Marcin Rybak thoughts

microsoft 6to4 adapter code 31 error

noreply@blogger.com (Marcin Rybak) — Wed, 21 Dec 2011 12:07:00 +0000

tak tak - będzie szybko i sprawnie, ale skutecznie, na błąd z tematu - rozwiązanie to RUN NOW ze strony:
http://support.microsoft.com/mats/hardware_device_problems

aż dziwne - ale działa :), kto by się po microsofcie spodziewał :)

dlaczego Microsoft powinien wydać service pack 4 dla windows'a XP

noreply@blogger.com (Marcin Rybak) — Fri, 05 Aug 2011 10:50:00 +0000

Dzisiaj przyszło mi reinstalować OEM-owego Windowsa XP. Płytka jak płytka - informuje że znajduje się na niej Service Pack 3. Poszło pięknie, ładnie - w końcu to nie pierwszyzna dla mnie :). Driver od sieci i Windows Update.
Muszę przyznać, że byłem lekko zaskoczony, gdy moim oczom ukazało się 101 aktualizacji.

Sporo tego jednak od ostatniego service pack'a się pojawiło. Biorąc pod uwagę, że SP 1 został wydany w 2004 roku, SP 2 w 2004, a SP 3 w 2008 to przez wzgląd na to - że XP używa jeszcze około 50% wszystkich komputerów Microsoft powinien pokusić się o SP4, gdyż stary SP3 posiada jeszcze równie leciwego Internet Explorer'a 6.0.290.5512 a wsparcie dla Windowsa XP kończy się dopiero w kwietniu 2014 roku.

nowe chrooty dla instalatora PLD CRI

noreply@blogger.com (Marcin Rybak) — Mon, 13 Jun 2011 20:28:00 +0000

Ze względu na to - że uważam CRI za jeden z sympatyczniejszych (i skutecznych) instalatorów PLD, postanowiłem odświeżyć trochę chrooty z których korzysta.

aby z nich skorzystać - najłatwiej, zaktualizować sobie plik /etc/cri.source.net wg poniższych wartości:

CRI_PKG_URL="ftp://ftp.pld-linux.org/people/hawk/cri/packages"
CRI_CHROOT_URL="http://carme.pld-linux.org/~marti/PLD/ti/cri/chroots"

Dostępne są chrooty dla: th, ti oraz ti-dev wszystkie w wersjach i686 i x86_64. Listy paczek zawartych w chrootach dostępne pod poniższym linkiem (m.in. kernel-2.6.38.6 w th):

http://carme.pld-linux.org/~marti/PLD/ti/cri/chroots/

greetz :)

bind - remote DoS...

noreply@blogger.com (Marcin Rybak) — Fri, 27 May 2011 14:09:00 +0000

na dobre zakończenie tygodnia - luka w serwerze DNS Bind, umożliwiająca zdalny atak Denial of Service... przed weekendem... ale połatać trzeba :)

drivers patch your eximssss

noreply@blogger.com (Marcin Rybak) — Sun, 08 May 2011 08:07:00 +0000

Stało się. Kolejny remote code execution na Exim'a (CVE-2011-1764). Bug znajduje się w mechanizmie DKIM (dla przypomnienia to mechanizm podpisywania wiadomości e-mail). Odpowiednio spreparowana wiadomość e-mail może prowadzić do wykonania dowolnego kodu z uprawnieniami użytkownika na którym pracuje exim. Z tego powodu wydana została wersja 4.76-RC1 i zalecona do produkcyjnego użytkowania. Powstał również patch na wersję 4.75. Ten właśnie został wrzucony do PLD. Dla niecierpliwych (zanim pojawią się w repo) buildy dla AC i TH poniżej:
http://carme.pld-linux.org/~marti/PLD/

oczywiście, możliwe jest "obejście" poprzez wyłączenie obsługi DKIM w sekcji ACL exima:

control = dkim_disable_verify

Defaultowy RedHat EL jak i CentOS 4 i 5 nie jest podatny na ten problem, gdyż nie wspiera DKIM.

transmission beta

noreply@blogger.com (Marcin Rybak) — Sun, 01 May 2011 08:24:00 +0000

Prowadzę w branchu DEVEL betę transmission (która notabene jest całkiem stabilna (i używalna :) )), chętnych - zapraszam do downloadu buildów (aktualnie 2.30b4) dla th i ti-dev:

http://carme.pld-linux.org/~marti/PLD/

VMSA-2011-0007, James Bond atakuje hosta

noreply@blogger.com (Marcin Rybak) — Fri, 29 Apr 2011 07:36:00 +0000

Z cyklu - lepiej zaktualizować, nowy bug (0007 :) ) dotykający ESX i ESXi w wersjach 4.0 i 4.1, pozwalający na wywalenie hosta (uniemożliwienie dostania się do niego) poprzez wyczerpanie ilości dostępnych socketów. Bug co prawda nie dotyka guestów - gdyż te po wywaleniu hosta pracują nadal, niemniej jednak - by przywrócić responsywność hypervisora - trzeba go restartować.
Szczegóły na bugtraq, patche dla ESXi i ESX tutaj:

ESXi 4.1: http://kb.vmware.com/kb/1035111
ESX 4.1: http://kb.vmware.com/kb/1035110
ESXi 4.0: http://kb.vmware.com/kb/1037261
ESX 4.0: http://kb.vmware.com/kb/1037260

zmiana klucza produktu office 2010

noreply@blogger.com (Marcin Rybak) — Thu, 21 Apr 2011 13:07:00 +0000

Swego czasu - pisałem o tym, że Microsoft jest coraz bardziej pro-użytkownikowy. Coraz częściej widzę te ruchy nawet w tak z pozoru mało potrzebnych funkcjach jak - zmiana klucza produktu pakietu office. Dotychczas aby zmienić wprowadzony raz klucz Office 2003 czy 2007 - trzeba było, grzebać w rejestrze, "ściągać podejrzane aplikacje" (cytuje pierwsze linki z wyników wyszukiwania google), usuwać potwierdzenia aktywacji i zbędnie kombinować.
W MS Office 2010 - to jest proste - i w miejscu gdzie być powinno: Dodaj-usuń programy (bądź "Programy" w Windows 7/Vista/2008) następnie przycisk "zmień" i tam już znajdziemy możliwość prostej zmiany klucza produktu.

od czego są procedury

noreply@blogger.com (Marcin Rybak) — Tue, 22 Feb 2011 19:58:00 +0000

Dzisiaj poględzę trochę o tym dlaczego stosowanie się do wcześniej ustalonych zasad - ma kluczowe znaczenie by cały system (czy to informatyczny - czy ludzki) działał OK. O ile zawsze klnę jak na "błękitnej linii" po 17 przełączeniu mnie do kolejnego konsultanta za każdym razem jestem pytany o "imię, nazwisko, rozmiar buta, przebieg samochodu w kilometrach oraz ilość płytek na ścianie w łazience", o tyle - podczas dzisiejszej wizyty w salonie firmowym jednego z naszych super operatorów komórkowych, przypadkowe ominięcie procedur - wydało mi się za łatwe.

Case study:

dwa tygodnie temu byłem w tym samym salonie, z dość specyficzną prośbą dotyczącą konta firmowego na którym znajduje się spora liczba numerów telefonicznych - pani poprawnie zweryfikowała mnie, jako osobę uprawnioną do zmiany, poprosiła o dowód osobisty (swoją drogą - ciekawe czy inna osoba o tym samym imieniu i nazwisku mogłaby zrobić to samo :) )
co istotne - obsługujących w salonie było około 10 osób, przy wejściu dostałem swój numerek, poczekałem na swoją kolej
w dniu dzisiejszym - również wszedłem, wziąłem numerek i czekałem cierpliwie, trafiłem na tę samą osobę obsługującą (przypadek/pech?)
pani uśmiechnęła się, sięgnąłem po dowód osobisty - Pani powiedziała, że nie będzie potrzebny bo mnie pamięta (1.)
podałem jej numer telefonu dla którego chciałem dokonać zmiany, po czym pani zapytała - czy dotyczy to firmy XYZ (2.), na co otrzymała moje "tak"
zmiana dokonana, dostałem kwitek z potwierdzeniem jej wykonania

Z pewnością dostrzec można dwa błędy:

brak potwierdzenia że ja to ja :)
to do mnie powinno należeć potwierdzenie do jakiej firmy należy numer 123456789

Co do dosyć kontrowersyjnego punktu 1. przypomnę że

pierwszy raz - byłem tam dwa tygodnie temu - i nie sądzę, by przy takiej ilości osób które tam się przewijają, pani pamiętała moje imię i nazwisko
Czy przez dwa tygodnie - nie mógł zapis umowy o osobach uprawnionych do zmian na koncie abonenta ulec zmianie?
czy Pani na pewno pamiętała - że poprzednim razem byłem w spawie firmy XYZ - również wątpię, a przyznam, że kusiło mnie - by po nieprawidłowej (acz poprawnej) weryfikacji - podać numer telefonu firmowego znajomego - który również korzysta z tej sieci :)

To wszystko sprawiło, że ktoś - kto chcąc zrobić dobrze i przyspieszyć załatwienie sprawy, zrobił źle. Ba - naraził swoją i nie tylko swoją firmę na straty.

Co zawiodło? Człowiek! Procedura którą poznałem przy pierwszym spotkaniu nie została ponownie zastosowana, po to by ułatwić petentowi załatwienie sprawy z którą przyszedł. Wg. mnie ułatwienie to marne, gdyż weryfikacja dowodu z danymi - to max minuta czasu, minuta - która w tym wypadku jest ważna.

Tak więc - procedury - szczególnie te, związane z bezpieczeństwem, należy stosować - i ROZUMIEĆ :). Zrozumienie jest o tyle ważne o ile - zapis:

Hasło użytkownika powinno składać się z co najmniej 8 znaków zawierających: co najmniej jedną małą literę, co najmniej jedną dużą literę, co najmniej dwie cyfry nieprzylegające do siebie oraz jeden znak specjalny.

W pierwszym podejściu każdemu użytkownikowi kojarzy się z Rj8v3&bZ, X94g7q4*, gD4W2@uu, a najprostsze: Jedrus5_2 bez zrozumienia zasady - z pewnością nie przyjdzie do głowy.

LOL - jak zdjąć hasło z dokumentu word'a

noreply@blogger.com (Marcin Rybak) — Thu, 14 Oct 2010 08:05:00 +0000

O ile nie używamy jakiś skomplikowanych funkcji które udostępnia format docx, to w każdej wersji word'a (testowałem 2003 i 2007) można odbezpieczyć dokument .doc nadający się tylko do odczytu (bądź z zabezpieczonymi polami "tylko do wypełniania formularzy") w następujący sposób:

otwieramy dokument .doc
zapisujemy dokument jako .rtf
otwieramy .rtf
zapisujemy jako .doc
otwieramy .doc
zatrzymujemy ochronę dokumentu - voila!

jedna z lepszych definicji DDoSu

noreply@blogger.com (Marcin Rybak) — Thu, 23 Sep 2010 09:54:00 +0000

tak na szybko... dzisiaj usłyszałem jedną z lepszych definicji ataku DDoS

dupa jedna, chętnych wielu

:) coś w tym jest

10.07.10 - Marcin się ożenił :)

noreply@blogger.com (Marcin Rybak) — Mon, 06 Sep 2010 05:03:00 +0000

Stało się! W wakacje, dokładnie 10 lipca 2010, zmieniłem stan cywilny.. poślubiłem Marię Małgorzatę Nycz.

"...I dobry Boże niech to trwa
Otul czule mnie i lekko
Jak cudowna mgła...
I nie chcę więcej wszystko mam..."

esxi standalone - często popełniane błędy

noreply@blogger.com (Marcin Rybak) — Sat, 04 Sep 2010 08:51:00 +0000

Wielu z moich znajomych obsługujących firmy z grupy "małe-średnie", przesiada się na darmowe VMware ESXi, jako powody podają:

łatwiejsze zarządzanie maszynami
utylizacja mocy procesorów
zgodnie z powyższym - redukcja zbędnego sprzętu
możliwość łatwego (ręcznego) przenoszenia maszyn pomiędzy hostami na wypadek awarii
uproszczenie infrastruktury

Niestety - w ramach migracji, instalacji, popełniają schematyczne i często te same błędy. Błędy zarówno koncepcyjne jak i konfiguracyjne. Kilka - które mi się przypominają postaram się opisać i "rozwiązać" (w miarę łopatologicznie).

"przeniosę kilka niezależnych maszyn fizycznych, świadczących różne usługi sieciowe i uruchomię na jednym hypervisorze" - no i tutaj mamy błąd koncepcyjny: o ile byłeś w stanie wyobrazić sobie swoją infrastrukturę w momencie awarii jednego z tych serwerów, musisz wyobrazić sobie co stałoby się - jakby awarii uległy wszystkie na raz (czyli pada hypervisor). To co kiedyś opisywałeś jako "disaster" (pada kilka maszyn fizycznych świadczących różne usługi), teraz jest dość prawdopodobne i Twój "mało prawdopodobny scenariusz" staje się kwestią ubicia jednej maszyny.

"robię backupy snapshotami" - snapshot to nie backup, backup snapshota - to nie backup (tutaj - patrz rozwinięcie :) ). Doświadczenie wskazuje na dwa pomysły:

- "zrobię snapshot działającej maszyny wirtualnej i zrobię backup snapshota". OK - masz "backup" - jak każdy backup - dobrze byłoby przetestować jak zadziała. Jest to dla przykładu (przykład nieprzypadkowy) - MAŁY serwer bazodanowy... jeśli wcześniej nie załapałeś - to może teraz zaświeciło się światełko "co z rozpoczętymi transakcjami, co z połączeniami będącymi w stanie established" w końcu czy baza zachowa konsystencje? Nie sądzę, by po padzie maszyny - jakikolwiek podłączony klient zaczekał aż Ty przywrócisz snapshot sprzed kilku dni - i dokończy poprawnie posiadane połączenie :)
- "rozumiem powyższe, wiec zrobię snapshot wyłączonej maszyny" - lepiej, ale nadal pozostaje kwestia co z maszyny jest krytyczne, a co backupujesz dla "funu". Jeśli maszyna jest np fileserverem - to snapshot - daje Ci dużo zbędnego narzutu na trzymane dane (w postaci systemu operacyjnego wraz z temp'ami, i innymi śmieciami)
- Wniosek: snapshoty rób by unikać błędów update/upgrade oraz by mieć stan jakiejś maszyny na wypadek niepowodzenia czy błędów samego systemu operacyjnego. Backupuj - konfiguracje i pliki serwera na poziomie plików w guescie a nie wirtualnych maszyn w hypervisorze.

HCL (Hardware Compatibility List) - coś co zostało stworzone przez vmware - byś mógł wiedzieć czy dane rozwiązanie zadziała na sprzęcie który masz. Niestety (tak!) ESXi działa również na innym sprzęcie (nieoficjalna lista). Dlaczego niestety - bo kusi by zainstalować go "produkcyjnie" na czymś niesupportowanym. Pamiętaj więc - że o ile rozwiązanie postawione na niesupportowanym sprzęcie może działać wieki poprawnie, może się zdarzyć, że przestanie działać nagle, bądź po update/upgrade hypervisora. Zresztą - nawet supportowany sprzęt bywa "uwalany"... patrz mój wcześniejszy post.

upgrade hypervisora - im więcej krytycznych usług trzymasz na jednym hypervisorze - tym więcej musisz położyć w momencie upgrade. Niestety - ESXi standalone przy upgrade - wymaga zatrzymania wszystkich maszyn fizycznych. Niejednokrotnie spotkałem się np z przypadkami gdy zatrzymanie maszyn wyłączało np. DNS'a, a ten do upgrade się przydaje :)

sieć wirtualna - vswitch'e - wiem, że ciężko to czasem ogarnąć, ale na wstępie, warto oddzielić management network od sieci korporacyjnej, w większości przypadków - niestety management network - z wygody działa z adresacją i logiką taką jak i cała sieć lokalna - co nie jest ani bezpieczne ani porządkogenne :). Kolejny fakt, na który warto zwrócić uwagę - to wydajność interface ethernetowego. Nawet posiadając kiepski nie HCLowy sprzęt - warto zainwestować w markową kartę sieciową z własnym procesorem. Podkreślić muszę - że przez ten/te interface będzie chodzić ruch kilku maszyn virtualnych - ruch, który kiedyś musiało obsłużyć kilka portów switcha fizycznego przechodzi teraz przez jeden port karty sieciowej (btw. trunking jest bardzo mile widziany :) ). Będąc już przy temacie swichy fizycznych - niestety - tutaj również, trzeba mieć sensowny (najlepiej markowy, zarządalny) switch - który będzie w stanie znieść dość duże I/O na jednym porcie (zamiast wcześniejszych kilku). Doświadczalnie - DLinki i inna chińszczyzna, przy kompensacji usług na jednym porcie - zapychają się jak pielucha w kiblu :)

management station. Pierwsze - mało oczywiste dla niektórych - nie może to być maszyna wirtualna (patrz pkt - upgrade hypervisora). Drugie - ta maszyna powinna stać w infrastrukturze (a nie jak robią niektórzy być klientem na laptopie administratora). Dodatkowo - nie powinno być na niej cuda wianków i usług dodatkowych. Wszelkie usługi monitorujące, backupujące itp. - na osobnej maszynie. Unikniecie wtedy problemów z upgrejdami.

"o! mam pendrive 2GB, zainstaluje na nim esxi" - tak, zainstalujesz - będzie działać... tak mniej więcej do pierwszego updrejdu bezproblemowo. Przy pierwszym upgrade, braknie Ci miejsca na scratch'u, chyba, że wcześniej skończy się w syslogu. Bo syslog i scratch partition, to dwie usługi - które zabijają pendrive 2GB (zalecane przez vmware - 4GB) - przeniesienie syslog'a i scratch'a na datastore - gwarantuje sukces... co notabene opisane jest w dokumentacji - tak - tej której nikt nie czyta, a imho ten 103 stronicowy dokument jest pozycją, bez której nie ma się co tykać ESXi.
switchy wirtualnych się nie łączy :) - można zwiększyć liczbę portów! Tworzyć switche - najlepiej z commandline (unikniemy wtedy dowolności vmware w dobieraniu portów)
dyski sata - ich wydajność - NIE POZWALA na stawianie rozwiązań produkcyjnych na nich właśnie. Pomijam pomysły typu "postawienie kilku wirtualek na pojedynczym dysku sata" - bo to już jest samobójstwo. Jeszcze dopuszczalnym uważam macierz typu raid10 pod hypervisorem, niemniej jednak - trzeba brać poprawkę na to, ze jak będzie trzeba wymienić pojedynczy dysk, to rebuild raida popsuje nam wydajność całego hypervisora - i to dość konkretnie.
auto startup - ma swoje "zady i walety", jedną z zalet - jest fakt, że można "włączyć hipervisora i iść do domu"... wadą natomiast jest to, że nie będąc a maintenance mode zrobimy "szybki reboot" - to szybki będzie oznaczać reboot + startup maszyn + shutdown maszyn. Generalnie się nie opłaca. Można wyklikać sobie bez problemu skrypt w vicli - który uruchomi nam wszystkie wirtualki jedna po drugiej.

eset nie jest święty - czasowo ubił kilkaset tysięcy kompów

noreply@blogger.com (Marcin Rybak) — Fri, 03 Sep 2010 08:00:00 +0000

Wczoraj popołudniu miałem mały "disaster day" w pracy... praktycznie każdy komputer się bez powodu wywalił, na stronach intranetowych ESET sygnalizował znalezione wirusy i ogólnie - lekko nie było, dodając do tego próbę updejtów przez serwer NTP czasu na wszystkich końcówkach o +189216540 sekund (jakieś 6 lat) zrobił się niezły kocioł, a mało która końcówka wytrzymała to bez zawieszenia i konieczności restartu.

Na początku, sądziłem, że to kwestia wywalenia się serwera NTP, niestety dzisiaj rano, przy włączeniu outlook'a, ludzi powitał radosny komunikat "Wtyczka ESET NOD 32 doprowadziła do poważnej awarii i niesabilności programu Microsoft Office Outlook i zalecane jest jej wyłączenie". To skusiło mnie do przejrzenia KB i oto jest: NEWS99 ;). Może z mniejszym impactem niż poprzednio McAfee, ale jednak pozostawia niesmak, szczególnie, że za około półtora miesiąca kończy się nam subskrypcja i przystępujemy do testów innych komercyjnych rozwiązań.

hp msa2312fc controller B niekończący się update

noreply@blogger.com (Marcin Rybak) — Mon, 30 Aug 2010 06:30:00 +0000

dzisiaj podczas upgrejdowania macierzy HP MSA 2312fc przy pomocy firmware: mercurysw-M111R06-03.bin spotkałem się z sytuacją, gdy po sflashowaniu kontolera A i jego reboocie, system przystąpił do automatycznego updejtu drugiego kontrolera (ze względu na partner firmware update), niestety - mimo pozytywnego (z poziomu webowego klienta) zakończenia tego procesu:

Partner Firmware Update progress: PFU sending package to partner SC, (info: p1: 16, p2: 0, p3: 0, p4: 0)
Partner Firmware Update progress: PFU send package done, SUCCESS (info: p1: 17, p2: 0, p3: 0, p4: 0)
Partner Firmware Update progress: PFU completed on local controller, SUCCESS (info: p1: 5, p2: 0, p3: 0, p4: 0)
Firmware update progress: The firmware was verified. (from MC: no, for MC: yes) (p1: 1, p2: 0, p3: 1, p4: 0)
Partner Firmware Update progress: PFU sending MC firmware to MC on this controller, (info: p1: 20, p2: 0, p3: 0, p4: 0)
Other controller has changed state. (new state: Restarting)

i po restarcie znów to samo, kontroler updejtował się w kółko.

Porównując wersje kontolerów zauważyłem, że niepoprawnie updejtuje się Management Controller (różnica wersji).
Rozwiązanie jest dość proste:
shutdown kontolera A
z poziomu konsoli kontrolera B:

set protocols ftp enable
set advanced-settings partner-firmware-upgrade disabled

następnie z poziomu klienta ftp

ftp ip.kontrolera

podajemy login i hasło
i wklepujemy:

put mercurysw-M111R06-03.bin flash

powinniśmy zobaczyć update 47 rejestrów storage kontolera, następnie 47 rejestrów management controllera. Po pomyślnym updejcie i restarcie obu kontolerów powinniśmy zobaczyć zgodne wersje na obu kontolerach:

Controller A Versions
---------------------
Storage Controller CPU Type: Turion MT32 1800MHz
Storage Controller Code Version: M111R06
Memory Controller FPGA Code Version: F300R22
Storage Controller Loader Code Version: 19.009
Management Controller Code Version: W441R25
Management Controller Loader Code Version: 12.015
Expander Controller Code Version: 1109
CPLD Code Version: 8
Hardware Version: 56

Controller B Versions
---------------------
Storage Controller CPU Type: Turion MT32 1800MHz
Storage Controller Code Version: M111R06
Memory Controller FPGA Code Version: F300R22
Storage Controller Loader Code Version: 19.009
Management Controller Code Version: W441R25
Management Controller Loader Code Version: 12.015
Expander Controller Code Version: 1109
CPLD Code Version: 8
Hardware Version: 56

jak wszystko "gra" to można wyłączyć ftp i przywrócić ustawienie partner firmware

lighttpd mod_auth.patch

noreply@blogger.com (Marcin Rybak) — Mon, 24 May 2010 19:30:00 +0000

Because - default lighttpd mod_auth (at now 1.4.26) does not provide additional information about source IP address when login attempt is wrong (as an example - while password guessing), i made some change in a source code.

here's how it looks by default:

2010-05-24 21:00:36: (http_auth.c.872) get_password failed

and after patching:

2010-05-24 21:00:48: (http_auth.c.872) get_password failed , IP: xx.xx.xx.xx

it is now possible to use as an example fail2ban - to prevent login/password bruteforce attacks

please find attached http_auth.patch

axfr shouldn't be public!

noreply@blogger.com (Marcin Rybak) — Thu, 08 Apr 2010 23:21:00 +0000

Time has come. Time to make some dns zones public. I really understand, that this info can make a problem to some DNS services providers, but doing nothing is worse, and it’s almost impossible to notice all related people.

In my opinion - this is serious security issue, when anybody can get and examine whole DNS zone. It is possible - when you allow everyone to get AXFR transfer which should be normally provided only to slaves.

“Okay, so what do you think you're Elvis or something (…) That don't impress me much!”

Is this issue common? I tested some DNS servers, most of them were selected random, but I also checked big DNS providers. Some of them has this issue at all servers, some only on few. But almost 30% of randomly audited were vulnerable - sounds bad.

Example:
Domain secure.net (real example), has 2 DNS servers: ns1.secure.net and ns2.secure.net.
Let’s ask for it’s zone:

$ dig secure.net @ns2.secure.net axfr

And see what happened:

(it is just few lines from whole zone which has about 60 lines)

Ok, take something bigger one, Warsaw University of Technology (uw.edu.pl). Domain has 4 DNS servers:

arwena.nask.waw.pl
io.coi.pw.edu.pl
europa.coi.pw.edu.pl
dns.fuw.edu.pl

First three doesn’t have problem, and they give us:

Transfer failed.

But last one provided by Faculty of Physics at the University of Warsaw (dns.fuw.edu.pl) is vulnerable and we can see almost 400 records. Because we know - that this is vulnerable we can dig deeper. We can check domains using this as name server at: http://www.robtex.com/dns/dns.fuw.edu.pl.html#shared.

This is only two of checked zones. Believe me or not, but there were more than few which has more than 20000 records in their zones.

Because of fact that some information like DNS zones shouldn’t in my opinion be visible - I’ve just wrote e-mails to hostmasters of all DNS servers which has problems (and I caught it). So - prevent being caught red-handed. Check your DNS configuration immediately.

---/10-04-2010/---
Because of the fact, that some hostmasters checked their configuration I can write it, that problem was as example with art.pl (about 19000 records visible) and krakow.pl (16000 records). It should shed some light on significance of case.

i jak tu rozróżnić skimming od oryginału?

noreply@blogger.com (Marcin Rybak) — Mon, 22 Mar 2010 10:12:00 +0000

W ub tygodniu w Bonarce chciałem wybrać gotówkę z bankomatu euronetu. Bankomat - mimo, że po późniejszym "dochodzeniu" okazał się fabryczny, nie budził mojego zaufania... czy producenci nie mogą klawiatury robic w jednym kawałku, w "kolorze nadwozia", a dziura na kartę nie może wyglądać "normalnie - płasko"?

DDoS serwera obsługującego parkomaty

noreply@blogger.com (Marcin Rybak) — Sat, 13 Mar 2010 12:26:00 +0000

Przyznam szczerze, że ubawiła mnie informacja znaleziona w dzisiejszym krakowskim dodatku do wyborczej. W dziale interwencje znajduje się krzykliwy tytuł "parkomaty zjadają minuty", w treści kilka zdań o tym, że parkomaty mają źle ustawiony zegar przez co już przy zakupie bileciku jesteśmy kilka minut w plecy.

Niemniej jednak - z punktu widzenia "mądrze brzmiące zdanie", które dla większości zwykłych czytelników uzasadnia problem, jest dla mnie śmieszne:
"Urządzenia łączą się z serwerem trzy razy w ciągu doby. Jako, że jest ich 300, niektórym się to nie udaje - tłumaczy rzecznik. - Przerobimy je tak, żeby łączyły się z centralą znacznie częściej. Dzięki temu problem powinien zniknąć - kwituje."

Nie wiem dokładnie jakie dane parkomaty wysyłają do systemu (na pewno są to wykonane transakcje, informacja o przepełnieniu monetami, informacja o zużytych kredytach z KKM (kart RFID)), nie wiem w jaki sposób się łączą (zapewne wdzwaniają), ale czy 900 (3 razy w ciągu doby x 300 urządzeń) połączeń na dobę to dużo? Czy logicznie rzecz biorąc, zwiększenie częstotliwości "łączenia się z centralą", zwiększa prawdopodobieństwo udanego połączenia, gdy wąskim gardłem jest maksymalna ilość jednocześnie przyjętych połączeń (tak wynika ze słów rzecznika)? Znów wydaliśmy publiczne pieniądze na system który jest wadliwy?

xz-utils replaced lzmna-utils

noreply@blogger.com (Marcin Rybak) — Fri, 19 Feb 2010 20:08:00 +0000

[blocks B ] app-arch/lzma-utils ("app-arch/lzma-utils" is blocking app-arch/xz-utils-4.999.9_beta)
[blocks B ] app-arch/xz-utils ("app-arch/xz-utils" is blocking app-arch/lzma-utils-4.32.7)

xz-utils replaced lzma-utils. According to lzma-utils website (http://tukaani.org/lzma/):
"LZMA Utils are legacy data compression software with high compression
ratio. LZMA Utils are no longer developed, although critical bugs may
be fixed as long as fixing them doesn't require huge changes to the
code.

Users of LZMA Utils should move to XZ Utils. XZ Utils support the
legacy .lzma format used by LZMA Utils, and can also emulate the
command line tools of LZMA Utils. This should make transition from
LZMA Utils to XZ Utils relatively easy. "

Na jakiej zasadzie działa pistolet od starego pegasusa?

noreply@blogger.com (Marcin Rybak) — Tue, 22 Dec 2009 12:26:00 +0000

Przypomniało mi się to, co męczyło mnie całe dzieciństwo, w czasach gdy jeszcze nie miałem internetu... (a miało go pewnie wtedy kilka osób na świecie :P), a różni ludzie wciskali mi ciemnotę.... no właśnie:
Na jakiej zasadzie działa pistolet do starego Pegasusa? Ten którym można było grać np w tę grę (dzisiaj była na wykopie): Duck Hunt, dzięki serwisom takim jak elektroda czy nawet pclab, można w dzisiejszych czasach taką informację znaleźć "od ręki". Ok, ok... nie zamulam... ku ukojeniu ciekawości:

Pistolet posiadał światłoczułą diodę. Wraz z naciśnięciem spustu ekran ciemniał i po nim zaczęła przebiegać mała jasna plamka. Układ światłoczuły w pistolecie sprawdzał czy nie jest w danym momencie oświetlony i jeśli był, to znaczy że w to miejsce "celował" pistolet.

Oczywiście trwało to na tyle szybko, że człowiek nie był w stanie tego zaobserwować, co najwyżej po oddaniu strzału wydawało się, że ekran pojaśnał na moment - co było złudzeniem ludzkiego oka.

Tak chałupniczo:
"Pistolet zawiera w lufie fotodiode lub fototranzystor. W momencie wcisniecia spustu ekran telewizora jest wygaszany (krok 1), a nastepnie malowany jest na bialo cel (krok 2) . Jesli punkt ekranu, w ktory wycelowana byla fotodioda w (1) i (2) byl czarny - nie trafiles. Jesli w (1) czarny, a w (2) bialy trafiles." Widać to było gołym okiem, kiedy na dłuzej przytrzymało się spust - kaczkę zastępował biały kwadrat.

Działa to na zasadzie zarzuconego już pomysłu "pióra świetlnego".

jak nie należy raportować błędów

noreply@blogger.com (Marcin Rybak) — Mon, 21 Dec 2009 21:33:00 +0000

Jeden z większych portali z "treściami roznymi" (chwalą się: Użytkowników: 783860, (przyrost 40tyś msc) wypluł mi kilka dni temu błędem mysql'a. Jako, iż mam chwilę (PKP Kraków-Warszawa :)), może trochę o raportowaniu wspomnę, na przykładzie poniższego screena (właśnie z tego portalu)...

Z założenia tępię wszelkiego rodzaju informacje przekazywane użytkownikowi typu "wystąpił nieoczekiwany błąd", lub "internal server error", które przeciętnemu użytkownikowi nie dostarczają żadnej wiedzy o tym co ma dalej zrobić, ba nawet skłaniają do ponownego popełnienia błedu (poprzez np. refreshowanie przeglądarki), jest to dla klienta końcowego dość frustrujące gdy po kliknięciu submit dostaje error i kompletnie nie wie co się stało. A opcji może mieć kilka:

wypełniany przez niego formularz został wysłany poprawnie tylko komunikat "kłamie"
formularz był błędnie wypełniony
formularz był poprawnie wypełniony, jednak wystąpił błąd w jego wysłaniu.
itd.

o ile przy opcji numer 1 i 3 ponowne wypełnienie formularza tymi samymi danymi (o ile jest możliwe), może skutkować tym samym błędem (bądź jego brakiem... i poprawną reakcją), o tyle jeśli gdzieś w trakcie wypełniania ktoś popełnia błąd, a error o tym jasno nie mówi, to raczej będzie go popełniał za każdym razem. I doprawdy nie chodzi mi o to by mówić userowi "w linijce tej i tej popełniłeś w 6tym słowie od lewej(...) literówkę".

Z drugiej strony przesadne informowanie użytkownika o powodzie błędu (jak na screenie powyżej), aż kusi "świadomych" by coś z tą wiedzą zrobić.Poznanie sposobów przekazywania danych, ich walidacji oraz parametrów które je przekazują jest już krokiem w przód, który nie twierdzę, iż nie jest do wykonania samodzielnie, ale czasem niepotrzebnie kusi.
I znów wracamy tutaj do "poziomu usera", z tym, że w tym przypadku, albo powyższy błąd powie komuś za dużo, albo nie powie nic.

emerytura... no i co z tego, że nie ma z czego

noreply@blogger.com (Marcin Rybak) — Thu, 10 Dec 2009 21:34:00 +0000

Od miesiąca czasu media atakują nas informacjami typu:

i co dalej...

... nic! Plotki, a może statystyki głoszą, że dzisiaj na jednego emeryta przypada 4rech pracujących. Z mojej pensji, utrzymywanych jest zapewne 1 emeryt. Ale to w sumie bez znaczenia, skoro moje pieniądze są bieżąco konsumowane. Ciekawe natomiast dlaczego w cywilizowanym kraju, gdy wiadomo, że coś się zawali, upadnie... nadal każe się pompować w to niemałe pieniądze.
Z rozsądnego punktu widzenia... gdy czytam "bank X ma kłopoty, za 2 lata na pewno upadnie"... bezpiecznie wycofuje z niego pieniądze. W przypadku ZUSu, niestety nie dość, że nie jestem w stanie się wycofać, to jeszcze muszę nadal pompować kasę w to, co niechybnie się rozsypie.

Gdybym, miał przymus, wpłacania mojej kasy, na oprocentowane konto/lokatę/cokolwiek to bym to robił. Zapewne w momencie przejścia na emeryturę miałbym tam uzbieraną na tyle dużą kwotę, że mógłbym spokojnie pobierać z tego sensowną i godziwą emeryturę, a nie tzw. "chlebakowe". W sumie to sytuacja moja nie za bardzo się w tym momencie zmienia, bo wiedząc, iż system upadnie, zmuszany jestem na dobrowolne (brzmi jak "wy macie rację, ale my mamy karabiny" :) ) odkładanie by mieć z czego w dalekiej przyszłości żyć.
Sytuacja podobna do tego, o czym już pisałem. Wiem, że robię źle, ale nie mam wyjścia. Pytanie tylko, dlaczego od tylu lat nikt z tym nic nie zrobi? Może zwyczajnie się nie da, tylko mi brakuje 1,2,3,4,5,6,7 a może i 8 klepki by to ogarnąć.

PLD, Gentoo... ciemność widzę, ciemność...

noreply@blogger.com (Marcin Rybak) — Tue, 08 Dec 2009 07:25:00 +0000

Sporo ostatnio stawiam nowych systemów, dotychczas byłem poważnym zwolennikiem czterech dystrybucji:

PLD
Gentoo
CentOS
xubuntu/ubuntu

które ceniłem za (tak tak, mam świadomość wad!):

PLD:

*rozbudowane drzewo pakietów z wydzieleniem poszczególnych modułów (kernel,php...) czyli tzw. mikropaczki - instaluje co chcę i tylko to, z minimalnym niezbędnym bagażem zależności
*poldek - najlepszy manager pakietów jaki znam
*stabilność - pakiety w głównym drzewie są stabilne, pięknie działają.. updrejdy raczej bezproblemowe, z małym zastrzeżeniem dla jakiś major changes
*aktualność - wszystkie popularne pakiety aktualizowane są szybko i bez zbędnych opóźnień

Gentoo:

optymalizacja - system w pełni jest taki jak mój sprzęt, dostosowuje się i optymalizuje pod każdym kątem
rozbudowane drzewo pakietów - praktycznie każda paczka której potrzebowałem zarówno na desktopie (a takowy posiadałem jeszcze w czasach release 2005) jak i na serwerach zawsze była
drzewo hardened - dobra robota, która za cenę mniejszej wygody sprawiała, iż wszystkie paczki kompilowane były z maksymalnie bezpiecznymi (z punktu widzenia security a nie usability) opcjami, PAX i grsecurity w defaultowej wersji swego czasu robiło dobrą robotę
glsa-check - pakiet dzięki któremu można spać spokojniej, system sprawdzany pod kątem biuletynów bezpieczeństwa
etc-update - ochrona /etc, mimo backupów, czasem aż człowieka trafia, gdy okazuje się, że update nadpisał mu jakieś konfigi... :), dzięki etc-update nie groziło to, a przy okazji dość sensownie pokazywało co i dlaczego się w konfiguracjach zmieniło
stabilność - jeśli tylko wiedziało się dlaczego coś sie updejtuje i updejty robiło sie na zasadzie emerge -v world a świadomie i z wiedzą co działo się pomiędzy wersjami - wszystko działało bardzo sprawnie i stabilnie
niesamowita kontrola nad tym, co i jak się posiada - szybko i łatwo można zrozumieć zależności i wiedzieć co i dlaczego się instaluje
własny rozwój (z tym systemem nauczyłem się najwięcej) - system wymaga jednak dość dużej cierpliwości w utrzymaniu, praktycznie każdy upgrade informował mnie co tak naprawdę się zmieniło, wiele wymagało przeróbek konfiguracyjnych

CentOS

stabilność
odporność na awarię (co poniekąd wyrażone jest stabilnością) niemniej jednak - jedna z nielicznych dystrybucji która "zawsze wstaje", i której w życiu jeszcze nawet robiąc yum upgrade po zmianie wersji nie udało mi się położyć
backend... za systemem stoi jednak komercyjna działalność ludzi (RedHat), dla których ważne jest by wszystko bez względu na koszt było stabilne i bezpieczne, to daje poczucie (i to nie złudne) bezpieczeństwa

xubuntu (i podobne systemy "..buntu")

"grywalność" - za czasów CD-Action, tak określało się w testach gier - czy instalowało się i działało "szybko, łatwo i przyjemnie", tak właśnie jest z tym systemem, nastawiony jest na nierozwiniętego użytkownika, dla którego system ma działać... na spełniać podstawowe funkcje, ale działać w warunkach domowo-laptopowych
rozbudowane drzewo pakietów
lekkość (tutaj w sensie xubuntu, bazującego na xfce)

W przypadku dwóch pierwszych systemów (PLD, Gentoo) które lubiłem najbardziej, wiele z ich zalet, stało się ich wadami, by nie powiedzieć przekleństwem... i tak, obserwowane (niestety nie tylko przeze mnie) niedociągnięcia, które stają się notoryczne, a co z tym idzie - niedopuszczalne:

PLD:

rozbudowane drzewo pakietów, z podziałem na mikropaczki - stworzyło niezły burdel, część rzeczy ląduje w głównym repo bez odpowiednich testów (a tak naprawdę tylko za zasługę "czasu który upłynął od momentu wydania"), tylko dlatego, że brakuje wystarczającej liczby developerów którzy zajmowaliby się danym pakietem, tak... wiem... mogę sam poprawić, mogę sam 'commitnąć speca', wszyscy będą szczęśliwi, tylko, że... ja chcę używać systemu, nie koniecznie poświęcając czas na jego rozwój. Metoda działania systemu typu WYSIWYG (What You See Is What You Get) nie zadowala mnie w kontekście kernel paniców, segfaultów na nieupdejtowanych paczkach (polecam na TH x86_64 przetestować links2 z drzewa main).
polecam ten wątek forum który poniekąd popchnął mnie do napisania tego posta oraz zdanie w nim wypowiedziane: Robi sie fajnie, Ac już popsute, TH jeszcze niedorobione a Ti nieoficjalne...

i tak niestety jest, na pld-linux.org widnieje "głośno i wyraźnie", Ra - EOL, Ac - stable, Th - stable, in endless development. Dla mnie stable = secure, a nie chcę tutaj już dowodzić ile trzeba było w AC czekać na załatanie dziurawego kernela czy mysql'a
na powyższe można odpowiedzieć "jest Ti", tak, ale dopóki Ti nie będzie oficjalną częścią PLD nie zdobędzie mojego zaufania (wystarczy wspomnieć co stało się z forkiem DC (Devil Compilation) czy AC-NEST (o ile to był fork :) ), dodatkowo jak wskazuje doświadczenie - im mniej developerów skupionych nad jednym "forkiem" tym gorzej... bo jak każdy tłumaczy "mam własną pracę, rodzinę itd." = brak czasu by robić coś za free
OK, jest Th... Th jest dla mnie zgromadzeniem nowinek, w czystej postaci, panuje tam dość duży chaos, wrzucane jest wszystko co komuś się wyklikało... "bo akurat potrzebował". Argument przytoczony również na forum PLD: Nikt z developerów dla zabawy nie psuje pakietów, w końcu robimy to dla siebie, nikt nas do tego nie zmusza. Nie odpowiada do końca mojemu modelowi biznesowemu (bo śmiało i otwarcie przyznaje, iż administruje kilkoma instancjami PLD za pieniądze) który w skrócie mówi: "chcę spać spokojnie"... chociaż może w przypadku PLD trzeba pokusić się o otwarte powiedzenie "jak sobie pościelesz tak się wyśpisz" = zostań developerem, będziesz miał system swoich marzeń, tylko czy moje marzenia zawsze odpowiadają wszystkim?

Gentoo:

zacznę może od mojego ulubionego i szanowanego punktu: hardened, w tym projekcie aktualnie zostało 4rech developerów... (głównych), którzy dość chaotycznie markują pakiety jako stable&secure, niejednokrotnie, dzień po dniu pojawiają się kolejne wersje tego samego pakietu który dziurawy był przez miesiąc, ładnie to wszystko niestety widać w changelogach pakietów... co powoduje że dzień po dniu wykonuje często czasochłonne updejty i rekompilacje, co raczej nie idzie w parze za głośnym "be green" :)
kolejnym - rażącym niedociągnięciem jest fakt, iż listowane przez glsa-check pakiety jako AFFECTED potrafią w tym stanie trwać (w wersji hardened!) przez 2-3 miesiące
jak już wspomniałem - zady przechodzą w walety... zalety w wady... rozbudowane drzewo portage, niestety dość rzadko jest czyszczone z pakietów martwych, nieupdejtowanych, a dodatkowo podobnie jak w PLD (mimo, że developerów mają więcej) niektóre dość rzadko aktualizowane, ba niektóre po updejach psują wszystko... no może dużo, nie wszystko
overlays - to coś co mnie kompletnie rozwaliło... nie dość, że portage jest rozbudowane, to jeszcze ktos wymyślił overlaye, które są niejako "radosną twórczością developerów"... i tak na moje ostatnie pytanie, KIEDY KERNEL W HARDENED ZOSTANIE ZAŁATANY odpowiedź była "use hardened-development overlay" = hardened but unstable, dziękuję, postoję, to jak budowla ze słomy... stoi, ładnie wygląda, ale sfurać to łatwo.

CentOS:

pakietów jak na lekarstwo... co dla mnie jest wadą dość istotną. Co prawda, jasno i wyraźnie mam wtedy powiedziane "doinstalowujesz coś własnego - TWÓJ PROBLEM", co jest dla mnie przynajmniej przejrzyste.

ubunciaki:

no właśnie, jest ubuntu-server, który wzbudził moje zainteresowanie i dość pozytywnie nastawił, pytanie tylko, czy backend nastawiony na desktopa jest solidnym oparciem dla dystrybucji która ma być stabilna i niezawodna

Konkluzje:
się porobiło... co wybrać... osobiście nie wiem, zainteresował mnie projekt www.exherbo.org oraz archlinux.org, poobserwuję przez chwilę changelogi, może postawię gdzieś testowo.. się zobaczy. Interesuje mnie stabilność, niezawodność i optymalizacja, z dobrym zapleczem by móc "spać spokojnie".

where is /etc/hosts in windows 7 64bit

noreply@blogger.com (Marcin Rybak) — Sun, 06 Dec 2009 21:13:00 +0000

Both windows 7 64bit and Vista 64bit has file in the same place:
%SystemRoot%\Sysnative\drivers\etc