Category: Technická oznámení



Útoky na WordPress a Joomlu

Adam Homola,

Používáte WordPress nebo Joomlu? Pak zbystřete. Je to teprve měsíc, co probíhal velký globální útok na webové stránky postavené na WordPressu a právě v těchto dnech přišla jeho druhá vlna. Ta s sebou nese i rozšíření útoku na Joomlu a tím pádem větší bezpečnostní rizika.

Co se děje

Podstata útoku spočívá v tom, že se neznámí útočníci pokouší z obrovského množství IP adres přihlásit do vašeho redakčního systému. Útok nemíří na slabiny WordPressu nebo našich serverů, ale slabiny ve vašich přihlašovacích údajích.

Nemalá část uživatelů WordPressu ponechá jako Uživatelské jméno základní “admin”, což útočníkům ulehčí práci.

Už jim totiž zbývá jenom uhodnout heslo. To se pokouší prolomit metodou zvanou Brute Force Attack. Tedy hrubou silou a stylem pokus – omyl, dokud se netrefí. Logicky se začíná u těch nejpoužívanějších hesel, která se dají jednoduše uhodnout.

Takovéto neustálé pokusy o přihlášení z mnoha IP adres způsobují velkou zátěž serveru a hrozilo i přerušení provozu.

Co jsme udělali my

Abychom zabránili kompletnímu přetížení a následnému výpadku serverů, zablokovali jsme všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Pokud se připojujete z České Republiky, neměl by se vás útok nijak dotknout.

Pro uživatele připojující se ze zahraničí jsme udělali jednoduché opatření – ještě před samotným loginem do redakčního systému vám vyskočí jedndouché přihlašovací okénko, kam stačí zadat login “bb” a heslo “bb”. Tyto údaje v okénku píšeme a po tomto ověření se už dostanete na standardní přihlášení do redakčního systému.

Útoky pořád probíhají a celou situaci neustále monitorujeme, ale největší nebezepečí jsme již zažehnali.

Obecná prevence proti podobným útokům

Vedle možného přejmenování vstupního souboru (wp-login.php, nebo index.php)  je dobrým základem pro prevenci zvolit jiné Uživatelské jméno. To můžete změnit jak ručně, tak pohodlněji s pomocí pluginu Admin renamer extended.

Nic nepokazíte ani silným heslem, které není kombinací přihlašovacích údajů, či jiných dostupných a známých jmen a názvů. Vyvarujte se především heslům jako je “password”, “123456” a podobným.

S bezpečností WordPressu by měly pomoct také pluginy Limit Login Attempts, Lockdown WP Admin, nebo robustnější Better WP Security, který dokáže útočníky po určitém počtu pokusů od přihlašovací stránky úplně odstavit.


Podrobnosti o čtvrtečním výpadku našich služeb

Jiří Zralý,

Včera v 11 h nás postihl velmi nepříjemný výpadek většiny našich serverů. Pokud jste naším klientem, přímo vás to zasáhlo, proto bychom vás tedy rádi podrobně informovali co se stalo.

Proč a jak se to stalo

Příčinou byl lidský faktor – chyba pracovníka housingového centra Casablanca INT, který při údržbě způsobil vyhození elektrického jističe pro několik racků, mezi nimiž byl i jeden náš.

Došlo tím k asi půlminutovému odpojení napájení, a tedy i nepříjemný restart všech serverů v racku. Vzhledem k tomu, že celý výpadek napájení nastal v době velkého provozu, bylo nutné provést kontrolu konzistence dat diskových polí jednotlivých serverů.

První server se nám podařilo zprovoznit asi v 11:20, další se nám podařilo zprovoznit poštovní server, a to asi v 13:15. Postupně jsme zprovoznili další servery, poslední v 14:30. Pak už fungovalo vše.

O celém průběhu situace jsme informovali v komentářích na naší Facebookové stránce nebo na Twitteru.

Prevence

Ze strany housingového centra pravděpodobně k žádné změně nedojde, protože šlo o běžnou údržbu a lidský faktor, kterému nelze předejít. Byli jsme informováni, že zvažují dělat tyto úpravy v nočních hodinách, kdy by v případě výpadku nedošlo k takovým ztrátám. Pravděpodobnost toho, co se stalo, je prý několik promile.

To nám samozřejmě jako záruka nestačí. Housingové centrum sice standardně zajišťuje několikanásobné jištění dodávky elektřiny, ale právě na výpadek jističe to nemá vliv. Proto jsme se rozhodli posílit i náš rack vlastními UPS (záložními zdroji), které zaručí plynulý chod našich serverů i v případě podobného výpadku.

Byl to výjimečný výpadek

Ač jsme si vědomi, že pro všechny naše zákazníky byla tato situace velmi nepříjemná nebo ztrátová, rádi bychom připomenuli, že šlo o výjimečný a největší výpadek v historii našeho hostingu. Hosting pro vás s radostí děláme už 8 a půl roku a technicky není možné zajistit 100% dostupnost. Jediná jistota u všech hostingů na celém světě je, že se občas něco pokazí. Naším cílem je potom tyto výpadky minimalizovat, a to se nám daří velmi dobře.

Kompenzace

Kompenzaci vám chceme nabídnout, protože si vás velmi vážíme a jsme schopni pochopit, že jste výpadkem utrpěli újmu nezávisle na tom, kdo celý problém způsobil. Kompenzace je ve formě prodloužení hostingu a nabízíme ji do čtvrtka 10. května 2012 na základě Autorizovaného požadavku z Klientské sekce. Děkujeme.

Poděkování a omluva

Celá situace nás samozřejmě velmi mrzí a všem klientům se tímto omlouváme. Také bychom vám chtěli poděkovat za vaše reakce na celý výpadek. Až na pár výjimek jste brali vše v klidu a navíc nás povzbuzovali, aby se problém podařilo rychle odstranit. To nás opravdu velmi potěšilo. Děkujeme!


Šikula Ajaxplorer: nahrávejte, stahujte a sdílejte soubory.

Adam Homola,

Znáte Ulož.to, nebo Dropbox? Pak znáte i nového člena naší softwarové rodiny. Jmenuje se Ajaxplorer, mluví česky a dokáže z našeho – vašeho serveru udělat praktické úložiště souborů.

Ajaxplorer využívá prostor hostingu (10 GB), který umí přetvořit na váš soukromý trezor, skladiště, nebo VIP nabídkový pult. Jednoduše můžete nahrávat a sdílet fotky, videa, nahrávat a editovat dokumenty, organizovat data do složek, sledovat přístupy… To všechno pomocí pěkné ajaxové webové aplikace.

Když už máte web na našem serveru, proč dostupný prostor nevyužít naplno? Užitečnost takového úložiště může být k nezaplacení. Odporoučí se vám disk, někdo si “zapůjčí” váš notebook, omylem něco smažete. Stát se to může. O data se bát nemusíte, ta budou u nás jako v bavlnce.

Ajaxplorer má také šikovné aplikace pro iOS a Andorid. V těch můžete třeba nahrávat fotky, které vyfotíte pomocí iPhone, rovnou na svůj server. Aplikace umožňují náhledy nejen fotek, textu a PDF, ale také úpravy textových souborů, nebo streamování audia či videa přímo na iPhone a Android.

Z mobilní aplikace lze Ajaxplorer také pohodlně ovládat – vytvářet a mazat složky, nebo přesouvat mezi nimy soubory.

Jak na to:

  1. Ajaxplorer si z Klientské sekce jedním kliknutím nahrajte do složky /ajaxplorer
  2. Jděte na adresu vasedomena.xx/ajaxplorer
  3. V Ajaxplorer Diagnostic Tool klikněte na click here to continue to Ajaxplorer
  4. Login i heslo: admin (doporučujeme pak změnit)

Komitujte, pušujte a deplojujte. Umíme Git.

Jiří Zralý,

Dnes jsme veřejně spustili podporu Gitu na našem hostingu. Pokud jste s přechodem na Git ještě váhali, protože se vám to zdálo složité, není už na co čekat.

V Klientské sekci si přidáte svůj SSH klíč a Git si aktivujete. Naklonujete si repositář k sobě a můžete udělat první push. Větev master se bude vždy deployovat, takže její obsah už poběží pod vaší doménou.

Git může používat každý klient našeho hostingu. Dostupný není pouze v Zelených variantách, které však už několik měsíců nenabízíme.

Jak se u nás Git používá

Na serveru je vám k dispozici repositář se založenou větví master. Ten lze libovolně používat, případně si přidávat další větve.

K deployi obsahu slouží speciální větev production, která obsah nahraje na vaši doménu.

Podrobný naleznete přímo v sekci Git v Klientské sekci.

Co je to Git

O tom na našem blogu psát nebudeme, protože je to rozsáhlé téma. Ale zjednodušeně a v kontextu hostingu bychom mohli napsat, že jde o způsob vývoje a uploadu webových stránek/aplikací. Bez použití FTP, s možností verzí a podílení se více lidí na projektu.

Doporučujeme českou příručku Gitu, která je zdarma ke stažení na knihy.nic.cz (za tip děkujeme Martinovi Pěničkovi).

Další odkazy na české zdroje, které o Gitu pojednávají:


Jak opravit špatné zobrazování diakritiky

Adam Homola,

22. ledna jsme aktualizovali PHP na našich serverech. Pokud máte svůj web v kódování iso-8859-2 a nemáte po připojení k databázi nastavenou správnou definici kódování, mohli jste si všimnout špatného zobrazování diakritiky.

Opravení tohoto problému je jednoduché. Stačí hned po připojení k databázi do vašeho PHP skriptu přidat příkaz:

SET CHARACTER SET latin2

V souvislosti s novým nativním klientem MySQL v poslední verzi PHP již toto nastavení nemůžeme udělat centrálně a tento příkaz je vyžadován. Pokud máte stránky v iso-8859-2, mohlo vám to dříve fungovat i bez této definice a diakritika se zobrazovala správně.

Nastavením definice SET CHARACTER SET v podstatě oznámíte databázi, v jakém kódování s ní chcete komunikovat. Na straně serveru se potom data přeloží do kódování databáze.

O data se bát nemusíte, s těmi se nestalo nic. Problém spočívá pouze ve zobrazení dat z databáze na webu, který má nastaveno jiné kódování, než v jakém jsou původně data uložena.

Více lze o této problematice nalézt zde na blogu Jakuba Vrány.