MySQL 是著名的資料庫系統,建立他的方法網路上很多,Google 當前 VPS 作業系統與 MySQL 關鍵字都可以找到教學文章。本篇是筆記建立後的環境設定! 操作分兩部分,一個是 my.cnf 的網路設定與機器裡的防火牆設定。 MySQL 服務可以純粹開在「本機(localhost)」端,這樣 …
分類彙整: 資訊安全
[Fail2ban] 同步封鎖 IP 名單至 Cloudflare 的方法(Nginx 伺服器)
Fail2ban 是一套強大又簡單的防火牆工具,網路上教學或延伸應用也不少(意思是本文不會做太多介紹)。其中一個常討論的就是與 Cloudflare 的整合! 在「整合」之前要先提到的是:使用 Cloudflare 搭配 Fail2ban 的話會無效。 因為 Cloudflare 如果把請求流量代理 …
[WordPress] v5.2.0 後主題外掛下載驗證檔案機制
剛剛本機測試站更新時,點開細節看到這段「由於找不到簽章,因此無法驗證 woocommerce.3.9.1.zip 的真實性。」,突然好奇到底是我太久沒注意,還是最近才更新的功能!? 這段程式寫在 wp-admin/includes/file.php 裡的 download_url 方法。 而驗證檔案 …
[安全性] 使用 sqlmap 探測網站資料庫應用漏洞的方法
sqlmap 這款是知名的資料庫探測與注入測試工具。原理不難,就是拿各種可能注入的方法去暴力嘗試某個網站應用,並且取得資料庫相關資訊。 看第一段就知道這東西很兇猛,所以切勿亂用在不法操作上,避免吃上官司~ 如果發現某網站有安全性問題都可以到 漏洞通報平台 舉報,或是想辦法聯絡網站主更新。 這套測試工 …
[WordPress] WP_VCD 盜版軟體病毒解析
下方 Gist 是 WordPress 盜版軟體裡出現的 WP_VCD 病毒碼抽樣,連結點進去不會中毒的XD WP_VCD 病毒碼取樣 名為 WP_VCD 的廣告病毒,之前小聚才聽夥伴說有中過,這次也意外在一個測試站發現它的蹤影。 影響檔案 wp-includes/wp-feed.php wp-in …
[Linux] SSH 服務設定沒有 Shell 指令權限的 SFTP 檔案傳輸模式
對於管理網站這件事有很多流派!像是使用付費的 cPanel、Plesk 或免費的 Vesta 主機網站全端管理控制面板類型,或是單純使用套裝伺服器端軟體(像是 LNMP、LAMP 等),再來是高階一點的 Cloudways 或 RunCloud 等 SaaS 網站服務..等。 不論哪個流派都好,都是 …
[Nginx] 反向代理(Reverse Proxy)分散式請求單一網站資源的做法
Nginx 可以做到請求負載平衡(Load balancing),情境一般來說如下圖: 面對大量請求,透過 Nginx 作為轉運中心,分派請求給後面的分流主機,來舒緩大量的瀏覽者壓力,這就是滿基本應用的操作,詳細設定只要透過「Nginx Reverse Proxy 反向代理」等關鍵字,就能找到一堆教 …
[iDempiere] User, Client 與本地化
iDempiere ERP 的環境建立好後,預設使用者是 SuperUser 擁有系統最高權限,密碼也預設 System。 第一步就是需要將使用者(User)的登入帳號和密碼做置換。 在這之前先看下面這三張圖: 首頁介面導覽 資料表單 表格預覽模式 如圖,有對操作環境的認識後,就可以開始下方的流程。 …
[VPS] PHP 網站資訊安全之 .user.ini 檔案與 open_basedir 參數
網站能不能保證不會被 Hack ?這點實在是很難。 但是網站被 Hack 的有限,卻是很基本的設定,而很多人可能不知道。 PHP 5.3 版之後加入了一個「以資料夾為設定單位基礎的設定方式」叫做 .user.ini (預設檔案名稱) 這個檔案可以為這個資料夾下的 PHP 程式檔案圈出一個「執行範圍( …
[WordPress] 惡意訪客不要來 – IP 封鎖清單
在「逛逛」Fail2ban 套件模組的時候發現一個有趣的提交行為,是把在某個偵測行為下惡意觸碰的 IP 丟到一個叫「badips.com」的網站上紀錄。 這代表什麼呢? 沒錯,這個行為中肯定不會放掉「WordPress」呀~ 所以這個分類清單就是記載著對 WordPress 網站有惡形操作的 IP …