1. Форум находится в стадии переноса. Многое может не работать. Просьба потерпеть. Любые проблемы обсуждаем в теме переезда.
    Скрыть объявление

Услуги сисадмина

Тема в разделе "Программирование", создана пользователем Glueon, 25 Декабрь 2014.

  1. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    За последние недели появилось множество уязвимостей в популярных продуктах, публикуем некоторые из них в нашем сегодняшнем обзоре.

    1) Множество проблем с плагинами Wordpress.
    - Уязвимость в плагине WordPress CrossSlide jQuery, решения данной проблемы нет и разработка его прекращена - http://packetstormsecurity.com/file...ite-Request-Forgery-Cross-Site-Scripting.html
    - SQL-инъекция в WordPress Survey and Poll Plugin, требуется обновить версию плагина с официального сайта - http://packetstormsecurity.com/files/130381/WordPress-Survey-And-Poll-1.1.7-Blind-SQL-Injection.html
    - SQL-инъекция в WP SlimStat, необходимо обновление с сайта поддержки - http://blog.sucuri.net/2015/02/security-advisory-wp-slimstat-3-9-5-and-lower.html
    - Обход ограничений безопасности в WordPress FancyBox, проблема не решена на текущий момент, и мы рекомендуем не использовать данный подукт до выхода полноценного апдейта. Подробности - http://blog.sucuri.net/2015/02/zero-day-in-the-fancybox-for-wordpress-plugin.html

    2) Обход ограничений безопасности в Node.js.
    Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за наличия встроенной уязвимой версии OpenSSL. Подробности не разглашаются. Требуется выполнить обновление - http://blog.nodejs.org/2015/01/26/node-v0-10-36-stable/

    3) SQL-инъекция в WHMCS Admin Credit Routines.
    Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за ошибки в WHMCS. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Подробности о проблеме и варианты решения - http://blog.whmcs.com/security.php?t=83303

    4) Множественные уязвимости в BIND.
    Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и обойти ограничения безопасности. Целых семь уязвимостей выявлено в данном программном продукте. Для их устранения выполните обновления с сайта производителя - http://permalink.gmane.org/gmane.network.dns.bind.announce/528

    5) Обход ограничений безопасности в Squid.
    Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за ошибки при обработке digest-аутентификации. Удаленный пользователь может обойти ограничения безопасности. Подробности - http://bugs.squid-cache.org/show_bug.cgi?id=4066

    Рекомендуем всем регулярно обновлять софт и следить за новостями из мира ИБ. Мы проводим консультации по вопросам безопасности серверов, помогаем с автоматизацией обновлений софта на серверах и разрабатываем специализированные решения.

    Свяжитесь с нами:
    jabber: slava@contactroot.com
    skype: contactroot
    icq: 657324100
    aim: glueon@contactroot.com
    yim: glueon@yahoo.com
     
  2. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    При управлении интернет-проектом сложно просчитать все риски на старте, а это неизбежно чревато убытками и потерями. Чаще всего самые очевидные вещи становятся таковыми только по факту приобретения опыта. Кто как не админы в курсе самых печальных историй :)

    1) Если у вас блог (или любой другой сайт на популярной CMS), то что произойдет, если пароль к вашему администраторскому аккаунту утечет в сеть и любые данные могут быть скомпроментированы или удалены? Вы уже настроили удаленное резервное копирование? Если что-то подобное произойдет в выходные, не потеряете ли вы 48 часов до первой реакции и чем это может быть чревато? Если бекапы настроены, то в силах ли вы их восстановить сами в адекватный промежуток времени?

    2) Если у вас имеется приложение для FB/VK или инфо-продукт, справится ли ваш сайт с внезапно возросшим трафиком? Установлены ли у вас проактивные системы мониторинга активности и извещения по почте/асе/джаберу/sms в случае достижения пиковых значений?

    3) Если у вас бизнес, связанный с большими массивами данных (file sharing, torrent-tracker, backup service, VCS), готова ли ваша инфраструктура к балансировке между общим объемом хранимых данных и производительностью? Какие варианты решения ситуации внезапного резкого потребления трафика?

    4) Если вы управляете рекламной сетью, то предусмотрен ли у вас случай увеличения в короткий срок производительности до несколько миллионов показов? Как ваша инфраструктура впишется в масштабирование мощностей? Отслеживаете ли вы доступность и нагрузку на каждый отдельный элемент, где имеется реальный трафик (landing pages, feed, statistic page)?

    5) Если у вас свой интернет-магазин, то что случится если платежный шлюз (или связь между вашим сервером и gateway/API) упадет? Что будет с потенциальными клиентами и какого ваше время реакции на данную серьезную проблему?

    Мы готовы делиться с вами негативным опытом наших клиентов и предупреждать убытки. Подобный аудит довольно затратное по времени мероприятие, поэтому мы не можем гарантировать мгновенные результаты. Все сроки проведения работ оговариваем в прямой зависимости от нашей нагрузки.

    Работает универсальная формула:
    http://book.yd73.ru/wp-content/uploads/2014/04/note.png
     
    Последнее редактирование модератором: 19 Апрель 2015
  3. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    Сегодня наша команда рада анонсировать новый сервис - помощь в написания технического задания на проект (на сайты и программное обеспечение).

    Если у вас имеется идея и краткое описание, как вы видите себе проект, то мы поможет формализовать её в готовое техническое задание на разработку.

    Что требуется от вас?
    1) Use case (варианты использования, сценарии поведения).
    Какие варианты использования предполагаются у вашего ПО/сайта? Каковы сценарии действий пользователей вашего продукта, что они могут с ним делать и к чему это приводит?
    2) Описание workflow (поток задач).
    Какие задачи решаются вашим ПО/сайтом и каком объеме?
    Какие процессы протекают в проекте?
    3) Существующие примеры аналогичных реализаций.
    4) По возможности описание предметной области.
    Какие в проекте есть сущности и их назначения.
    Есть ли в нем пользователи, состоят ли они в группах?
    Есть ли какие-либо объекты - серверы, товары, книги и прочее. Каковы их функции, какие задачи с помощью них решаются.
    5) Сроки реализации и дополнительные требования к проекту. Необходимость соответствия определенным стандартам и сертификациям.
    6) Предполагаемый бюджет на разработку.
    7) Требования к используемому в проекте стэку технологий.

    Что мы предоставляем?
    Обычно мы предоставляем заказчику описание в таком формате, но в зависимости от конкретного проекта некоторые пункты могут опускаться.
    1. Введение.
    Описание проекта для общего понимания задачи разработчиком.
    2. Эксплуатационное и функциональное назначение.
    Первое понятие включает в себя выгоду, которой мы добиваемся используя ПО/сайт, второе понятие - какими техническими средствами это будет осуществляться.
    3. Подробное описание предметной области, ее техническое представление, связи между объектами и описание их взаимодействия.
    4. Термины и определения.
    В целях исключения возможного недопонимания важные понятия лучше отразить в этом разделе.
    5. Функциональные характеристики.
    6. Требования к надежности и хостингу.
    Учет требования высокой производительности, требований к интерпретаторам и дополнительному ПО на сервере.
    7. Сдача и приемка.
    Описание тех условий, при наступлении которых должен состояться расчет за работу, плюс дальнейшая поддержка и исправление багов.

    Стоимость ТЗ начинается с 50 USD в зависимости от сложности поставленной задачи.

    Консультируем по любым непонятным моментам.
    Гарантируем, что ТЗ будет понято профессиональным разработчиком.
    Как дополнительная услуга: можем помочь с рекрутом кодеров и контролем разработки (как и предложить свои услуги).
     
  4. TrueMan

    TrueMan New Member

    Сообщения:
    36
    Симпатии:
    0
    Почему и ни 1 отзыва в теме нет?:( Вода..
     
  5. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    TrueMan, мы спокойно относимся к работе без предоплаты. Воспользуйтесь нашими услугами и будьте первым, кто оставит здесь отзыв. На других форумах достаточно отзывов о нашей работе: http://contactroot.com/otzyivyi-o-nashey-rabote/
    Что вы понимаете под "водой"? Покажите мне пример того, кто занимается кодингом или системным администрированием на форумах и расписывает свои услуги и примеры реализаций подробней, чем мы. Я с радостью посмотрю :)
     
  6. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    Нам часто приходится решать очень мелкие задачи по администрированию, и сегодня мы хотим привести небольшой обзор нашей работы за последнюю неделю.

    1. Фильтрация небольшого DDoS на операционной системе Debian средствами iptables+fail2ban+nginx.

    2. Помощь в адаптации скриптов клиента к транслированию видео со стороннего источника. Был предоставлен веб-сайт, на котором при помощи обфусцированного JS-кода на воспроизведение выводится видео из видеосервиса, ссылка на которое собирается из нескольких мест и зашифровано паролем. Был разработан скрипт, который, получая ссылку с сайта, выдает ссылку на видео.

    3. Полуавтоматическая миграция веб-хостинга клиента с панели управления Direct Admin на ISPManager. Суммарно был выполнен перенос семи серверов в ограниченный промежуток времени, написан ряд скриптов для автоматизации переноса настроек и проверок доступности веб-сайтов.

    4. Написана инструкция + записано поясняющее видео по установке комплекта Ejabberd и OpenVPN на Debian силами клиента.

    5. Выполнена установка и настройка средства автоматического функционального тестирования веб-приложений Selenium. Установка производилась на сервер, поэтому необходимо было настроить Selenium на работу без дисплея. Также были написаны скрипты для автоматического запуска всех зависимостей при загрузке системы.

    6. Оптимизация работы БД MySQL. В целях повышения производительности были изменены параметры innodb_buffer_pool_size, innodb_atrx, увеличен кэш запросов и сменена политика транзакций.

    С сегодняшнего дня у нас доступны для связи два дополнительных контакта - мобильные мессенджеры Viber и Telegram. Доступны для поиска по номеру телефона: +79657702554. В рабочее время по данному контакту наш менеджер по продажам всегда рад ответить на ваши вопросы. Звонки на этот номер не принимаем.

    Свяжитесь с нами:
    jabber: slava@contactroot.com
    skype: contactroot
    icq: 657324100
     
  7. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    За последнее время появилась множество уязвимостей в программных продуктах, но об одной наверное слышали уже многие. Речь пойдет конечно же о VENOM и проблеме с виртуальным флоппи дисководом.

    Привилегированный пользователь виртуальной машины потенциально может вызвать ее сбой и запустить произвольный код в хост-системе с разрешениями QEMU. Даже если виртуальный дисковод не настроен, эту уязвимость все равно можно будет эксплуатировать.

    [​IMG]

    Больше информации вы можете почерпнуть в статье на ZdNet (link - http://www.zdnet.com/article/venom-security-flaw-millions-of-virtual-machines-datacenters/ ).

    Если ваш виртуальный сервер за последнюю неделю без предупреждения перезагружался, вероятно хостер обновлял ПО на сервере и вы уже находитесь в защищенности. :)

    Небольшой обзор более мелких проблем:
    1) Компрометация системы в Magento. Удаленный пользователь может скомпрометировать целевую систему. Уязвимость существует из-за ошибки, позволяющей обойти механизм аутентификации.
    Обновление доступно на официальном сайте: http://www.magentocommerce.com/products/downloads/magento/
    2) Отказ в обслуживании в FFmpeg. Удаленный пользователь может вызвать отказ в обслуживании.
    Обновление доступно: https://github.com/FFmpeg/FFmpeg/commit/e8714f6f93d1a32f4e4655209960afcf4c185214
    3) Межсайтовый скриптинг в FreePBX. Удаленный пользователь может осуществить XSS-атаку.
    Подробности: http://git.freepbx.org/projects/FRE...mits/2aad006024b74c9ff53943d3e68527a3dffac855
     
  8. Vasermans

    Vasermans New Member

    Сообщения:
    4
    Симпатии:
    0
    позитивные ребята, помогали мне с размещением на vps сервере http://freehost.com.ua/vps/
     
  9. Автор темы
    Glueon

    Glueon New Member

    Сообщения:
    24
    Симпатии:
    0
    Мы давно и успешно занимаемся администрированием биллинга WHMCS, модификацией и разработкой с нуля плагинов и хуков, а также интеграцией ваших разработок в готовую систему. Сегодня мы хотим кратко остановится на конкретных задачах, которые решаются нашими специалистами в этой области.

    1) Обновление системы до новых версий с проверкой работы всех установленных плагинов. Зачастую в новых релизах меняются базовые шаблоны, в связи с чем ваши личные темы оформления могут стать нерабочими, либо не получить нового функционала.

    2) Миграция на WHMCS с других панелей, корректный перенос данных. Можем разобраться в структуре существующего биллинга, написать соответствующие скрипты для плавного переноса данных в новый биллинг.

    3) Первичная установка панели на ваш сервер и первоначальная настройка с учетом всех необходимых требований.

    4) Конфигурирование по заданию заказчика, консультирование. Настройка используемых модулей и пояснение работы их отдельных частей, добавление и проверка работы доменных регистраторов, платежных шлюзов и создание cron задач.

    5) Дополнительная настройка безопасности.
    Кроме стандартных средств, которые мы применяем для защиты серверов от вторжения. Дополнительно можно установить basic auth папки панели администратора, а также сменить путь до ее, удалить неиспользуемые аддоны и модули.

    Если у вас большая задача, пожалуйста, отправьте ее на электронный адрес: glueon@contactroot.com.
    Готовы ко всему сложному и нестандартному.

    Свяжитесь с нами:
    jabber: slava@contactroot.com
    skype: contactroot
    icq: 657324100
     
  10. StropuvaSib

    StropuvaSib New Member

    Сообщения:
    2
    Симпатии:
    0
    НЕОБХОДИМЫ УСЛУГИ ПРОГРАММИСТА В НАПИСАНИИ КОМПЬЮТЕРНОЙ ПРОГРАММЫ ИЛИ МАКРОСА EXCEL в зависимости от цены.
    ПРОГРАММА ДЛЯ ПЛАНИРОВАНИЯ И УЧЕТА ТРЕНИРОВОЧНОЙ НАГРУЗКИ В ТЯЖЕЛОЙ АТЛЕТИКЕ.
    ОПЛАТА СДЕЛЬНАЯ.
     

Поделиться этой страницей