Slo-Tech - V četrtek, 22. 5. ob 19.00, vas vabimo v Kiberpipo na že tretji WordPress meetup Ljubljana.
Če ste WP razvijalci, blogerji ali zgolj navdušenci nad WordPressom in bi se radi družili s sebi podobnimi, boste na pravem mestu.

Čakajo vas zanimiva predavanja:

- Martin Žibert: FittipaldiPress, od oPcache-a do statičnih HTML-jev in najprej do HipHop-a;
- David Klasinc: Zakaj so profesionalne WordPress teme sranje;
- Marko Zabreznik: WordPress v slovenščini;
- Jure Čuhalev: O WordPress vitčniku "Advanced Custom Fields".

... in s sponzorji podprta runda piva.

Še mikrolokacija, da ne bo izgovorov: Kiberpipa (pasaža kavarne Evropa, pri Knjižnici Otona Župančiča) v Ljubljani.
Več info & RSVP na www.meetup.com.

Se vidimo.

Ars Technica - Koordinirani napadi DDoS na spletne strani lahko uporabljajo različne vektorje za ojačitev, recimo strežnike za sinhronizacijo ure NTP, sistem DNS-strežnikov ali pa strani na WordPressu. Raziskovalci opisujejo, kako so napadalci uporabili 162.000 legitimnih strani na WordPressu za DDoS na neko stran.

Izkoristiti je mogoče strani, ki imajo vključen pingback, kar je privzeta nastavitev ob namestitvi WordPressa. V tem primeru je mogoče uporabiti protokol XML-RPC za pingback, trackback, oddaljen dostop in druge vrste nadzora. To se je zgodilo neimenovani strani, ki so jo...

Krebs On Security - Na internetu te dni poteka obsežen napad na vse namestitve WordPressa na različnih strežnikih, v katerem napadalci poizkušajo pridobiti dostop do strežnikov prek WordPressa. Ciljajo s približno 90.000 IP-naslovov, napadajo pa tri- do petkrat več strežnikov kot običajno (vsak dan se seveda kdo poizkusi nepooblaščeno kam povezati, sedaj pa je teh napadov več kot 100.000 dnevno). Zanimivo je, da napadalci uporabljajo sorazmerno primitivno tehniko, saj s surovo silo (brute force) poizkušajo uganiti skrbniško uporabniško ime in geslo, za kar uporabljajo sezname najbolj pogostih.

Zaščita pred napadom je zelo enostavna, saj napadalci preverjajo le najpogostejša uporabniška imena in gesla. Kdor si uporabniško...

ZDNet - Konec preteklega meseca je ukrajinska spletna stran Demonoid, na kateri gostuje na tisoče torrentov, doživela obsežen koordiniran DDoS-napad, zaradi česar je bila več dni nedosegljiva. Sprva so strežniki vračali odgovor busy, kasneje pa so bili povsem izključeni. Po enem tednu je bila stran še vedno dosegljiva, ni pa bilo jasno, ali je napad povezan z bojem proti piratstvu ali pa gre za kakšne druge ilegalne obračune. Od 25. julija do 3. avgusta so se administratorji trudili stran postaviti pokonci in na koncu so napisali, da se jim bo uspelo vrniti, vmes pa je stran celo obiskovalce celo napotovala na strani s škodljivo programsko opremo. Izkazalo se je, da jim je peruti pristrigla kar ukrajinska policija.

Kot je izvedel TorrentFreak, je ukrepala ukrajinska...

WordPress - WordPressovci so pravkar najavili oglaševalski program WordAds, ki je ciljan na samostojne in dobro brane blogerje s svojo domeno. Oglase bo zagotovilo podjetje FederatedMedia, ki se specializira na uveljavljene blagovne znamke in ignorira šaro z online igricami, sms klubi in drugimi poceni neumnostmi. Tako naj bi blogerjem zagotovili višje prihodke od denimo googlove ponudbe.

Program ni na voljo vsem, ampak se je treba zanj prijaviti in potem še biti izbran. Kot rečeno odpadejo vsi brez wordpress.com računa, lastne domene, rednega in zanimivega dotoka vsebin, dosega bralcev, ter Google Alerts spammerji in vsebinske farme. Ostali naj bi, vsaj tako se upa, dobri, kreativni in neodvisni pisci, ki jih še ni posrkalo katero od večjih spletišč. In pa seveda novi blogerji, ki jih bo poteza spodbudila...

Slashdot - V zadnjem času med Googlovimi zadetki pri iskanju slik beležimo porast t. i. zastrupljenih rezultatov. Google se trudi in te strani sproti označuje, da uporabnikom odsvetuje njihov obisk, a še vedno je veliko na pogled običajnih slik, ki v resnici uporabne preusmerijo na škodljive strani. Način napada je preprost - zlikovci kompromitirajo legitimne strani, kjer je WordPress vodilna žrtev, na katere postavijo svoje PHP-skripte. Ko stran preiščejo Googlovi pajki, skripte to zaznajo in vračajo vsebino, ki se nato znajde v Googlovi bazi. Ko pa stran obišče končni uporabnik, ga s klikom na pomanjšano sličico (thumbnail) preusmeri na stran, od koder se naloži lažni antivirus (scareware).

...

Slo-Tech - Matt Mullenweg iz podjetja Automattic, ki upravlja s stranjo wordpress.com, je včeraj potrdil obsežen vdor v njihove strežnike. Napadalci naj bi dobili korenski (root) dostop, celotno izvorno kodo, bazo, gesla, ter api ključe za njihove aplikacije na Twitterju in Facebooku. Točen obseg škode, način vdora ter identiteto napadalcev še preiskujejo, so zapisali.

Wordpress.com je spletna stran za brezplačno gostovanje blogov (gosti npr. tudi Mikstonov blog), in jo je potrebno ločiti od wordpress.org, kjer je na voljo izvorna koda sistema Wordpress. S kodo naj bi bilo vse v redu, uporabniki gostovanja pa so pozvani, da zamenjajo svoja...

CNet - Včeraj je bila stran WordPress.com tarča najobsežnejšega napada DDoS doslej. Zaradi tega je bilo včeraj ogromno blogov, ki gostujejo na WordPressu, nedosegljivih. Gre tudi za zelo ugledna imena, kot so Financial Post, National Post, TechCrunch. WordPress pravi, da naj bi se stanje do danes normaliziralo.

Obseg napada ocenjujejo na več gigabitov na sekundo ter več milijonov zahtevkov na sekundo, zaradi česar ga je bilo težko ustaviti. Matt Mullenweg iz WordPresa je povedal, da je bil napad usmerjen na vse tri njihove strežnike (Chicago, San Antonio, Dallas) in da je šlo za najobsežnejši napad nanje v šestih letih, kar WordPress obstaja. Špekulirajo, da naj bi bile povod...

Slo-Tech - Statistika lanskih napadov DDoS, v katerih napadalci zasujejo stran s tolikšnim prometom, da strežniki pokleknejo in postane nedosegljiva, kaže, da se napadi krepijo. Ker se število okuženih računalnikov, ki jih hekerji nadzorujejo in združujejo v botnete za izvajanje napadov, povečuje, rast števila napadov in njihove intenzitete ni nič presenetljivega. Skrbniki omrežij še poudarjajo, da je velikokrat problem napačno konfiguriran požarni zid, ki lahko povzroči več škode kot koristi, če poklekne pri nižjem prometu, kot bi ga zdržalo omrežje.

Lani so bili tako najmočnejši napadi reda velikosti 100 Gbps, kar je dvakrat več...

Ars Technica - Microsoft je včeraj izdal stabilno verzijo brezplačnega programa WebMatrix, ki je namenjen izdelavi spletnih strani. Gre za orodje, ki je namenjeno neizkušenim uporabnikom, ki bi želeli imeti na enem mestu vse potrebno za razvoj spletnih strani. Tako ima integrirano podporo za PHP in ASP.Net ter kopico odprtokodnih orodij, kot so Drupal, Joomla in WordPress. Skupno lahko uporabniki s (skoraj) enim klikom izberejo, namestijo in prilagodijo več kot 40 odprtokodnih projektov.

WebMatrix seveda ni namenjen profesionalcem, ki bodo posegli po zmogljivejših in bolj specializiranih orodij. A za povprečnega uporabnika, ki bi želel nekoliko prilagoditi videz svojega bloga, je ravno pravšnji. Komur bo to premalo, pa Microsoft seveda priporoča Visual Studio (plačljivo ali brezplačno različico), ki je tudi iz Redmonda.

Slo-Tech - V uvodnem predavanju je upokojeni general in direktor ameriške obveščevalne agencije CIA, Michael Hayden, nanizal nekaj misli o razliki med kiberprostorom in preostalimi "domenami" - zrakom, vodo, zemljo in vesoljem. "Napad na neko sovražno džihadsko spletno stran ima posledice tudi v fizičnem svetu," ugotavlja Hayden. "Če nismo previdni, lahko uničimo nekaj, kar se nahaja denimo v Bostonu." Posebno zanimiva pa je bila ideja, da bi se morale "zrele" svetovne velesile (denimo G20, nikakor pa ne ZN) dogovoriti za skupna pravila igre v kiberprostoru. Kot primer je navedel mednarodni "zakon", po katerem bi odgovornost za napade DDoS morale prevzeti države, iz katerih taki napadi prihajajo. Po predavanju ga je glede tega doletelo pomenljivo vprašanje iz publike: "torej lahko vsak 15-letnik v neki državi sproži mednarodni incident, če s svojim botnetom ohromi neko spletno stran druge države?" Hayden je priznal, da je vprašanje odgovornosti zelo vroča tema, vendar je ta drugotnega pomena...

TechCrunch - Včeraj je izšla nova različica najbolj priljubljenega odprtokodnega orodja za pisanja bloga WodPress 3.0. S kodnim imenom Thelonious je to že trinajsta stabilna verzija tega paketa. Nove možnosti v tej inačici so nova privzeta tema Twenty Ten, ter knjižice API za enostavno uporabo poljubnih ozadij, glav, povezav, menijev in taksonomij. MU in WordPress sta se končno združila, tako da je z isto namestitvijo moč poganjati en ali na tisoče blogov. Popravljenih je 1.217 hroščev oziroma drugih izboljšav.

The Register - Včeraj smo poročali o znanih in neznanih piscih virusov, v skupino slednjih pa se je uvrstil tudi avtor virusa Blaster, ki je nedavno ugašal nezaščitene računalnike. The Register danes poroča, da je romunska policija aretirala Dana Dumitruja Ciobanuja, 24-letnega romunskega državljana iz Iasija, ki je osumljen, da je v svet poslal F-modifikacijo prvotnega črva Blasterja.

Inačica F se je od originalnega virusa le malo razlikovala; imela je le spremenjeno ime izvršilne datoteke, spremenjen cilj napada DDoS (Iasijska univerza) in dodatno sporočilo, ki kritizira univerzo in profesorje. Če bo Ciobanu obtožen, mu grozi do 15 let zapora. Avtor prvotnega Blasterja ostaja neznan. Več o tem.