Tag: Daily fail

Добре, че не станах системен администратор

Днес се самообявих за най-големия олигофрен, който познавам.

Мигрирам marvin от един VPS provider към друг и изведнъж достъпа ми до стария VPS по SSH спря. И не мога да се логна нито от офиса нито от нас. И писах едни мейли, една кореспонденция, едно чудо.
И успявам да се закача за console applet-а , но не мога да прехвърля файловете си през SSH.

ДВЕ СЕДМИЦИ. Две седмици ми отне да се сетя, че имам fail2ban, който явно не съм конфигурирал или съм конфигурирал по някакъв тъп начин и съм си blacklist-нал сам достъпа до двете IP-та.

За тези на които хипоталамуса им изтръпва при този проблем – четете долните редове. Ако сте сисадмин и знаете отговора – затворете сайта и никога повече не влизайте. All the shame…

Та – играта ви е в:

/etc/hosts.allow

/etc/hosts.deny

Влизате с нужните права в /etc/hosts.deny и вижте вашето IP дали не е там. Ако е – можете да го коментирате и да го добавите в /etc/hosts.allow.

06.01.2017

Тази година е интересна още от самото си начало. След като разбрахме за DRAMA, Meltdown и Spectre, GPS online service уязвимостта за която писах явно Hackman-a се е хванал и е направил една колекция от whitepapers за уязвимости, които не бяха стигнали до мен.

Btw разбрахте ли, че CEO-то на Intel е продал акции за 20 милиона долара преди няколко месеца? В едно изявление каза, че изобщо не знаел за съществуването на тези проблем :D

 

И последно, обещавам. От Интел споменаха, че ще има извесно забавяне след фиксовете за meltdown/spectre. Някои медии писаха за 5%-10%, други за 30%, после дойде това:

 

Или както се казва – деба.

03.01.2018

Зъб. Цяла вечер ме боля, мамицата му. Смятах в един момент да взема клещите и да стигна до саморазправа.

 

In other news:

  • DRAMA-та се задълбочава. TheRegister описаха случая и няколко техни теста. И един туит описващ всичко:

  • Оказа се, че много online services of GPS location tracking са vulnerable. В общи линии трето лице може да проследи физически клиентите, които използват тези сървиси (описани са в статията). Оказа се също и че някои от провайдърите са идиоти, защото паролите им по подразбиране са 123456.

29.11.2017

Aaaaand here we go again. Опитваш се да се логнеш като root на MacOS High Sierra с празна парола, натиснеш няколко пъти login и … влизаш.

В интересни времена живеем.

 

Още един комикс в колекцията – този на The Perry Bible Fellowship

 

 

 

Днес е голям ден – Злати ме открехна за съществуването на King 180! Препоръчвам.

И още – Джейм Лаурънс явно обича да плува, тича и кара колело. Може би малко по-вече от мен и вас. Всъщност е участвал и завършил успешно 50 Iron man-а в 50 щата за 50 дни. Това освен нечовешко е и крайно впечатляващо.

18.10.2017

Този месец ми е доста неактивен в писането и трябва да наваксам малко.
След като мина голямото ми каране и разказах за него на “Вечер на таланта“,  EU Code Week Varna 2017 и преживях (сравнително леко) втория си дуатлон (и имам видео в БНР в което викам “ДАВАЙ НОРО, ДАВАЙ НОРО!”) се готвя за епичното Zara Code Week в Стара Загора, което ще се проведе на 21-22 Октомври, а аз ще говоря в Неделя. Темата пак ще е “Why QA?”, но далеч по-extended directors cut :) Имам цели два часа и смятам освен теория да покажа и практически неща от занаята. За момента опциите, които пуснах като въпросник са:

  • Performance testing – ще ви покажа как да симулираме посещения от хиляди потребители за да намерим границите на проекта, който тестваме;
  • Security testing – ще ви покажа част от основните методи и инструменти, които използват хакерите;
  • Малко идеи как да оцелеем на първото си интервю – подготовка, знания и как да бъдем chill as fuck;
  • Blackbox testing – как аз тествам като получа нов проект – практически напътствия.

Ако някой му е интересно и ще бъде в Стара Загора може да пише тук или директно да гласува.
Надъхал съм се след сравнително успешната ми лекция във Варна тази в Стара Загора да е повече епична отколкото строго образователна. Пригответе се за малко 18+ хумор, чупене на неща on-the-fly и смачкващо парти Събота вечер.

А да – и не съм карал редовно от два месеца. Това ме убива бавно.

In other news:

 

Това май е най-дългия списък с линкове, който съм пускал в момента :)

monitor.bg копаят биткойни през техния сайт използвайки вашия компютър

Вица на деня е, че monitor.bg са си сложили coin-hive в сайта.

Така като посетите великолепния им сайт пълен с абсолютните истини (!111!!!!!) и несобственост на Пеевски ([email protected]!!!) JS библиотеката ще стартира процес по копаене на вашата машина. На моя i7-7700 го товари на ~30%. Това не значи, че крадат от нас или че ще спечелят десетки биткойна, но не е коректно в никакъв случай.

Радвам се, че съм си оставил addon-а #ДАНСwithme и ми блокира тия пеефски сайтове.

И поста от който видях това е от dev.bg

I’m not even mad. That’s awesome.

Btw Касперски вече информира за сайтове, които имат coin-hive библиотеката в тях.

 

Оказа се, че и The Wall Street Journal са имали същия coin-hive на сайта си. Към днес не го намирам, но от страницата в reddit в която се споменават и други имена има един пич, който е направил набързо сметките:

Alexa states 2 visits/day for each visitor (https://www.alexa.com/siteinfo/wsj.com).

42million visitors * 2 visits per day * 30 days * 3.5 minutes * 60 seconds * 15 hashes * (0.000148xmr per 1m hashes) is $109762usd/month

((42000000*2*30*60*3*15)/1000000)*0.000148 = 1007xmr per month

Мина IT Forum Варна в Технически Университет

Мина и IT Forum Варна, който се проведе в читалнята на Техническия Университет, темата беше “Unsung heroes of the software industry: Quality Assurance Engineers“. Имаше около 10 човека, което е най-малкото участие, което съм имал до момента :) Сигурно проблема е в това, че темите бяха оповестени ден преди събитието, но иначе беше приятно. Бяхме в читалището на НУК. Малко комунистическо, но пък присъствието на толкова много книги стоплят атмосферата. Можете да видите програмата на събитието и от тяхната страница.

Говорих на дълго и на широко за QA, основи, SDLC и още бая работи (при интерес ще опиша лекцията).

Пренаписвам този пост днес 29.12.2017, оригинално започнат на 07.04.2017:

Ще бъда честен – лекцията беше посредствена, а публиката – от 5 човека, буквално.
Първо шест човека ми редактираха лекцията барем нещо да не кажа от свое име и от свободна лекция стана на докторантски труд, второ – организацията беше крайно болезнена – и от страна на фирмата за която работих и от страна на организаторите в ТУ.

Това беше може би най-големия мой лекционен провал за 2017 г.

Следващия път ако получа покана за говоря в ТУ първо ще поговорим с организаторите, защото втори път няма да участвам в такава вяла организация.

 

Малко (дебел) снимков материал.

01.02.2017

Освен първата си по-сериозна статия за колоезденето, която написах днес се случват и други, доста интересни неща.

Например gitlab.com днес си преебаха базата данни. И това не е толкова страшно, защото при нормални условия restore-а би отнел няколко минути, но явно и бекъпите не са били особено полезни

Но освен лошата новина има и нещо хубаво и то е, че GitLab се оказата супер прозрачни откъм този проблем и дори направиха google doc в който описват подробно какво се случва.

И две IT мъдрости:

И това, че има два типа системни администратори – такива, които правят редовни и проверени бекъпи и такива, които вече ще правят. :)

По тази тема след няколко дни ще поръчам за експеримента един VPS на Hatzner за да направя load balancing и database replication + още 1-2 услуги както писах вече в статията за marvin. Ще е интересно и ще пиша за това като го направя.

 

Нещата, които намерих днес:

  • Злати прати днес този супер полезен ресурс – tldrlegal, който показва съвсем накратко популярните лицензни условия с много приятен и прост интерфейс.
  • Не знаех, че Амазон вече са и на low-cost VPS пазара;
  • How fucked is my database е малък сайт, който ви показва по хумористичен начин колко сте преебани използвайки една от следните бази данни – PostgreSQL, MySQL, MSSQL, Oracle, SQLite, MS Access, NoSQL?
  • WordPress с едно много неприятно ново vulnerability. Този път атакуващия може да направи privilege escalation и content injection. Ъпдейт към 4.7.2 е задължителен.

Недко разказва: За сайта на МОН, МВР, НАП, OFFNEWS.bg XSS атаките и OWASP

Днес за пореден път се доказа твърдението, че добрия програмист не пише само функционалност, която да работи, а такава, която е съобразена с множество фактори – скорост, сигурност, логичност. Този път сайтовете са Министерството на Образованието и Науката и Министерство на Вътрешните Работи и новинарския сайт OFFNEWS.BG бяха мишената използвайки очевидно една и съща търсачка. И да ви кажа честно – срам е, че някой не си е escape–нал параметрите за да предтврати един прост XSS, които потребителя подава. Това е нещо тривиално, нещо, което всеки, който пише код трябва да знае и използва. Защото знаете – когато пишем никога не трябва да имаме доверие на потребителите. Ни-ко-га.

Continue reading

Twitter.com is down. Again.

Не се мина много откакто писах по същата тема , но Twitter пак паднаха.

Status.Twitter.com (Който продължава да връща 404 при опит за достъп по https) показва, че проблема не е само от сега. Преди 18 часа е имало проблем с достъпа както и до момента в който пиша статията.

Благодаря на Нико за notice–а.

twitter is down 2

twitter is down again

 

 

Update – Към 14:13 часа на 19.01.2016 г. Twitter.com работи като явно има проблеми с https://pbs.twimg.com. Оттам при опит да се заредят изображенията потребителя получава 503 (Service Temporary Unavialable).Twitter is down 3