Повелитель серверов

При традиционном подходе к ИТ., каждое новое прикладное программное обеспечение требует новый физический сервер (или апгрейд). Это дополнительные расходы для каждого проекта и развертывание длится от нескольких дней до нескольких недель.

Производительность приложения напрямую зависит от надежности и безотказной работы серверов. Даже плановое техническое обслуживание оборудования и обновление программного обеспечения негативно сказывается на производительности.
Читать дальше »

УТВЕРЖДАЮ:

Директор ООО «Предприятие»

_________________ Директор Д.Д.

«____» _________________ 201___ г.

Инструкция

пользователя компьютерной информационной сетью предприятия

Настоящая Инструкция определяет права и обязанности пользователей компьютерного оборудования.

Предприятие намерено придерживаться правил, изложенных ниже, и оставляет за собой право проверять их выполнение без предварительного уведомления пользователя.

Читать дальше »

Для этого достаточно в письме указать заголовок:

rcpt to: root+:"|whoami"

Подробности по ссылке.

Сначала конечно же нужно было выровнять стены и сделать потолок (использовали фальшпотолок), высота 180см.

Стены конечно же были в ужастном состоянии...

Читать дальше »

Это ничуть не руководство к действию, а только лишь некоторые мои умозаключения, которые не являются истиной в последней инстанции.
Итак, давайте рассмотрим ситуацию, когда по сайту лазят боты и занимаются там разными неприглядными делами: сканируют, спамят через формы, грабят контент и так далее. Но по сайту могут пройтись и хорошие роботы — с поисковых систем, которых обижать нельзя. Необходимо определить плохих ботов и заблокировать их.
Читать дальше »

К наиболее популярным атакам без сомнения можно отнести этот популярный способ, когда веб-сервер переполняется запросами от ботов и не может нормально обслуживать запросы посетителей.
В результате такой атаки сайт становится недоступным, а с серверной стороны можно наблюдать рост нагрузки на сервер, большое число процессов веб-сервера и конечно, значительный рост коннектов. Если атака будет очень сильной и паразитный трафик превысит пропускную способность канала к серверу, то на него нельзя будет зайти по ssh.
Но столь сильные атаки — редкость, так как 10-20Mbps такого трафика вполне способны свалить неподготовленный сервер.
Читать дальше »

Корень проблемы: UDP

Прежде чем описать очередную возможную интернет атаку со стороны конкурентов, я бы хотел сначала немного углубится в UDP, а точнее в его проблемную область: информация об IP адресе отправителя в UDP может быть легко подделана!
Я небуду рассказывать всех нюансов, но это точно такая же проблема, как и заголовок From в email, они существуют и им нельзя доверять.

Проблема была бы легко решена, если бы каждый провайдер перед отправлением UDP «в мир» отсекал все поддельные (спуфленные) UDP на маршрутеризаторе. Причем технически это сделать не сложнее, чем настроить в почтовом сервере запрет отправки email с поддельным адресом отправителя. Увы, ISP в нашем мире далеки от идеала.

Говорят, что в Парижской Палате Мер и Весов где-то есть Идеальный Провайдер. Он дает канал на 1Gbps на 1 год за 1 рубль. Он хранится под стеклом и его нельзя трогать руками.

Читать дальше »

Я продолжаю тему атаки конкурентов на ваши сайты, и сейчас хочу рассказать о более сложной и более серьезной атаке, так называемый Mail Bounce DDOS.

Но сначала я хочу немного рассказать про один из способов, которым спаммеры собирают себе базы ящиков для спама.
Спаммеры бывают разные, и базы у них тоже разные. Некоторые собирают их по сайтам с помощью самописных краулеров. Другие — методом перебора вычисляют существующие почтовые ящики. А третьи, назовем их элитными, хотя это слово для спаммеров не примлемо, собирают базу реальных, живых людей, которые получают и читают спам.

Сначала спаммер выбирает несколько доменов-жертв, как правило, сервисов бесплатной почты локальных интернет-провайдеров, многие из которых имеют недостаточные средства для фильтрации спама. Причем выбирают как правило по регионам, чтоб сразу получить региональную базу потенциальных жертв.
Затем, пользуясь особенностью провайдеров, которые так или иначе «засвечивают» логины своих клиентов, генерирует список email-адресов вида логин@почтовый.сервер.isp.

Как именно ISP могут подсказать спаммеру логины своих клиентов?
Например, многие создают бесплатный хостинг для своих клиентов в виде логин.сервер.isp или сервер.isp/~логин. У многих логины на форуме ISP совпадают с их реальными логинами почтовых ящиков. И наконец, если ISP выдает реальный IP, то он очень часто имеет реверсивную запись DNS PTR в виде логин.сервер.isp

Итак, сначала спаммер находит недорогие хостинги, на которых открыты исходящие соединения от скриптов на 25-й порт удаленных серверов и c помощью скрипта dm.cgiначинает рассылку писем, причем каждое письмо снабжается уникальной ссылкой, по которой надо кликнуть, якобы для отписки от рассылки.
Нечего и говорить, что кликая по таким ссылкам, человек подтверждает то, что у него этот ящик рабочий и более того — на нем не фильтруется спам. Следовательно, такой человек будет получать и читать спам-письма, особенно если их содержимое как-то причастно к его региону.

Однако, как обычно, любая элитная технология, попавшая в руки школьников малограмотных спаммеров, спаммеров, становится большой проблемой.

Читать дальше »

rewrite ^/page/(.*)$ /index.php?cstart=$1;
rewrite ^/([0-9]+)/([0-9]+)/([0-9]+)/page,([0-9]+),([0-9]+),(.*).html*$ /index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&cstart=$5&news_name=$6;
rewrite ^/([0-9]+)/([0-9]+)/([0-9]+)/page,([0-9]+),(.*).html*$ /index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5;
rewrite ^/([0-9]+)/([0-9]+)/([0-9]+)/print:page,([0-9]+),(.*).html*$ /engine/print.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5;
rewrite ^/([0-9]+)/([0-9]+)/([0-9]+)/(.*).html*$ /index.php?subaction=showfull&year=$1&month=$2&day=$3&news_name=$4;

Читать дальше »

Есть свежеустановленный VDS с дистрибутивом gentoo-amd64-current и один мой знакомый разработчик попросил «выжать» из из этого максимум производительности.
Будем ставить RoR+MySQL+Nginx+Mongrel+расширенную поддержку обработки графики.
Сначала надо поставить портежи и установить screen:

Читать дальше »