαι και σωστός απέναντι στην κοινότητα, κάποια στιγμή που θα είναι 100% ολοκληρωμένο το site, θα δημοσιεύσω κάποιο από τα modules ως open source.

Όσοι λοιπόν ψάχνετε για κάποιο βιβλίο… ρίξτε και μια ματιά από το CaptainBook.gr. Εννοείται ότι κάθε σχόλιο είναι ευπρόσδεκτο!

Update στο WordPress

Βρέθηκε ένα κενό ασφαλείας στο WordPress και για να διορθωθεί βγήκε νέα έκδοση, η 2.6.3. Όμως όσοι θέλουν να αναβαθμίσουν, μπορούν να κατεβάσουν μόνο τα δύο αρχεία που αλλάζουν.

  1. wp-includes/class-snoopy.php
  2. wp-includes/version.php

Τα κατεβάζετε και αντικαθιστάτε τα παλιά.

Open Flash Chart

Τις τελευταίες μέρες για τις ανάγκες ενός project που ετοιμάζω για έναν πελάτη έπρεπε να δημιουργήσω κάποια γραφήματα. Αρχική μου σκέψη για να γλιτώσω χρόνο από το development ήταν να χρησιμοποιήσω το Google Chart API, το οποίο δίνει με πολύ εύκολο τρόπο τη δυνατότητα να ενσωματώσει κάποιος στη σελίδα του μια σειρά από γραφήματα.
Μέχρι ένα βαθμό με κάλυπτε, δέχεται αρκετά μεγάλη παραμετροποίηση, είναι πολύ εύχρηστο και φυσικά έχει πολύ καλό design.
Όμως σκέφτηκα να ψάξω μήπως βρω κάποιο καλύτερο framework – το οποίο να ενσωματώνεται στο project μου και όχι να κάνω κλήσεις σε τρίτα site.
Τελικά έπεσα πάνω στο Open Flash Chart, ένα open source project, το οποίο δημιουργεί γραφήματα σε flash, ενώ παρέχει βιβλιοθήκες για τον χειρισμό τους σε όλες τις δημιφιλείς scripting γλώσσες, όπως την PHP που χρησιμοποιώ.
Κυκλοφορούν μάλιστα δύο εκδόσεις του, η δεύτερη πολύ πιο βελτιωμένη, αλλά παράλληλα συντηρείται η πρώτη που είναι πιο απλή στο χειρισμό.
Τελικά χρησιμοποιώ αυτό. Όποιος χρειάζεται κάποιο εντυπωσιακό framework για να δημιουργεί charts, ας ρίξει μια ματιά.