權限過於開放的 PHP 執行環境雖然很方便好用,但要面對的是隨時都有可能被攻破,然後延伸打穿的資安問題。 如果要取得系統其他軟體運作上的資訊,網路上大多會直接跟你說使用 system()、exec()、shell_exec() 這些方法來直接呼叫該軟體,取得回傳資訊來分析。 如果要避開這些方法呼叫來 …
閱讀全文〈[PHP] 不使用 System Call 系統呼叫類型方法取得伺服器對外 Public IP Address〉
作者彙整: Chun
[Ubuntu] 意外移除了 APT 套件管理程式的復原方法
前幾天把一台 Ubuntu 16.04 的主機升級到 18.04,然後這樣升級並沒有比直接安裝好,反而還導致一堆舊套件被卡在原本版本上沒有更新。 就在這個反覆移除->更新的過程中,意外的關聯到 APT 這個套件管理程式的工具,移除後整個有點傻眼,就沒辦法繼續「管理」了XD 好在這種事肯定不是我 …
[資安] 檢舉惡意攻擊 IP 的方法
這也算是續前篇 [VPS] WordPress 網站主機群防護升級的作法 的文。 分析網站伺服器紀錄的日誌可以找到很多蛛絲馬跡,其中最直接對應到的就是攻擊者的 IP,這個「上網位置」的資源是有關單位配置使用的,也就是說,什麼時間點這個 IP 配給誰,會有紀錄。 剛好分析的時候有發現一組,不知道為啥要 …
[VPS] WordPress 網站主機群防護升級的作法
有鑒於之前主機被爬蟲給爬到高負載,這次就來自己實作一個日誌分析工具,然後考量有些網站有搭配 Cloudflare CDN 服務,不只是把惡意名單產出,還同步 Cloudflare WAF 與 Fail2ban 兩個工具整合。 過去有寫過相關的筆記文: [Fail2ban] 針對 Nginx 伺服器架 …
[WordPress] 開發常用函式(Function)方法
這篇來整理一下最近開發專案時,發現有不少可以復用的方法。 不全然都是使用 WordPress 內建提供的方法,有時候會是在非 WordPress 安裝的環境驗證演算法與操作,效率更高。 之後有常用的方法就來更新這篇~ 需要網路爬取資料(API請求) function mxp_do_request(s …
[Nginx] 阻擋惡意請求來源(User-Agent)的方法
現在只要一開站,就有無數的「機器人(爬蟲、Bot)」來光臨,而一個內容網站機器人通常應該要比真人瀏覽來得少,如果這比例失衡,滿有可能「網站正在被攻擊」。 面對這種「可能的」攻擊,就要做出防範,以免問題擴大。 後果: 因為太多機器人請求網站,導致網站主機資源不足,停止服務(DDoS攻擊)。 網站已經有 …
[VPS] 使用 Maddy 架設 Email 伺服器的方法
不得不說,現在滿喜歡用 Go 開發的開源專案,因為大多都可以直接編譯成一個執行檔案,非常的乾淨! [Git] Ubuntu Server 自架 Gogs 版本控制存放庫 Repository 代管主機的作法 這篇也是使用 Go 開發的開源專案 本篇主角:Maddy – Composable all- …
[LikeCoin] 架設與還原驗證人節點的方法
成為 LikeCoin 驗證人節點 Validator 也快半年了!(這裡跟這裡可以查看驗證人資訊) 但第一次架設就直接從 mainnet 主網下手,還意外的累積了些委託,成為 50 名上線的驗證人之一,這讓我掛記在心上的就是:如何讓節點不要被關(Jailed)以及更不要發生最嚴重的雙簽(Doubl …
[LNMP] 舊 Ubuntu 主機升級 PHP 版本到 v7.4
LNMP 每年的更新都還滿穩定,越做越好,記得從 v1.3 開始用,現在都 v1.8 了。 問題就是早期主機(Ubuntu 14 ~ Ubuntu 16)安裝的 PHP 版本如今要升級,到 PHP 7.3 還沒問題,但升級到 PHP 7.4 就會跳錯誤無法繼續。 看了錯誤的訊息主要有兩個部分需要手動 …
[Solana] 公鏈發行 NFT(Non-Fungible Token)到上架銷售(Mint)的方法
繼前篇 [Solana] 公鏈上從發幣(Fungible Token)到上架交易所(DEX)的方法 筆記如何發行「同質代幣」後,就是要輪到大家比較熟悉的「非同質化代幣」筆記了。 說起來 Solana 的文件裡的 Token Program 其實就已經把「如何發行 NFT」方法寫完。而且其實文件從上看 …