Category: Security

不安全的 Internet

上看到 (The BBC's Honeypot PC) 利用一台 (儘可能使他安全,我猜應該是開 Firewall + 防毒軟體之類的步驟...) 裝 ,然後在裡面安裝 (預設安裝,如同一般家庭所使用的) 然後上 Internet 測試。使用 的原因是可以在短時間內恢復整個系統,而且可以確保恢復的系統是乾淨的。

上 Internet 後測試的結果當然是超慘啦,Port Scan、Virus Attack 樣樣都來,然後宣稱 Internet 是不安全的 (雖然是事實...):Tracking down hi-tech crime。不過現在的洞大多都不是從這種地方攻擊,大多都是 E-mail 病毒、IE 漏洞造成的... 其實跟 Firewall 已經沒什麼太大的關係了。

就當作促進產業發展的置入性行銷吧 :p

Amazon S3

剛剛在 看到 備份服務的文章 (看了一下那篇文章的日期,應該是還沒在 上讀到而已),仔細看了一下價錢,相當不錯啊 :~

  • $0.15 per GB-Month of storage used.
  • $0.20 per GB of data transferred.

換算一下,儲存的量才 NTD$4.5/GB-Month,流量也才 NTD$6.5/GB,在沒有最低使用金額,可以買個來玩看看...

PHP 裡檔案的上傳

要寫 code 的時候忘了關鍵字,隨手找了一下 PHP 上傳的資料,發現大家都是用 copy() + unlink() 的方法,沒有人是用 網站提供的函數直接處理:

網站的說明裡的 Chapter 38. Handling file uploads 提到你可以直接用 move_uploaded_file() 處理, 會檢查這個檔案是不是使用者所上傳的檔案。同時,這個指令在某些情況下也會比較有效率。(在 /tmp 與 destdir 同個 filesystem 的情況下)

OpenSSH 的修補

剛剛在 的 CVS Log 上看到 也有漏洞要修補... (!@#$%^) 不過 Security Advisory 還沒看到 Security Officer 丟出來,要再看看要怎麼處理...

補記:看起來是 這兩份,不過目前這兩份文建的狀態都是 Under review,以目前的敘述看起來是 DoS attack 的...

Update:SA 放出來了:Multiple vulnerabilities in OpenSSH,一個是 ,另外一個是

後者是在打開 GSSAPI Authentication 時的漏洞,預設是關掉的,所以應該還好...

OpenSSL 的安全性更新

參考:Multiple problems in crypto(3),從 4.11 後的版本都有提供 security patch。(雖然早就說不維護 4.11 了,但這個包袱實在太重,還有不少機器跑 4.11,所以大家都心知肚明... XD)

這次不更新的話會中大獎 (remote buffer overflow),所以凌晨看到後超熱血一次開了 30 個窗連到一堆機器上跑 make world,不讓學弟/妹慢慢做了... 結果做完後發現原 patch 是有問題的 (喂喂),所以又出了第二個 patch,看了一下說明,看起來是有 patch 掉,但沒 patch 乾淨,可能還是會造成 DoS 攻擊...

那我就懶了,學弟妹上吧... XD

最近流行黑... 銀行的 ATM 提款機

最近美國很流行玩銀行的 ATM 提款機 XD

先是透過 找某款 ATM 機器 (Mini-Bank 1500) 的預設密碼,如果裝機的時候沒改,就可以用它來惡搞 XD (參考 Googling for ATM Master Passwords 這篇)

再來是有人也爆料 ATM 提款機的預設密碼也可以透過 找到:Another ATM Maker Pwned by Googling

好棒啊... XD