abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 03:00 | Zajímavý software

    Erin Catto, autor open source 2D fyzikálního enginu Box2D (Wikipedie), představil nový 3D fyzikální engine Box3D. Engine je již používán ve hře The Legend of California.

    Ladislav Hagara | Komentářů: 0
    dnes 01:00 | Nová verze

    Byla vydána nová verze 4.0.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy nových filtrů na PIXLS.US.

    Ladislav Hagara | Komentářů: 0
    včera 14:22 | Zajímavý článek

    Český statistický úřad (ČSÚ): Průměrná hrubá měsíční mzda ICT specialistů v roce 2025 meziročně vzrostla o 6 % na téměř 100 tisíc korun. Nejlépe placeni byli vývojáři softwaru. Dlouhodobým trendem zůstává nízké zastoupení žen, a to jak mezi specialisty, tak studenty těchto oborů.

    Ladislav Hagara | Komentářů: 5
    včera 14:11 | IT novinky

    Ochranný svaz autorský (OSA) připravuje žalobu na společnost Suno, která umožňuje generování hudby pomocí umělé inteligence (AI). ČTK to sdělil předseda představenstva OSA Roman Strejček. Suno podle něj bez souhlasu využívá k trénování svých modelů hudbu autorů, které svaz zastupuje. Nedávný investigativní materiál magazínu The Atlantic ukázal, že firmy jako Suno nebo Udio k trénování modelů používají rozsáhlé databáze obsahující miliony skladeb. V databázích, které časopis zveřejnil, lze dohledat i písně řady českých a slovenských umělců.

    Ladislav Hagara | Komentářů: 2
    včera 13:33 | Komunita

    Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Vyřešen byl problém s macOS 27 Golden Gate. Vývoj lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    včera 12:55 | IT novinky

    EU dnešním dnem zavedla clo ve výši 3 eur na balíky nízké hodnoty dovážené ze zemí mimo EU. To zahrnuje širokou škálu výrobků běžně nakupovaných on-line, jako jsou oděvy, hračky, elektronika a další spotřební zboží v hodnotě až 150 EUR.

    Ladislav Hagara | Komentářů: 4
    včera 08:55 | Nová verze

    Vyšel Redmine 7.0, jeden z nejlepších open source ticketovacích systémů. Došlo k migraci na Rails 8, vylepšení UI/UX, Workflow, byla přidána podpora náhledu pro Microsoft Office a LibreOffice dokumenty, došlo k výkonnostním optimalizacím a přibylo spoustu dalších oprav a novinek. Více informací v oficiálním oznámení.

    Max | Komentářů: 0
    30.6. 16:22 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 166 (pdf).

    Ladislav Hagara | Komentářů: 0
    30.6. 03:33 | Pozvánky

    Blíží se prázdniny a než se rozutečete k moři, je na čase se opět sejít na Virtuální Bastlírně - pravidelném setkání elektroniků, ajťáků, bastlířů a obecně nadšenců do techniky. Co si pro vás strahovští bastlíři připravili tentokrát? Určitě proberou blížící se Linux Days i další události. U softwaru se chvíli zdrží a poví si kupříkladu o tom, jak se zbavit Bambu Cloudu, ale nepřijít o možnost ovládat tiskárnu na dálku. Řeč dojde i na AI,

    … více »
    bkralik | Komentářů: 0
    30.6. 03:22 | Nová verze

    Vývojáři postmarketOS vydali verzi 26.06 tohoto operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME, KDE Plasma Mobile, Phosh a Sxmo.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (26%)
    Celkem 2031 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník

    DoS v praxi aneb PHPSYSINFO je nebezpečné

    23.11.2009 08:47 | Přečteno: 2711× | Výběrový blog | poslední úprava: 23.11.2009 08:49

    Z dlouhé chvíle jsem včera Googlem vyhledával magickou formulku Vytvořeno pomocí phpsysinfo a sledoval, jaké že systémy nám o sobě chtějí něco prozradit.

    Vybíral jsem si pomalejší stroje, kterým zpracování stránky se statistikami phpsysinfo trvá nějaký čas (řádově sekundy). A hádejte, co se asi stane, když v prohlížeči zmáčknete rychle za sebou CTRL + R (Reload), řekněme jen 20x za sebou? Zkusil jsem si to i na lokální síti na svém pokusném serveru (PIII 600MHz), no na pár desítek minut byl můj stroj vyřazen z činnosti. Ani přes SSH se nedalo připojit. Load se dostal až na hodnotu 110. PHPSYSINFO je velmi nebezpečná zbraň proti pomalejším strojům a ideální nástroj na menší DoS - Denial of Service - odepření služby. Zabrouzdal jsem i mimo české luhy a háje a sledoval, jak se jeden francouzský (domácí) server odporoučel na dále než 1 hodinu :-) Jiný zase (CPU AMD K6-2) přišel o svůj hezký uptime a restartoval se, možná tam byl nějaký watchdog. A to se, prosím pěkně, nemusíte ani moc snažit. Stačí jen pár reloadů stránky... Perlička byl nějaký polský (vědecký?) server, který běžěl na nějakém slabém PPC procesoru. Ten vyhnil tak, že správce ihned zasáhl, jakmile se k serveru dostal a adresář s phpsysinfo urychleně smazal...

    Nebyl to z mé strany pokus o žádný DoS, jen jsem zkusil na pár strojích, jak mocnou zbraní tento nástroj je. Mé doporučení: PHPSYSINFO, pokud běží zejména na pomalém serveru, rozhodně nezpřístupňovat široké veřejnosti. :-)

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Dalibor Smolík avatar 23.11.2009 09:51 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    No dík za informaci ;-) PHPSYSINFO používám taky
    Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
    23.11.2009 10:05 manasekp
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    dik, taky to na serveru mam tak to asi vyhodim.
    Jezekus avatar 23.11.2009 10:23 Jezekus | skóre: 19 | blog: jezkova_nora
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Přijde mi, že to funguje jen na starší verze phpsysinfa. Ted jsem to zkoušel na svém stroji a nepodařilo se mi to s novou verzí udělat, protože to parsuje XML a jsou tam hodně dlouhé intervaly, kdy při pokusu o obnovení nastane chyba parseru. Ale třeba něco dělam špatně. Se starší verzí sice load vylezl výš, ale server odpovídal normálně, asi to bude taky o nastavení Apache.
    23.11.2009 10:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Jo. Výstup z phpsysinfo vypadá hezky. Jenže základní otázka zní jinak. K čemu to je dobré?

    Pokud jsem správce serveru, tak si tyto informace vytáhnu jiným způsobem a návštěvníkům je prd do toho na jakém železe web provozuji.
    23.11.2009 11:53 R
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Presne tak - taketo veci na verejne dostupny server nepatria. A ked uz, tak chranit HTTP autentifikaciou.
    Luboš Doležel (Doli) avatar 23.11.2009 12:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Nač phpsysinfo. V dnešní době, kdy firmy dávají vývoje větších portálů amatérským PHP prasatům, stačí málo. Pro prase není problém, aby jediná stránka generovala stovky SQL dotazů. Pak se člověk diví, že zpracování trvá třeba 4,6 sekundy. To takového webu se stačí jen trochu opřít a je vymalováno.
    Limoto avatar 23.11.2009 13:31 Limoto | skóre: 32 | blog: Limotův blog
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Ono i to samotný PHP trvá šíleně dlouho, a ani to nemusí být extra zprasený...
    23.11.2009 13:33 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Docela bych se ohradil proti spojení amatér a prasení. Prasit umí kde kdo, bez rozdílu na to zda vyvíjí soft jako amatér či v rámci velké firmy. Ba dá se říct, že leckterý amatér prasí mnohem méně, protože ho nikdo do prasení nenutí.
    23.11.2009 17:41 Kvakor
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Ano, to je přesné. Profesionálove (tj. ti, co se tím živí) mají často mnohem více důvodů k prasení než amatéři, které nehoní žádný termín a kteří nemusí řešit vzájemně protichůdné požadavky zadavatelů, grafiků (nejhorší jsou tiskový grafici) a HTML kodérů. Amatéři prasí z neznalosti a neschopnosti, ale jen profesionál je se schopen spáchat opravdu gigantickou prasárnu, protože tam, kde by amatér už dávno odpadl, on pokračovat musí.

    Já sám jsem pomáhal několka gigantickým prasárnám přežít tím, že jsem je částečně odprasil, aby mohly fungovat po změně hostingu, přitom většina odprasovacích metod byla sama o sobě prasárnou - například dodnes mám po ruce kousíček kódu, který obejde vypnuté register_globals pomocí volání fce. extract() na superglobální pole ($_GET, $_POST ...).

    Je to "prasárna jako prase", nicméně funguje (resp. nesetkal jsem se s případem, kdy by nefungovala) a dá se i u nejsložitějších případů aplikovat v řádu minut, zatímco ruční procházení zdrojáků by zabralo hodiny a ještě by se muselo vše otestovat, protože někteří programátoři jsou schopní psát velmi kreativne (tj. tak, že by se v tom ani prase nevyznalo).

    Ano, bylo by mnohem čistější projít ručně kód, analyzovat použité proměnné a vše podle potřeby opravit, ale to pokud zadavatel počítá, že oprava bude "přepsání pář řádků" a za víc nezpalatí, je použití prasárny jediné řešení.

    Amatér si může dovolit zahodit celý kód a napsat to znova. Profesionál musí udržovat prasárny v chodu, dokud se vedení nerozhodne, že prásárna je už opravdu neudržovatelná, načež je zahozena a nahrazena něčím, z čehož se v důsledku Murphyho zákonu průběhem času určitě stane ještě větší prasárna než ta předtím ...
    Luk avatar 23.11.2009 18:50 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Amatéři prasí z neznalosti a neschopnosti, ale jen profesionál je se schopen spáchat opravdu gigantickou prasárnu, protože tam, kde by amatér už dávno odpadl, on pokračovat musí.
    Jak už jsem nejednou říkal, již vícekrát jsem viděl neuvěřitelně prasácký kód psaný amatéry. Pro některé z těchto lahůdek bych neváhal použít termín "opravdu gigantická prasárna" ;-)
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    23.11.2009 14:27 dexík | skóre: 4 | blog: im_back
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    a takhle se z dos dela ddos bez pouziti botnetu :-D

    just joking
    23.11.2009 15:31 Mandarinka
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    "Nebyl to z mé strany pokus o žádný DoS" --- no fakticky to nebyla ni tak pokus jako ten DoS, když jste odporoučel 4 servery.
    xkucf03 avatar 23.11.2009 16:18 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    njn, každý, kdo má na klávesnici tlačítko F5 je (kyber)terorista a měli by ho zavřít :o)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    23.11.2009 16:43 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Pro jistotu jsem si ho odstranil ;-). Škoda, že nemám kompatibilní další klavesnici, pak bych měl F4 F4 F6 :-D.
    23.11.2009 16:21 A
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Skus CTRL + R tu :-D
    poky74 avatar 23.11.2009 19:37 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    wtf? co to? to je nějakej cluster?
    Chcete Linuxové samolepky nebo Tuxe na klíče? ->
    xkucf03 avatar 23.11.2009 20:38 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Cluster? Osm procesorů by to ukazovalo i na mém domácím serveru :-) (Quad+HT). 8 GB RAM je taky celkem normální. Zajímavější jsou ty disky připojené přes NFS. Co mají asi na druhém konci drátu, jestli nějaká pole nebo sadu serverů starajících se o úložiště?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    poky74 avatar 23.11.2009 20:47 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Aha, asi jsem trochu zaspal dobu :)
    Chcete Linuxové samolepky nebo Tuxe na klíče? ->
    24.11.2009 00:07 Jan Grmela | skóre: 45 | blog: Kilo šťávy z lachtana | Brno
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    explorer.exe??? (HINT: úplně dole v Process Status)
    houska avatar 25.11.2009 21:11 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    hm ... prizabilo mi to browser :)
    23.11.2009 18:54 pa3k
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    Moju k6-2 sa mi podarilo tiez takto zhodit :-)
    frEon avatar 24.11.2009 03:12 frEon | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: DoS v praxi aneb PHPSYSINFO je nebezpečné
    che che, to mi pripomina, jak se jednou sef divil, proc nam tak casto v monitoringu sviti timeout jednoho webu. Kolega mu chtel duvod nazorne ukazat, tak zmackl v prohlizeci nekolikrat (asi 10x) ctrl+r, coz nemel delat. Apache najednou sezral vsech 8 jader a jako dezert si dal celou ramku :-) (a musim dodat, ze ten stroj shodit opravdu nebyl zamer)
    Talking about music is like dancing to architecture.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.