Archiv autora: fredomgc

Acer Aspire Switch 10 : recenze a zkušenosti

Po dobu tří měsíců se mi do ruky dostal malý notebook Acer Aspire Switch 2 10. Ta dvojka v názvu značí evoluční řadu, desítka naopak úhlopříčku displeje. Jde o konvertibilní zařízení. Dotykový displej lze oddělit od klávesnice, čímž vzniká tablet. Připojením doku s klávesnicí získáte možnost pohodlného psaní a jeden plnohodnotný USB 2.0 konektor (víc jich notebook nemá a postrádá RJ-45). Zařízení jsem používal denně a nyní se s vámi podělím o svoje zkušenosti. Nepůjde o klasickou recenzi, ale spíše o poznatky z praktického užívání.

notebook

Acer Aspire Switch 2 10

Nesmíte jezdit vlakem

Následující odstavec bude nejspíše znít vtipně, ale notebook nesmí do vlaku. Konkrétně jej v RegioJetu rozhodně nepokládejte na stoleček v Relax třídě. Stává se totiž, že zcela náhodně vypadne klávesnice. Lék je naštěstí jednoduchý, stačí obě části notebooku rozpojit a znovu zapojit, ale zkuste si to udělat pětkrát během půl hodiny, když tvoříte nějaký text. To si o inženýrech v Aceru nebudete myslet nic pěkného.

Teď vážněji. Notebooku nejspíše vadí otřesy, které jsou s cestou vlakem neodmyslitelně spojeny. Můj tip je ten, že konkrétně selhává spoj mezi dokem s klávesnicí a monitorem. Na třeba setinu vteřiny dojde k přerušení kontaktu a operační systém žije v domnění, že dok byl odpojen.

Uvedený problém jsem vyřešil tak, že notebook pokládám na nohy, ne na stoleček. Vaše tělo totiž řadu vibrací pohltí a pro notebook je to tedy menší zátěž, než v případě položení na rovnou plochu stolku.

Osobně mi konstrukce notebooku připadá lehce postavená na hlavu. Část s displejem je totiž mnohem těžší než dok s klávesnicí. Chápu, že bylo třeba někam vměstnat baterii a všechen hardware, díky tomu je ovšem spoj s dokem více namáhán (pořád na něj něco tlačí nebo s ním kývá těžší displej). Měl jsem strach používat notebook v nestandardních polohách, zdálo se mi, že se displej až moc tlačí k zemi, každou chvílí povolí spoj s klávesnicí a horní část se oddá gravitaci.

Detail spoje

Detail spoje

Jeden ze dvou pantů

Jeden ze dvou pantů

Nejde nainstalovat alternativní OS

Druhý den používání notebooku jsem došel k názoru, že dlaždice ve Windows 8 jsou sice pěkné, ale vrátím se ke svému oblíbenému Linuxu. Vytvořil jsem si tedy instalační USB flash disk s tím, že formou dual-bootu nainstaluji distribuci Ubuntu. Jenže to bych nejprve musel z flashky nabootovat …

Notebook nemá klasický BIOS. Namísto toho používá UEFI. Nic proti tomu, je to novější technologie, bývá však slušnost povolit přepnutí zařízení do legacy módu a BIOS emulovat. Díky tomu bych mohl nabootovat z flashky a Ubuntu nainstalovat. Firmware notebooku však nic podobného neumožňuje. Našel jsem sice různé pokoutné návody, jak vytvořit instalační médium kompatibilní s UEFI, ovšem jak jsem si přečetl, polovina věcí by mi pak v Linuxu stejně  nefungovala (např. Wi-Fi). Vzhledem k tomu, že jsem měl notebook zapůjčený jen na pár měsíců, tak jsem toto neřešil a používal Windows.

Jednou vypadlo podsvícení

Za dobu používání notebooku se mi jednou stalo, že vypadlo podsvícení. Šlo dle mého o softwarový problém, pomohl totiž restart. Notebook podle úrovně okolního jasu podsvícení sám reguluje, tady to zdá se, přeťal.

Odezva systému

Opravdu příjemně mě překvapila rychlost systému. S notebookem se skutečně příjemně pracuje, i když jsou na něm naistalované poměrně náročné Windows 8. Trik je podle internetu v tom, že jde o speciální edici „Windows 8.1 with Bing“, která patrně hospodárně pracuje se systémovými prostředky. Ale nemusíte se ničeho bát, jde o plnohodnotné Windows, každý program, který jsem nainstaloval, fungoval.

Dále jsem se hodně bál nedostatku RAM. Počítač ale těží z toho, že nemá žádný pevný disk a stránkovat tak může na rychlou paměť.

Notebook v rozpojeném stavu

Notebook v rozpojeném stavu

Dotykové rozhraní

Někdy mám pocit, že Windows 8 trpí schizofrenií. Dvě metody používání zařízení (tablet nebo notebook) totiž programátoři v Microsoftu vyřešili po svém. Ty důležité aplikace jsou v počítači dvakrát. Jednou je program optimalizovaný pro tablet, jindy pro ovládání myší. Což o to, to by mě asi ani nevadilo, když jste ale v módu počítač, chcete kouknout na fotku a otevře se vám tabletový prohlížeč s dotykovým ovládáním, tak si klepete na čelo.

Zajímavé problémy vznikají i obráceně. S myší a klávesnicí jsem nainstaloval VLC media player a na tabletu chtěl kouknout na film. Jenže tento program není na takové ovládání uzpůsobený, takže se snažíte prstem trefit na titěrné ovládací prvky. Když to srovnám s MX playerem z Androidu, tak jde o rozdíl sto a jedna.

Jako uživateli vám proto nezbývá, než si některé programy nainstalovat dvakrát, jednou pro tablet, jednou pro klasický počítač.

Zhodnocení

Koupil bych si tento tablet? Na rovinu ne. Nemám pocit, že bych byl s nějakou vlastností vyloženě nespokojený, ale zařízení jako celek není pro mě. Podle mého jde spíše o tablet s klávesnicí, než o notebook. Nelze nainstalovat jiný operační systém, což patrně většině uživatelů vadit nebude. Výdrž notebooku je výborná, na běžnou práci vydrží kolem osmi hodin. Výdrž kloubu spojujícího displej s dokem je diskutabilní. Sice za dobu mého používání nedošlo k žádnému nalomení nebo ošoupání, nemám však důvěru v to, že by tomu tak bylo i po roce používání. Záruka to naštěstí jistí.

Pokud o zařízení uvažujete, zvažte, zda se výše uvedené výtky nedotknou i vás. Pokud hledáte domů počítač a tablet v jednom a nemáte v úmyslu pracovat v terénu, lze nad koupí přemítat. V opačném případě se raději poohlédněte po klasickém netbooku bez dotykového displeje.

Jidáš Iškariotský zradil Krista i maturanty 2015: Česko má nové meme

Dnes 5. května 2015 se psal maturitní didaktický test z českého jazyka. Pokud na Facebooku nemáte v přátelích studenta ze střední školy, pravděpodobně vás minula vlna hněvu, která se momentálně valí na hlavu Jidáše. Ten patřil do nejbližšího kruhu Ježíše Krista, svého mistra ovšem zradil a usnadnil jeho zatčení výměnou za 30 stříbrných. Na znalost těchto faktů narážela i jedna z otázek zmíněného didaktického testu. Z výchozího krátkého textu bylo nutno postavu Jidáše odvodit z jeho příjmení (Iškariotský), motivu zrady a sumy třiceti stříbrných. Navíc tento rok byla aplikována maturitní novinka — otevřené otázky. Na ně nelze odpovědět výběrem jedné ze čtyř možností, ale na studenta se šklebí prázdné pole, které musí vyplnit. A jak již správně tušíte i otázka týkající se Jidáše byla otevřená. A odpověď znal opravdu málokdo, ostatně, který středoškolák dnes dobrovolně čte Bibli.

Nyní, když jsme si osvětlili situaci, pojďme se společně podívat na ty nejlepší vtipy, které se na účet Jidáše snesly.

jidas-zradil

jidas-body

jidas-zari

 

jidas-wiki

Autentický screenshot české Wikipedie

jidas-walking-dead

 

Na YouTube se můžete podívat na rozhovor se zaměstnancem Cermatu k tomuto tématu.

Po dopsání didaktického testu se píše maturitní slohovka. Na výběr je vždy několik témat. Ještě než se je studenti dozvěděli, téměř jednohlasně se shodli, že je určitě čeká charakteristika Jidáše.

Chybí mi zde nějaké meme s tématikou Jidáše a maturity 2015? Podělte se prosím v komentářích.

Příchozí dotazy:

  • jidas maturita
  • maturita jidas

Návod: jak vyčistit hacknutý WordPress

Stala se mi taková hodně nemilá věc. Můj VPS server byl hacknut, do složky s weby se vtipálkům podařilo nahrát nejrůznější PHP soubory, které začaly rozesílat hromadu SPAMu. V tomto článku vám krok po kroku poradím, jak se z této nemilé situace dostat. Začnu však poněkud obšírněji a popíši, jak se u mě celý problém projevil. Pokud hledáte samotný návod na vyčištění WordPressu, možná budete chtít úvodní povídání přeskočit a podívat se rovnou na něj.

Poznámka: termín hacknutí zde používám ve stejném významu jako redaktoři jedné nejmenované oblíbené české televize.

Přestalo fungovat CSS

Vše začalo poněkud nenápadně, a to přímo na tomto webu. Z ničeho nic se místo úvodní stránky načítala šedá plocha. V HTML přitom vše vypadalo v pořádku. Okamžitě jsem z tohoto problému obvinil plugin W3 Total Cache. Zkoušel jsem pročistit cache, vypnout celý plugin i kompletní odinstalaci. Nic z toho nepomohlo. Řekl jsem si, že se nějak rozhodila šablona. Zkusil jsem aktivovat jinou. To naštěstí pomohlo a já problém dál neřešil.

ZaBANování VPS

Jednu neděli jsem úplně čirou náhodou zjistil, že mi už 22 hodin neběží VPS s většinou mých webů a projektů. Neděle už najednou tak hezká nebyla. Moje VPS se nachází v zahraničí, započala tedy komunikace s tamější podporou, aby mé VPS bylo opětovně nahozeno. Z logu jsem se dozvěděl, že důvod pro suspendování serveru bylo tisíc SMTP spojení a rozesílání SPAMU. Než můj VPS server zase běžel, trvalo to celý den. Opětovně po jeho spuštění jej totiž automatický skript poskytovatele ihned zablokoval, opět pro rozesílání SPAMu. Bylo třeba přidat výjimku, aby VPS šlo vůbec spustit.

Open relay

Nejprve jsem myslel, že jsem na serveru nezakázal open relay (to znamená, že by se kdokoliv mohl na server připojit a přes STMP posílat kamkoliv email). Jak však ukázal jeden z mnoha online testů, tímto to nebylo. Rozhodl jsem se tedy alespoň omezit počet souběžných SMTP připojení. Pro Postfix je nutno v souboru /etc/postfix/master.cf najít tento řádek:


smtp inet n – – – – smtpd

Poslední pomlčku lze nahradit za konkrétní číslo. To udává maximální počet souběžných procesů, které budou obsluhovat SMTP:


smtp inet n – – – 3 smtpd

Když už jsem byl v tom nastavování, rozhodl jsem se ztížit robotům pokusy o přihlášení. Do souboru /etc/postfix/main.cf (klidně např. na konec) stačí přidat následující 3 řádky:


smtpd_error_sleep_time = 1s

smtpd_soft_error_limit = 10

smtpd_hard_error_limit = 20

I když jsem však provedl všechna výše zmíněná opatření, ničemu to nepomohlo — v mailové frontě na serveru se stále objevoval nový SPAM. Začaly mi docházet nápady. Neodesílá emaily náhodou nějaký skript na serveru? Letmo jsem se podíval do adresářové struktury jednoho webu běžícího na WordPressu a skutečně — byly tu soubory, co zde na první pohled nemají co dělat.

Jak vyčistit hacknutý WordPress

Než začnete cokoliv dělat, udělejte si zálohu všech souborů (ano, těch hacknutých) i databáze. Možná to zní zvláštně, ale vyplatí se to. Pravděpodobně totiž budete ve stresu a může se stát, že uděláte něco, čeho budete později litovat.

V mém případě složka s WordPressem obsahovala řadu podivných souborů. Namátkou uvedu některá jména:

    • wpconfig-new.php
    • options.php
    • defines.phps
    • gallery.php
    • view.php
    • exec__root.php — obzvláště tento soubor zní dost podivně

Takže, co je vlastně cílem? Smazat všechny soubory, co zde nemají co dělat. Důležité je, že se nesmí zapomenout ani na jeden. Stačí jeden infikovaný PHP soubor na serveru zanechat a útočník stále bude schopný se serverem provádět řadu věcí. K nalezení zmíněných souborů jsem použil plugin Sucuri Security, který mohu jen doporučit. Tato pomůcka proskenuje adresářovou strukturu a zobrazí změněné i nově přidané soubory. My přitom prahneme po těch nově přidaných. Vžijme se do role útočníka. Přece chceme, aby naše infekce přežila případnou přeinstalaci/aktualizaci WordPressu. Proto nemůžeme modifikovat stávající soubory, ale musíme škodlivý kód uchovávat v těch nově přidaných. Sucuri Security všechny soubory zobrazí v přehledém seznamu. Obzvláště podivné je PHP ve složkách wp-admin, wp-includes, přímo narušení bezpečnosti je poté PHP v wp-content/uploads.

sucuri-security

Výpis změněných souborů

Než nalezené soubory smažete, raději zkontrolujte jejich obsah, zda-li náhodou nemáte v úmyslu odstranit něco důležitého. Pokud soubor obsahuje jeden řádek s hashem (můj případ), okamžitě jej smažte, to zde nemá co dělat. Druhý trik co útočníci u mě použili, byl rádoby prázdný soubor. Respektive na jednom řádku bylo milión mezer a až poté škodlivý kód. Na první pohled to tedy vypadalo, že je soubor prázdný.

Jakmile smažete vše, co na vašem serveru nemá být, vůbec není vyhráno. Útočníci totiž přístup nějakým způsobem získali a je nutno tuto díru záplatovat. Určitě musíte aktualizovat WordPress, pluginy i šablony na nejnovější verzi. Já bohužel používal starou verzi WordPressu, a dopadlo to hackem…

Dále vám doporučím zavítat do nastavení pluginu Sucuri Security a v záložce Hardening povolit vše, co budete moci. Efektivně tím zakážete spouštění PHP souborů zvnějšku serveru. I kdyby se útočníkovi nějak podařilo nahrát na server zákeřný kód, relativně se nic neděje, protože jej nemá jak spustit.

hardening

Záložka „Hardening“

Analýza hacku

Jako programátorovi mi to samozřejmě nedalo a lehce jsem zákeřný kód prostudoval. Uvažoval jsem, že bych zde kódy zveřejnil, nerad bych ovšem, aby si Google myslel, že tento web obsahuje malware.

Infekce začíná spuštěním exec__root.php, což ostatně evokuje i samotný název souboru. Tento skript proskenuje celou adresářovou strukturu a hledá složky, které typicky budou přístupné z webu (např. css, js apod.). Dále bezpečně umí rozpoznat CMS WordPress i Joomla a vyhledává v nich opět přístupné složky. Do každého umístění je poté nakopírován jeden ze souborů s nenápadným názvem (např. wpconfig-new.php, options.php, defines.php apod.). Na konci skriptu je vtipná podmínka, která kontroluje, zda-li server dokáže přes cURL komunikovat s okolním světem. Za tímto účelem se netestuje žádný ze serverů útočníka, ale toto video na YouTube. To je rusky, takže si podle toho možná můžeme udělat obrázek o původu oněch vtipálků. V krátkém pětivteřinovém videu pán říká: „Vy jste kdo? Já vás nezval. Jděte pryč!“. Jak trefné :-D.

Každý z nakopírovaných souborů v mém případě obsahoval kód prohnaný nějakým PHP obfuscatorem, nestudoval jsem jej tedy (ani jsem se nesnažil jej deobfuscatorovat (to je slovo :-) ). Při načtení z webu se zobrazí jednoduchý formulář, který chce jediné — zadat heslo. Po správném zadání se hádám útočníkům zobrazí nějaká administrace , která jim umožní provádět, co se jim zrovna zamane.

Poučení pro příště

Závěrem uvedu stručný výčet několika pravidel, u kterých mi vychází, že je webmaster musí mít na paměti, pokud používá WordPress a chce v noci v klidu spát:

  • pokud používám WordPress, musím jej pravidelně aktualizovat včetně pluginů a šablon
  • uživatelé s vyššími právy musí používat delší/složitější heslo
  • je více než vhodné používat nějaký auditovací nástroj (třeba už zmíněný plugin Sucuri Security)
  • logy pak ovšem někdo musí prohlížet !