Почему поиск бэкдоров по сигнатурам — это смешно? Ну, смотри: $USER->Authorize(1); — этот код авторизует тебя под админом на почти каждом сайте Битрикс, но также этот код триггернёт почти каждый антивирусный сканер. Но если записать этот код немного иначе: $u = $USER; $u->Authorize(1); — то, скорее всего, почти каждый антивирусный сканер, ориентированный на поиск по сигнатурам, обосрётся и пропустит данный код. И есть бесчисленное множество способов изменить этот код, чтобы он выполнялся аналогично, но не содержал известную сигнатуру, смекаешь?

И чем же в такой ситуации может быть лучше kvrt? Я затрудняюсь, я не отвечу. Скажу только, что на практике kvrt находит бэкдоры там, где clamav ничего не увидел.

Каждый раз, когда вы видите шлёпалку, помните, что вы становитесь лучше и делаете шаги к своему совершенствованию

Шлёпалка-напоминалка может быть весьма полезным инструментом для напоминания себе о важных уроках и ошибках. Вот как вы можете исользовать шлёпалку-напоминалку:

• Создайте символическую шлёпалку: Можете выбрать какой-то предмет или символ, который будет напоминать вам о произошедшей ошибке или важном уроке. Это может быть игрушечная шлёпалка, картина или даже стикер, размещенный на вашем рабочем столе или вблизи компьютера.
• Визуализируйте ошибку: Когда вы видите свою символическую шлёпалку, она должна вызывать у вас воспоминания о конкретной ошибке или уроке, который вы извлекли из этой ситуации. Представьте себе прошлую ошибку и вспомните, как вы могли бы избежать её или что вы должны сделать по-другому в будущем.
• Установите ритуал: Создайте небольшой ритуал, связанный с вашей шлёпалкой-напоминалкой. Например, каждый раз, когда вы замечаете её, остановитесь на несколько мгновений, вспомните ошибку и скажите себе несколько слов, направленных на принятие этого урока и обещание себе делать лучше в будущем.
• Практикуйте позитивный рост: Вместо того, чтобы ругать себя или ощущать вину при виде шлёпалки-напоминалки, используйте её как инструмент для позитивного роста. Смотрите на неё как на символ вашей способности учиться и развиваться. Каждый раз, когда вы видите шлёпалку, помните, что вы становитесь лучше и делаете шаги к своему совершенствованию.

Шлёпалка-напоминалка не только помогает вам сохранить в памяти уроки из прошлого, но и создаёт позитивное отношение к ошибкам, используя их как возможность для личного роста и развития.

Помимо шлёпалки-напоминалки, конструктивным подходом будет извлечение уроков из ошибки и использование её в качестве возможности для роста и развития. К примеру, стоит уделять пристальное внимание следующим аспектам:

1. Внимательность и проверка данных: Важно всегда быть внимательным и аккуратным при работе с кодом. Проверяйте входные данные, убедитесь, что вы используете правильные значения и переменные.
2. Проверка и обновление конфигурации: Периодически перепроверяйте конфигурационные данные, такие как токены, ключи API и другие параметры, чтобы убедиться, что они актуальны и соответствуют вашим потребностям.
3. Резервное копирование и сохранение данных: Если вы имеете дело с важными данными или настройками, убедитесь, что у вас есть соответствующие резервные копии. Это позволит вам восстановиться быстро, если что-то пойдет не так.
4. Уроки из прошлого опыта: Важно извлекать уроки из своих предыдущих ошибок и не повторять их в будущем. Каждая ошибка может стать ценным уроком и помочь вам стать более опытным и надежным разработчиком.
5. Умение принять и исправить ошибки: Важно принять факт, что ошибки случаются, и необходимо быть готовыми к их исправлению. Реакция на ошибки должна быть конструктивной и ориентированной на поиск решений, а не на самокритику и разочарование.

Уделяя внимания этим пунктам в повседневной рутине, вы можете развить более внимательный и осторожный подход к разработке и управлению вашим кодом, что поможет вам избежать (по крайней мере, сократить число) ошибок в будущем.

Картина для размышлений о жизни, об успехе, и вообще. Можно в музей. И назвать: «42».

Начал писать пост и немного поменьжевался за рекламу хостинга Джино на скрине, потому что не в ней была подоплёка. Хотел замазать. Но не стал, т.к. с хостингом этим дружу уж не знаю сколько — лет 20. По крайней мере, парой кликов проверил, что первый запрос в суппорт им написал в 2008 году:

А они сейчас за обзоры «Джино.Плюсы» отсыпают. Мне вряд ли отсыпят, т.к. в условиях перечислены площадки, на которых обзоры засчитываются. И моего блога что-то среди этих площадок нет. Но я всё равно рискну и отправлю обзор на оценку, может просто кому-то приятней станет за свою команду.

Познакомил меня с Джином паренёк один из Аськи, который в те года админил бесплатный хостинг на Джине. Да, был такой, и я даже не спрашиваю, в какую лету канул и по какой причине. Всему своё время и всему свой конец. Это я про бесплатный хостинг, если что. А если говорить про паренька, то он был на 98% своей жизни увлечён работой, и когда узнал, что у меня есть сайты, то, конечно, поинтересовался моим хостером. А потом он показал, как просто у моего недохостера, лишь имея ssh доступ к одному только своему аккаунту, увидеть всех клиентов на сервере и все их сайты с исходными кодами. В то время любые админские слова были для меня чем-то «на эльфийском». И, конечно, я вскоре начал пользоваться хостингом Джино: сначала бесплатным, потом и платным. И пользуюсь до сих пор.

Только сейчас подумал, что удивительно: за все годы не возникло ситуации, которая бы заставила задуматься о переезде с Джино. Хотя, за эти же годы я администрировал много сайтов на других хостингах, и там бывало всякое: от впадения в кому директора, на котором внезапно оказался единственный дубликат ключей от серверов (Мигурхост или Анкельхост — уже не помню) до рейдерского захвата дата-центра хостера (Айхор хостинг — вряд ли забуду). А Джино что? — Живет и здравствует. Ну и здоровья ему!

И, надеюсь, что ещё увижу в онлайне блог с жизнеутверждающим названием «Успеха всем!»

P.S. Да, насчёт отзыва как и предполагал, ну и ладно:

P.P.S. А «плюсы» за отзыв всё равно дали:

/* Если ты кодер, то, братишка, я тебе покушать принёс. Забирай вот этот вариант, который всегда возвращает DateTime Object и продолжай кодить, а дальнейшую рефлексию читать не обязательно: */

/* Итак, сабж — не хочу повторять этот кусок вредоносного кода, который легко находится на stackoverflow по тематическим запросам в числе полезных ответов. Но почему вместо DateTime Object иногда получается false? Казалось бы, имеем функцию microtime, которая с параметром true возвращает float-значение: */

/* И есть метод createFromFormat, который с указанием формата 'U.u' должен корректно распознать переданное значение «1660905894.429» и создать дату: */

/* Но в 0.0003% случаев вместо объекта DateTime мы получим логическое false.

«Что эти ваши 0.0003% — вероятность этого ничтожно мала!» — Скажет гуманитарий и покинет чат кодеров. А специально для кодеров я написал пример, демонстрирующий, что даже такие редкие события могут приводить к 3 ошибкам в секунду! Каждую секунду! */

Array
(
    [delta] => 4.4107437133789E-5
    [min delta] => 6.9141387939453E-6
    [max delta] => 0.99995803833008
    [e/k] => 369 / 116160492
    [probability] => 0.00031766394377875 %
    [errors per second] => 2.2731272386197
    [time] => 1660905794
    [error] => Array
        (
            [warning_count] => 0
            [warnings] => Array
                (
                )

            [error_count] => 1
            [errors] => Array
                (
                    [10] => Data missing
                )

        )

    [alter] => DateTime Object
        (
            [date] => 2022-08-19 10:43:14.000000
            [timezone_type] => 1
            [timezone] => +00:00
        )
)
^C
[DateTime@createFromFormat]# php8.2 ./run.php 

/* В этом примере видно, что во время выполнения скрипта возникают ошибки со скоростью 2.27 штук в секунду (на момент старта было около 3-х, но со временем производительность падает). Возникают они на таких значениях времени, полученных от функции microtime, когда дробная часть времени больше 0.99995006 или меньше 0.00004994 — т.е близка к целому числу настолько, что получается число без точки: значение типа float имеет точность 14 цифр, 10 цифр занимает целая часть, потому на дробную часть остаётся 4 цифры. Потому вместо точного времени 1660905794.00004994 microtime вернёт 1660905794, а вместо 1660905794.99995006 вернет 1660905795 — число без точки, которое не подходит под формат 'U.u', который ожидает метод createFromFormat.

Когда важна точность, а ошибки неприемлемы (у кодера это примерно точно всегда), надо использовать такой вариант: */

/* Этот вариант я крутил в бесконечном цикле больше 0.5 миллиарда раз, и ни одной ошибки не возникло, хотя были итерации с 000000, и 999999 в дробной части microtime. */

/* P.S. Пришу на этот сайт, будто чужой забор обоссываю: редко и по особой нужде, и украдкой, чтобы процесс и результат по возможности никто не увидел. Ж) */

А месяц назад заказывал телефон с Алихи. Конечно, хотел с приятной мелочью в виде кэшбэка. Пацан к успеху шёл — не фортануло, не срослось. И «поиск потерянного заказа» ничего не дал:

Ну что ж, как говорил дедушка Джованни, сдававший мне гест: «It is not dangerous, but not beautiful». Есть же другие кэшбэк-сервисы. Напишите, пожалуйста, в комментариях альтернативу сервису Backit, с которым мы перестали понимать друг друга.

Интересно, кого я прошу? Кто вообще читает мой тухлый бложик? Но, может, хоть спаммеры набегут, разнообразят мой быт. Или работники служб восстановления репутации будут писать мне: «Удоли, сам дурак что у тебя не получилось». Согласен, пишите.

TL;DR. Код запускал на python3. Работоспособность на 2-й версии не проверял. В задачу входило использование только стандартных библиотек, чтобы код работал на дешёвом шаред-хостинге, где нет доступа к pip (позже я узнал, что на хостинге надо юзать pip с ключом --user, чтобы добавлять библиотеки пользователю с ограниченными правами).

Задачи программы:

1. Обойти (запросить по http[s]) список url-адресов.
2. Если код http-ответа или ошибки отличается от полученного в прошлый раз, уведомить об этом в Телеграм и сохранить информацию в лог.

Список адресов со статусами доступа и лог решил хранить в базе sqlite3, т.к. при всей простоте реализации это возможность хранить данные структурировано, использовать мощь языка запросов SQL и иметь возможность в дальнейшем дополнять функционал: например, добавить отчёты аптайма хостов.

Пока для поставленной задачи достаточно двух таблиц. 1-я для хранения url-адресов:

CREATE TABLE `hosts` ( `id` INTEGER NOT NULL PRIMARY KEY AUTOINCREMENT UNIQUE, `url` TEXT, `msg` TEXT )

2-я для для ведения лога:

CREATE TABLE `events` ( `id` INTEGER NOT NULL PRIMARY KEY AUTOINCREMENT UNIQUE, `host_id` INTEGER NOT NULL, `event` TEXT, `time` TEXT NOT NULL )

Следующий фрагмент python-кода позволяет подключиться к БД (если базы ещё нет, то автоматически создастся) и выполнить заданный SQL:

import sqlite3
conn = sqlite3.connect("tracker.db")
cursor = conn.cursor()
cursor.execute("CREATE TABLE ...")
conn.commit()

А так можно добавить хосты:

hosts = [['http://host1.ru/'],['https://host2.ru/path']]
cursor.executemany("INSERT INTO hosts (url, msg) VALUES (?, 'New')", hosts)

Также для визуальной работы с базами sqlite3 есть удобная софтина на сайте sqlitebrowser.org

Итак, таблицы готовы, список тестируемых хостов есть. Пишем основной скрипт. Для приготовления кода нам понадобятся:

import sqlite3
from urllib import request, parse
from urllib.request import urlopen
from urllib.error import HTTPError
from datetime import datetime

Мне требуется, чтобы при проверке url редирект воспринимался как ошибка. Ведь странно, если поставленный на мониторинг url вдруг стал пересылать на другой адрес. Для этой задачи поможет следующий код:

class NoRedirectHandler(request.HTTPRedirectHandler):
    def redirect_request(self, req, fp, code, msg, headers, newurl):
        return None
noRedirect = request.build_opener(NoRedirectHandler)

Теперь чувствительные к редиректу запросы я буду делать через noRedirect.open(), а остальные — стандартно через urlopen().

Дело за малым — обойти список url, и если статус ответа изменился, отправить сообщение в Телеграм и сохранить новый статус. Для отправки в Телеграм послужит такая функция:

def tg_send(msg):
    base_url = 'https://api.telegram.org/botXXX:YYY/sendMessage?chat_id=123456&text='
    return urlopen(base_url+parse.quote_plus(msg)).status

Здесь XXX:YYY — это токен вашего телеграм бота, полученный при его создании, а 123456 — id чата вашего аккаунта и бота, в этот чат бот будет отправлять сообщения (т.е. только вам). Узнать id чата можно перейдя по ссылке https://api.telegram.org/botXXX:YYYY/getUpdates (не забыв подставить в ссылку токен). После того, как вы напишете вашему боту любое сообщение, по этой ссылке вы увидите json-данные, в которых "chat":{"id":123456, — то, что вам нужно.

Приступаем к обходу списка url, соединяемся с базой:

conn = sqlite3.connect("tracker.db")
conn.row_factory = sqlite3.Row
cursor = conn.cursor()

Здесь row_factory нам нужно, чтобы к полученным из БД полям обращаться по их имени, а не по номеру. Далее — цикл перебора хостов:

for host in cursor.execute("SELECT * FROM hosts").fetchall():
    url = host['url']
    try:
        response = urlopen(url, timeout=20)
    except (HTTPError) as e:
        msg = str(e)
    except Exception as e:
        msg = str(e.__class__.__name__)+': '+str(getattr(e, 'reason', e))
    else:
        msg = 'OK '+str(response.status)
    if host['msg'] == msg: continue
    cursor.execute("UPDATE hosts SET msg = ? WHERE id = ?", (msg, host['id']))
    cursor.execute("INSERT INTO events (host_id, event, time) VALUES (?, ?, ?)", (host['id'], msg, datetime.now()))
    conn.commit()
    tg_send(url+' '+msg)

Если не использовать .fetchall() в запросе хостов, то цикл будет работать до первого случая обнаружения изменившегося статуса хоста (msg) — т.к. при этом мы пишем в таблицы и меняем cursor. Трудноуловимый баг, особенно когда только учишься в python. timeout=20 нужен, чтобы не ждать дольше 20 секунд ответа от хоста. Я нетерпеливый. Если msg не изменился с прошлой проверки (такой же, как в БД у хоста), то с помощью continue переходим к следующему хосту, не выполняя дальнейшие инструкции. Если же msg изменился, делаем запрос на обновление записи в БД, на добавлление ивента, conn.commit() выполняет запросы, а tg_send(url+' '+msg) сообщает в телеграм.

Полученный tracker.py запускаем в консоли командой python3 tracker.py, если работает без ошибок, записываем в crontab на ежеминутное выполнение. И спим спокойные за свои сайты, пока сигнал тревоги не разбудит. Кстати, Телеграм, помимо простого API, мне нравится возможностью индивидуальной настройки уведомлений для каждого чата. В том числе, уведомления важных чатов можно сделать со звуком или вибрацией даже в беззвучном режиме телефона.

Для реализации сабжа достаточно залогиниться root-ом (в общем случае) по ssh и выполнить:

crontab -e

Для самых маленьких: если откроется редактор vim (поймёте это по 2-м вопросам, которые зададите сами себе: «как тут что-то написать?», «а как выйти отсюда?»). Наберите на клавиатуре заклинание от vim: :q+Enter, затем выполните EDITOR=nano crontab -e

В редакторе записей crontab добавьте такую:

@reboot sleep 5.5m && mysqlcheck -pPASSWORD --auto-repair --optimize --all-databases > /root/mysqlcheck.log 2>/dev/null

Вместо PASSWORD — ваш root-пароль к MySQL (именно пользователя БД, а не системного). Хранится этот пароль обычно в файле /root/.my.cnf — проверено в bitrixVM, ISPmanager, VestaCP.

В качестве бонуса можете подумать над вопросом, как прислать уведомление в том случае, когда выполнение mysqlcheck недостаточно. К примеру, когда в mysqlcheck.log обнаруживается такое:

Repairing tables
db.table
error : Can't create new tempfile: './db/table.TMD'
status : Operation failed

Давшему ответ на этот вопрос в комментариях, вечная ссылка и упоминание в посте.

ЧПУ повышает релевантность страницы

Потому ЧПУ — это хорошо для SEO, и на новом сайте настоятельно рекомендуется включать именно такую структуру адресов. Но на старом сайте могут быть тысячи страниц, и не всегда есть возможность перейти на новую структуру адресации без потерь. В этом случае для успешного продвижения некоторых страниц поможет частичное включение ЧПУ.

У меня недавно возникла такая необходимость. Как обычно, скорость решения имела приоритет над удобством, так родился следующий кусок кода, который я поместил в /wp-content/mu-plugins/custom_sef_url.php

Код php-файлов из папки mu-plugins выполняется независимо от подключенных тем и плагинов, на этапе загрузки страницы, когда ещё не загрузился и не сработал код плагинов и файла functions.php активной темы

<?
function custom_sef_url() {
    return [
        8187 => 'site-security-control'
    ];
}

add_filter('request', function($query_vars) {
    $post_slug_by_id = custom_sef_url();
    if ($query_vars['p'] ?? 0 and $post_slug_by_id[$query_vars['p']] ?? 0) {
        $permalink = get_home_url().'/'.$post_slug_by_id[$query_vars['p']];
        wp_redirect($permalink, 301);
        die;
    }
    $post_id_by_slug = array_flip($post_slug_by_id);
	$request = ltrim(parse_url($_SERVER['REQUEST_URI'])['path'], '/');
	if($request and $post_id_by_slug[$request] ?? 0) {
		$query_vars['p'] = $post_id_by_slug[$request];
	}
	return $query_vars;
});
add_filter('post_link', function ($permalink, $post, $leavename) {
    $post_slug_by_id = custom_sef_url();
    if ($post_slug_by_id[$post->ID] ?? 0) {
        $permalink = get_home_url().'/'.$post_slug_by_id[$post->ID];
    }
    return $permalink;
}, 10, 3);

В данном случае переход на ЧПУ срабатывает для поста с ID = 8187. URL до добавления этого кода: /?p=8187, URL после: /site-security-control, и конечно с помощью этого кода происходит редирект с кодом 301 (постоянное перенаправление) со старого URL на новый. Новые адреса добавляются в начало кода, например:

<?
function custom_sef_url() {
    return [
        8187 => 'site-security-control',
        555 =>  'some-sef-url',
        777 =>  'your-keywords-here',
    ];
}

В коде используется синтаксис php7, потому для работы на устаревшем php5 придётся кое-что подправить. Но у меня не продакшен, предназначенный для 99% охвата платформ, так что — as is

Как я уже говорил, удобство решения в этом случае мне было не принципиально, главное — функциональность. Пройдёмся кратко по функционалу. Здесь добавляется наш фильтр на событие request (когда мы запрашиваем контент из базы, нам нужно указать WP, что some-sef-url — это пост 555). Для этого мы создаём переменную запроса $query_vars['p'], которую передаём ID страницы, если запрошен наш URL. А если запрос происходит по старому адресу (переменная p задана в URL), то нужно осуществить 301 редирект на some-sef-url. Также добавляется фильтр к функции post_link, которая отвечает за генерацию ссылок во всех элементах навигации, в т.ч. на карте сайта и в мета-теге rel="cannonical". Соответственно, при генерации ссылок нам желательно возвращать каноничную ссылку /your-keywords-here вместо /?=777. Для этого и служит фильтр. Вот, собственно, и всё.

Для удобства вы можете создать произвольное поле (custom fields), чтобы прописывать ЧПУ для нужных страниц во время их редактирования из интерфейса админки. Возможно, добавите уникальное ЧПУ для таксономии. Уверен, если вам такой функционал необходим, то вы детишки взрослые и сами его допишете.

Действительно, ОС Линукс во многом упростила работу с VPS, которые тоже на Линукс. Например, для упрощения соединения по ssh с сервером достаточно:

Панель команд для соединения с VPS

• дать удалённому хосту понятное наименование в ~/.ssh/config (например, Host 0120);
• сгенерировать ключ командой ssh-keygen, затем закинуть его на сервер командой ssh-copy-id 0120;
• после проделанной работы соединение по ssh с VPS происходит без пароля по ключу одной командой, которую легко запомнить: ssh 0120. Но если и эту команду затруднительно каждый раз вводить, можно сделать для неё ярлык или кнопку на панели. Также командой sshfs 0120:/ /mnt/vps/0120 -o reconnect можно примонтировать файловую систему VPS к своей системе и сделать удалённую систему такой же доступной, как флэшка.

Удалённая ФС доступна как флэшка

Это обзорная статья, а не туториал, потому перед использованием незнакомых команд сначала вбиваем их в поисковую строку Гугла. Есть нюансы.

Не знаю, возможно ли получить такой же результат в Окошках при помощи софта и костылей, но вышеописанные фичи позволили мне преодолеть психологический барьер входа в Nix Based Systems и ощутить их мощь и красоту:

• на функциональном уровне, программы доступны для консольного ввода/вывода, что позволяет объединять их в кастомизируемые конгломераты;
• на визуальном уровне, настраивается каждая буква и каждая пикча. При желании и умении искать, можно создать себе удобный пульт управления миром.

В комментариях можем обсудить отдельные вопросы, коих у меня возник вагон после первого погружения в LMDE xfce. На часть их я уже нашёл ответы, а остальную часть ответов ещё предстоит найти. А какие вопросы заинтересовали вас? Также интересно узнать ваш опыт работы в Никсах.