Как защититься от «бестелесных» веб-шеллов
Здесь рассматривается развивающаяся природа кибератак, с акцентом на «бестелесные» веб-оболочки в качестве ключевого инструмента для удаленного управления веб-серверами. Эти веб-оболочки отличаются от традиционных тем, что не оставляют следов на сервере, что делает их обнаружение и анализ более сложными.
Рассматриваются различные типы веб-оболочек, включая те, которые создаются через заранее созданные файлы, эксплуатируя ошибки в веб-приложениях, внесение изменений в исходный код, скрытие в базах данных или модулях сервера, и, в частности, фокус на скрытии в памяти процесса веб-сервера. Различные методы внедрения PHP-кода в процесс, эксплуатации ошибок и обхода отключенных функций. Приведен кейс-стади по PHP-багу (#80663), иллюстрирующий развитие от ошибки использования после освобождения до потенциальной записи в произвольные адреса памяти.
Рассказывается о жизненном цикле PHP в сочетании с веб-сервером, подробно описывая функцию инициализации (RINIT) и потенциал ее эксплуатации для создания «оторванной» веб-оболочки. В статье рассматриваются конфигурации PHP в Apache и PHP-FPM, обсуждаются проблемы и преимущества каждой из них.
Обсуждается разработка кода оболочки, включая необходимость безопасного выполнения в потоках и использование функции управления ресурсами PHP. Представлены этапы эксплуатации для создания «оторванной» веб-оболочки, включая загрузку PHP-скрипта, поиск по памяти, цепочки ROP и внедрение обратных дверей в процессы веб-сервера.
Статья завершается акцентом на обнаружении «бестелесных» веб-оболочек с использованием инструментария EDR/SELinux. Методы обнаружения включают мониторинг внедрения кода в процессы, сканирование внедренного кода с использованием правил YARA и обнаружение после эксплуатации через аудит новых процессов, файловой активности и сетевой активности.
Здесь рассматривается развивающаяся природа кибератак, с акцентом на «бестелесные» веб-оболочки в качестве ключевого инструмента для удаленного управления веб-серверами. Эти веб-оболочки отличаются от традиционных тем, что не оставляют следов на сервере, что делает их обнаружение и анализ более сложными.
Рассматриваются различные типы веб-оболочек, включая те, которые создаются через заранее созданные файлы, эксплуатируя ошибки в веб-приложениях, внесение изменений в исходный код, скрытие в базах данных или модулях сервера, и, в частности, фокус на скрытии в памяти процесса веб-сервера. Различные методы внедрения PHP-кода в процесс, эксплуатации ошибок и обхода отключенных функций. Приведен кейс-стади по PHP-багу (#80663), иллюстрирующий развитие от ошибки использования после освобождения до потенциальной записи в произвольные адреса памяти.
Рассказывается о жизненном цикле PHP в сочетании с веб-сервером, подробно описывая функцию инициализации (RINIT) и потенциал ее эксплуатации для создания «оторванной» веб-оболочки. В статье рассматриваются конфигурации PHP в Apache и PHP-FPM, обсуждаются проблемы и преимущества каждой из них.
Обсуждается разработка кода оболочки, включая необходимость безопасного выполнения в потоках и использование функции управления ресурсами PHP. Представлены этапы эксплуатации для создания «оторванной» веб-оболочки, включая загрузку PHP-скрипта, поиск по памяти, цепочки ROP и внедрение обратных дверей в процессы веб-сервера.
Статья завершается акцентом на обнаружении «бестелесных» веб-оболочек с использованием инструментария EDR/SELinux. Методы обнаружения включают мониторинг внедрения кода в процессы, сканирование внедренного кода с использованием правил YARA и обнаружение после эксплуатации через аудит новых процессов, файловой активности и сетевой активности.
Хабр
Как защититься от «бестелесных» веб-шеллов
Введение В сегодняшней статье эксперты Сайбер ОК проведут вас за руку по лабиринту хакерских уловок и на пальцах объяснят, что такое "бестелесные" веб-шеллы и как с ними бороться. Сегодня мы наблюдаем...
👍6❤4👏2
Vertical Slice в PHP
Архитектура Vertical Slice организует код вокруг отдельных функций, улучшая модульность, гибкость, тестируемость и поддерживаемость. В Yii2 это можно реализовать с использованием встроенных действий Yii для более детального контроля.
Yii3 дополнительно облегчает этот подход, обеспечивая более тонкий уровень управления действиями. Структурирование по use case с помощью Vertical Slices улучшает архитектуру приложений на PHP, обеспечивая модульность, гибкость и поддерживаемость.
Архитектура Vertical Slice организует код вокруг отдельных функций, улучшая модульность, гибкость, тестируемость и поддерживаемость. В Yii2 это можно реализовать с использованием встроенных действий Yii для более детального контроля.
Yii3 дополнительно облегчает этот подход, обеспечивая более тонкий уровень управления действиями. Структурирование по use case с помощью Vertical Slices улучшает архитектуру приложений на PHP, обеспечивая модульность, гибкость и поддерживаемость.
blog.yii.lat
Vertical Slice Architecture in PHP.
Post by wilmer arambula
👍6❤1
Forwarded from Библиотека собеса по PHP | вопросы с собеседований
Как в общих чертах работает opcache?
OPcache (Opcode Cache) — это расширение для интерпретатора PHP, предназначенное для улучшения производительности выполнения PHP-скриптов. Его основная задача — кешировать промежуточный байт-код PHP (опкоды), чтобы уменьшить время компиляции и повторно использовать уже скомпилированный код при последующих запросах.
В общих чертах работа OPcache выглядит следующим образом:
Компиляция кода: Когда PHP-скрипт выполняется, он сначала компилируется в промежуточный байт-код (опкоды). Этот этап требуется при каждом запросе, если код не был изменен.
Кеширование: После компиляции кода OPcache сохраняет скомпилированный байт-код в памяти. Это позволяет избежать повторной компиляции при следующих запросах к тому же скрипту.
Повторное использование: В следующих запросах, если код скрипта не изменился, OPcache использует закешированный байт-код, обеспечивая более быстрое выполнение скрипта.
Инвалидация кеша: OPcache отслеживает изменения в PHP-файлах. Если файл изменяется, OPcache инвалидирует свой кеш для этого файла, чтобы обеспечить актуальность данных.
Преимущества использования OPcache включают улучшение производительности PHP-приложений за счет уменьшения времени компиляции и ускорения выполнения кода. Однако, следует отметить, что OPcache не является инструментом для улучшения самого кода; он просто устраняет необходимость повторной компиляции кода при каждом запросе.
OPcache (Opcode Cache) — это расширение для интерпретатора PHP, предназначенное для улучшения производительности выполнения PHP-скриптов. Его основная задача — кешировать промежуточный байт-код PHP (опкоды), чтобы уменьшить время компиляции и повторно использовать уже скомпилированный код при последующих запросах.
В общих чертах работа OPcache выглядит следующим образом:
Компиляция кода: Когда PHP-скрипт выполняется, он сначала компилируется в промежуточный байт-код (опкоды). Этот этап требуется при каждом запросе, если код не был изменен.
Кеширование: После компиляции кода OPcache сохраняет скомпилированный байт-код в памяти. Это позволяет избежать повторной компиляции при следующих запросах к тому же скрипту.
Повторное использование: В следующих запросах, если код скрипта не изменился, OPcache использует закешированный байт-код, обеспечивая более быстрое выполнение скрипта.
Инвалидация кеша: OPcache отслеживает изменения в PHP-файлах. Если файл изменяется, OPcache инвалидирует свой кеш для этого файла, чтобы обеспечить актуальность данных.
Преимущества использования OPcache включают улучшение производительности PHP-приложений за счет уменьшения времени компиляции и ускорения выполнения кода. Однако, следует отметить, что OPcache не является инструментом для улучшения самого кода; он просто устраняет необходимость повторной компиляции кода при каждом запросе.
👍13🥱6❤2🎉2👏1
Forwarded from Библиотека девопса | DevOps, SRE, Sysadmin
💰⬆️ 10 факторов, влияющих на зарплату программиста
Узнайте 10 факторов, как превратиться из рядового программиста в высокооплачиваемого специалиста и научиться аргументированно запрашивать зарплату выше рынка.
Читать статью
#новость
Узнайте 10 факторов, как превратиться из рядового программиста в высокооплачиваемого специалиста и научиться аргументированно запрашивать зарплату выше рынка.
Читать статью
#новость
❤1👍1
По локоть в легаси: пошагово перезапускаем устаревший портал на PHP
Статья описывает проблемы, с которыми столкнулся владелец сайта Fishingsib.ru, старого ресурса о рыбной ловле, написанного на устаревшем PHP и фреймворке CakePHP 2. Сайт страдал от долгих сроков разработки и трудностей с наймом новых специалистов из-за устаревшего стека технологий. Предлагается два пути решения проблемы: полное переписывание сайта с нуля или постепенную модернизацию существующего кода.
Команда выбрала второй вариант и приступила к постепенной модернизации кодовой базы. Они начали с написания тестов для старого приложения на CakePHP 2, а затем постепенно обновляли PHP, внедряли Symfony компоненты и создавали новое приложение на базе Symfony параллельно с существующим. Чтобы обеспечить совместимость и плавный переход, были разработаны общие точки входа и функционал Middleware.
Каждый этап модернизации включал подробный план действий и использование инструментов, таких как Codeception для тестирования и Rector для автоматической замены устаревшего кода. Как результат, сайт был успешно обновлен, внедрены новые функции, и команда разработчиков теперь может работать с актуальными технологиями, такими как Symfony 6.
Статья описывает проблемы, с которыми столкнулся владелец сайта Fishingsib.ru, старого ресурса о рыбной ловле, написанного на устаревшем PHP и фреймворке CakePHP 2. Сайт страдал от долгих сроков разработки и трудностей с наймом новых специалистов из-за устаревшего стека технологий. Предлагается два пути решения проблемы: полное переписывание сайта с нуля или постепенную модернизацию существующего кода.
Команда выбрала второй вариант и приступила к постепенной модернизации кодовой базы. Они начали с написания тестов для старого приложения на CakePHP 2, а затем постепенно обновляли PHP, внедряли Symfony компоненты и создавали новое приложение на базе Symfony параллельно с существующим. Чтобы обеспечить совместимость и плавный переход, были разработаны общие точки входа и функционал Middleware.
Каждый этап модернизации включал подробный план действий и использование инструментов, таких как Codeception для тестирования и Rector для автоматической замены устаревшего кода. Как результат, сайт был успешно обновлен, внедрены новые функции, и команда разработчиков теперь может работать с актуальными технологиями, такими как Symfony 6.
Хабр
По локоть в легаси: пошагово перезапускаем устаревший портал на PHP
PHP — один из самых популярных языков веб-разработки уже около 20 лет, а самому языку скоро стукнет 30. За это время на нем написали огромное количество больших и маленьких проектов. Некоторые сайты,...
👍9❤3🔥3
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
❤2👍1🔥1
9 сред выполнения PHP: тест производительности
Условия испытаний:
Каждый runtime работает в 1 или 2 контейнерах Docker.
Каждый контейнер имеет 1 ЦП и 1 ГБ ОЗУ.
Инструмент нагрузочного тестирования находится в той же сети Docker.
Тестируемое приложение:
Symfony 7 с 1 контроллером и 1 представлением, без базы данных или других внешних сервисов.
Symfony разрабатывался с учетом возможности использования различных рантаймов, таких как Swoole, AMPHP и ReactPHP, хотя последние два были исключены из конкурса.
Инструмент нагрузочного тестирования:
Используется K6 для выполнения тестов нагрузки.
Тесты запускались 3 раза для каждого runtime с 10, 100 и 1000 одновременными подключениями в течение 30 секунд.
Настройки PHP и Symfony:
Используется php.ini-production (поставляется с официальными контейнерами Docker).
Включен Opcache и JIT.
Настроен предварительный загрузчик.
Symfony работает в режиме production.
Кэш Symfony прогрет во время сборки контейнера.
Результаты испытаний:
🟠Apache + mod_php и Apache + PHP-FPM показали практически одинаковые результаты.
🟠Nginx + PHP-FPM очень близок к Apache + mod_php и Apache + PHP-FPM при низкой нагрузке (10 и 100 одновременных подключений).
🟠Nginx + PHP-FPM смог обслужить около вдвое больше запросов, чем стеки, основанные на Apache, при нагрузке 1000 одновременных подключений.
🟠Nginx Unit был примерно в 3 раза быстрее, чем традиционный и наиболее популярный Nginx + PHP-FPM.
🟠Не было большой разницы между Roadrunner и Nginx + Roadrunner.
🟠Roadrunner на основе стеков работал в более чем в 2 раза быстрее, чем Nginx + PHP-FPM.
🟠FrankenPHP (не в режиме worker) был довольно близок к Nginx + PHP-FPM с точки зрения производительности.
🟠В режиме worker FrankenPHP был более чем в 10 раз быстрее, чем Nginx + PHP-FPM.
🟠Swoole практически так же быстр, как и FrankenPHP в режиме worker.
Полную версию можно увидеть здесь. Заходить с VPN
Условия испытаний:
Каждый runtime работает в 1 или 2 контейнерах Docker.
Каждый контейнер имеет 1 ЦП и 1 ГБ ОЗУ.
Инструмент нагрузочного тестирования находится в той же сети Docker.
Тестируемое приложение:
Symfony 7 с 1 контроллером и 1 представлением, без базы данных или других внешних сервисов.
Symfony разрабатывался с учетом возможности использования различных рантаймов, таких как Swoole, AMPHP и ReactPHP, хотя последние два были исключены из конкурса.
Инструмент нагрузочного тестирования:
Используется K6 для выполнения тестов нагрузки.
Тесты запускались 3 раза для каждого runtime с 10, 100 и 1000 одновременными подключениями в течение 30 секунд.
Настройки PHP и Symfony:
Используется php.ini-production (поставляется с официальными контейнерами Docker).
Включен Opcache и JIT.
Настроен предварительный загрузчик.
Symfony работает в режиме production.
Кэш Symfony прогрет во время сборки контейнера.
Результаты испытаний:
🟠Apache + mod_php и Apache + PHP-FPM показали практически одинаковые результаты.
🟠Nginx + PHP-FPM очень близок к Apache + mod_php и Apache + PHP-FPM при низкой нагрузке (10 и 100 одновременных подключений).
🟠Nginx + PHP-FPM смог обслужить около вдвое больше запросов, чем стеки, основанные на Apache, при нагрузке 1000 одновременных подключений.
🟠Nginx Unit был примерно в 3 раза быстрее, чем традиционный и наиболее популярный Nginx + PHP-FPM.
🟠Не было большой разницы между Roadrunner и Nginx + Roadrunner.
🟠Roadrunner на основе стеков работал в более чем в 2 раза быстрее, чем Nginx + PHP-FPM.
🟠FrankenPHP (не в режиме worker) был довольно близок к Nginx + PHP-FPM с точки зрения производительности.
🟠В режиме worker FrankenPHP был более чем в 10 раз быстрее, чем Nginx + PHP-FPM.
🟠Swoole практически так же быстр, как и FrankenPHP в режиме worker.
Полную версию можно увидеть здесь. Заходить с VPN
👍9🔥2🤔2🌚2❤1
Forwarded from PHP jobs — вакансии по PHP, Symfony, Laravel
#дайджест #phpdevjob
Вакансии недели для Москвы 👨🏻🏫
PHP-разработчик в ABCP
Москва. Разработка облачного решения для предпринимателей в сфере торговли.
Подробнее
PHP Developer в Market Team
Москва. Розничная торговля, маркетинг, реклама.
Подробнее
PHP-разработчик в netPrint.ru
Москва. Онлайн-сервис цифровой фотопечати.
Подробнее
PHP разработчик в Брискли
Москва. Создание IT-продуктов для ритейла.
Подробнее
PHP разработчик в Tilda Publishing
Москва. Платформа для создания сайтов.
Подробнее
Понравились вакансии?
❤️ — да
🤔 — нет
Вакансии недели для Москвы 👨🏻🏫
PHP-разработчик в ABCP
Москва. Разработка облачного решения для предпринимателей в сфере торговли.
Подробнее
PHP Developer в Market Team
Москва. Розничная торговля, маркетинг, реклама.
Подробнее
PHP-разработчик в netPrint.ru
Москва. Онлайн-сервис цифровой фотопечати.
Подробнее
PHP разработчик в Брискли
Москва. Создание IT-продуктов для ритейла.
Подробнее
PHP разработчик в Tilda Publishing
Москва. Платформа для создания сайтов.
Подробнее
Понравились вакансии?
❤️ — да
🤔 — нет
hh.ru
Вакансия PHP-разработчик middle+ (удаленно) в Москве, работа в компании ABCP (вакансия в архиве c 4 апреля 2024)
Зарплата: от 270000 ₽ за месяц. Москва. Требуемый опыт: 1–3 года. Полная занятость. Дата публикации: 27.03.2024.
🤔3👍1
#хочу_спросить
Задавайте любые вопросы о программировании и получайте ответы от пользователей. В комментариях под постом укажите #язык, #стек и/или #библиотеку, по которым задаете вопрос.
Задавайте любые вопросы о программировании и получайте ответы от пользователей. В комментариях под постом укажите #язык, #стек и/или #библиотеку, по которым задаете вопрос.
👏3
Легко управляйте временными файлами в Laravel
Пакет spatie/temporary-directory создан для управления временными файлами и каталогами в PHP. Вместо использования стандартных функций для работы с временными файлами, автор предлагает использовать этот пакет, который предоставляет удобный объектно-ориентированный интерфейс для создания и управления временными файлами и каталогами.
Пакет позволяет легко создавать временные директории, загружать файлы в них, обрабатывать файлы и автоматически удалять временные директории при завершении работы с ними. Он также предоставляет другие удобные методы, такие как изменение имени и местоположения директории и очистка директории от всех файлов.
Пакет spatie/temporary-directory создан для управления временными файлами и каталогами в PHP. Вместо использования стандартных функций для работы с временными файлами, автор предлагает использовать этот пакет, который предоставляет удобный объектно-ориентированный интерфейс для создания и управления временными файлами и каталогами.
Пакет позволяет легко создавать временные директории, загружать файлы в них, обрабатывать файлы и автоматически удалять временные директории при завершении работы с ними. Он также предоставляет другие удобные методы, такие как изменение имени и местоположения директории и очистка директории от всех файлов.
Laravel News
Easily Manage Temporary Files in Laravel - Laravel News
Learn how Spatie's temporary-files PHP package makes working with temporary file paths a breeze in Laravel and other PHP projects.
👍2😁2🤔1
Каково назначение транзакций? Расскажите о принципе работы.
Назначение транзакций в базах данных состоит в обеспечении атомарности, целостности, согласованности и изолированности операций, которые изменяют данные.
Принцип работы транзакций обычно основан на следующих концепциях:
Атомарность (Atomicity): Транзакция должна считаться атомарной, то есть либо все ее операции должны быть успешно выполнены, либо ни одна из них не должна быть выполнена. Не должно быть промежуточных состояний, где часть операций выполнена, а часть нет.
Согласованность (Consistency): Транзакция должна обеспечивать соблюдение всех ограничений целостности данных. Если данные нарушают целостность, транзакция должна быть отменена, чтобы не допустить записи некорректных данных.
Изолированность (Isolation): Транзакции должны выполняться так, будто они являются единственными операциями, выполняемыми в базе данных. Это означает, что результаты одной транзакции не должны быть видны другим транзакциям до того момента, пока первая транзакция не будет завершена.
Устойчивость (Durability): После успешного завершения транзакции изменения данных должны быть надежно сохранены и доступны в случае сбоя системы или перезагрузки.
Принцип работы транзакций обычно включает в себя следующие этапы:
1️⃣Начало транзакции (BEGIN): Объявляется начало последовательности операций, которые должны быть выполнены атомарно.
2️⃣Выполнение операций: В этом этапе выполняются операции чтения и записи, которые являются частью транзакции.
3️⃣Фиксация (COMMIT): Если все операции выполнились успешно, транзакция завершается путем фиксации, и все изменения применяются к базе данных.
4️⃣Откат (ROLLBACK): Если в процессе выполнения транзакции произошла ошибка или нарушение условий целостности, транзакция отменяется путем отката, и все изменения, сделанные до этого момента, отменяются.
#вопросы_с_собеседований
Назначение транзакций в базах данных состоит в обеспечении атомарности, целостности, согласованности и изолированности операций, которые изменяют данные.
Принцип работы транзакций обычно основан на следующих концепциях:
Атомарность (Atomicity): Транзакция должна считаться атомарной, то есть либо все ее операции должны быть успешно выполнены, либо ни одна из них не должна быть выполнена. Не должно быть промежуточных состояний, где часть операций выполнена, а часть нет.
Согласованность (Consistency): Транзакция должна обеспечивать соблюдение всех ограничений целостности данных. Если данные нарушают целостность, транзакция должна быть отменена, чтобы не допустить записи некорректных данных.
Изолированность (Isolation): Транзакции должны выполняться так, будто они являются единственными операциями, выполняемыми в базе данных. Это означает, что результаты одной транзакции не должны быть видны другим транзакциям до того момента, пока первая транзакция не будет завершена.
Устойчивость (Durability): После успешного завершения транзакции изменения данных должны быть надежно сохранены и доступны в случае сбоя системы или перезагрузки.
Принцип работы транзакций обычно включает в себя следующие этапы:
1️⃣Начало транзакции (BEGIN): Объявляется начало последовательности операций, которые должны быть выполнены атомарно.
2️⃣Выполнение операций: В этом этапе выполняются операции чтения и записи, которые являются частью транзакции.
3️⃣Фиксация (COMMIT): Если все операции выполнились успешно, транзакция завершается путем фиксации, и все изменения применяются к базе данных.
4️⃣Откат (ROLLBACK): Если в процессе выполнения транзакции произошла ошибка или нарушение условий целостности, транзакция отменяется путем отката, и все изменения, сделанные до этого момента, отменяются.
#вопросы_с_собеседований
👍14😁2❤1
Планирование задач с помощью Symfony Scheduler
На SymfonyLive Paris 2023 был представлен Scheduler в Symfony, предназначенный для управления периодическими задачами, и стал стабильным с выпуском Symfony 6.4. Он заменяет crontab и интегрируется непосредственно в приложение.
Объясняется установка компонента через Composer и его основные функции, включая создание задач, управление расписанием, обработку коллизий и ошибок, а также использование консольных команд в качестве задач Scheduler. Рассматриваются возможности настройки расписания, управления коллизиями, множественными воркерами и отладкой расписаний.
Также обсуждаются инструменты для обработки ошибок и использование консольных команд в качестве задач Scheduler.
На SymfonyLive Paris 2023 был представлен Scheduler в Symfony, предназначенный для управления периодическими задачами, и стал стабильным с выпуском Symfony 6.4. Он заменяет crontab и интегрируется непосредственно в приложение.
Объясняется установка компонента через Composer и его основные функции, включая создание задач, управление расписанием, обработку коллизий и ошибок, а также использование консольных команд в качестве задач Scheduler. Рассматриваются возможности настройки расписания, управления коллизиями, множественными воркерами и отладкой расписаний.
Также обсуждаются инструменты для обработки ошибок и использование консольных команд в качестве задач Scheduler.
JoliCode
Master task scheduling with Symfony Scheduler
Introduction Nowadays, using a crontab for our recurring tasks is quite common, but not very practical because it's completely disconnected from our application. The Scheduler component is an
👍8