Сколько у нас живёт леммингов?
Спросите у Жаваскрипта =)
Смотрим жаваскрипт:
Наслаждаемся простотой =)
p.s. спасибо http://ithappens.ru/story/4457
Ребята достаточно чётко формулируют мысль =)
Из десяти скачанных тем WordPress из публичного доступа в шести были различные eval конструкции, с зашифрованным содержимым методами gzinflate(str_rot13(base64_decode('DZZUzqR1AlGv0ruuEgt8ApqZLuG9t8mmlWvPhyc5/fwnCD0p9CL+/PPfP3+V53
Достаточно печальная тенденция. После ручной расшифровки eval блоков предстаёт содержимое, подобное этому http://lenta.iadlab.ru/2010/09/21/wordpress-eval/.
Подобные скрипты способны:
1. Получить информацию о файлах текущего сайта, включая конфигурационный файл, в котором написан пароль для подключения к базе данных.
2. Ко всем данным базы данных сайта и при получении пароля из пункта 1, ко всем базам доступным этому логину (обычно это все базы сервера, т.к. мало кто заморачивается созданием отдельных логинов).
3. Скачать информацию с любого другого сервера и развернуть хакерский инструментарий где-нибудь в папке с открытым доступом (обычно папки, в которые загружаются рисунки доступны на запись). Таким образом хакер сможет в любой момент подключиться к серверу и выполнить любую команду(в соответствии с полученным доступом).
4. Выполнение произвольных команд. Использую PHP функцию system можно выполнить любой скрипт в консоле (от прав текущего пользователя). При удачном стечении обстоятельств возможно получение прав суперпользователя root.
И всё это может произойти как только вы скопировали тему(плагин) в каталог сайта. Первый вход в админку сайта вызовет индексацию темы, что уже может привести к выполнению вредоносных процедур.
В общем, был подготовлен сервис, для проверки PHP кода:
1. Проверка на eval конструкции, выполнение раскрытия этих конструкций
2. Проверка кода на содержание функций способных получить информацию, либо причинить деструктивные действия.
Сервис проходит стадию внутреннего тестирования и будет доступен по адресу http://uneval.com/ на ближайших выходных. По факту открытия будет более полный обзор.
Удачного дня!
Наткнулся на слайды презентации доклада Сергея Нурк на YaC, Москва, 1 октября 2010 года. «Автоматический сбор данных по примерам».
У меня в голове сложилась полная модель одного интересного проекта, который обдумываю уже пол года.
Качать тут: http://narod.ru/disk/25824717000/_Sergey_Nurk_AutoExtraction_By_Example.pdf.html
P.S. Большое спасибо Сергею за материал.
Это всё, надорвал живот от смеха
Про коменты к статье даже упоминать не буду, если что,- гуглится.
О_о
Сохраню для внуков =)
Японцы жгут. Комментарии излишни =)
2. Сравнительный анализ хранилищ данных. Имхо выбирать СУБД нужно вкупе с разработкой идеологии проекта. Большинство СУБД я на текущий момент знал, так что было не сильно интересно. Для меня пользы никакой.
3. Sphinx — если вкратце — реалтайм индекс и немного истории. Активно юзаю сфинкс, радует что направление развития правильное.
4. 10 Ошибок начинающих ИТ менеджеров. Со всего доклада вынес только названия книжек, которые почитаю. Это философы(хз) Адизес, Демарко, Спольски. Ещё придётся поработать со своей робкостью, думаю результат будет. Достаточно уверенный докладчик, семинар в основном мотивирующий.
5. рабочий процесс при разработке web приложений… — просто ужос. Всё скомкано, линию доклада проследить сложно. Под конец стало понятно, что ребята юзают Eclipse, систему контроля версий, хз какую, наверное git. Все js и css пишут в отдельных файлах для каждой кнопочки а потом собирают в кучу и засылают автоматом на продакшн сервер по ftp. Жуткий доклад. такое ощущение что почитал википедию.
6. nginx. Активно использую nginx, но, доклад был похож на чтение мана. Как я понял nginx работает кое-как, if в конфигах нужно писать очень осторожно, раз десять погуглив. В какую сторону развивается nginx после доклада вообще непонятно. Про вкусности как балансирование нагрузки — ни слова. Ну, учитывая, что на доклад было всего 30 минут, видимо по-другому бы не получилось. Вообще, если в зале был кто-либо, кто настраивал nginx — всю лабуду про конфиги можно было опустить а рассказать про перспективы и историю успеха.
7. Прекращаем писать код. Как я понял, Аксёнов пытался донести, что жизнь говно =), но нужно жить дальше и писать код, тратя на него как можно меньше времени(имеется ввиду затраченное время на создание куска кода и время которое потребуется для сопровождения, чтобы не было лишних траблов). Эдакая золотая середина в написании кода. Для закрытия конфы вполне доклад.
Порадовал фуршет с коньяком. Но тесный зал был малость неудобен. Ни с кем новым не знакомился, только встретил бывшего преподавателя из Университета. Привет ему.
В целом всё в порядке. Просто настроение такое=)
P.S. Остальные отзывы есть на сайте девпоинта http://devpoint.ru/blog/f/46776_Otzyvy_o_konferencii_DevPoint_2.html
admin 
