Portanto, se você possui uma, ou várias, instalações do WordPress, é bom verificar a existência do TimThumb nos seus templates. Se você tiver acesso ao terminal, uma busca recursiva com o find resolve seu problema.

find . -name timthumb.php

Abra o arquivo com qualquer visualizador de textos, como o meu favorito vim, e pesquise por VERSION. Se você tiver qualquer versão abaixo da 2.0, pode estar vulnerável ao ataque.

Como corrigir ? Bem simples. Faça um backup da versão anterior (para não ter surpresas com o tema quebrando, por exemplo) e substitua-o pela versão atual, disponível neste link direto.

Fique atento, distribuir malware sem tomar nota é péssimo, e pior ainda se reportarem seu blog/site para o Google e outros mecanismos de busca, e ser marcado como site não seguro.

Um abraço.

Após descobrir que uma dessas opções era determinar a potência de transmissão das antenas podendo fazer uma espécie de “overclock”, resolvi botar a mão na massa e atualizar os meus.

As vantagens que percebi até agora:
- Aumentar a potência do sinal;
- Opções muito mais avançadas e melhoradas na parte de QoS e Port Forwarding;
- Controle básico de acesso a websites direto no Router (básico, porém melhor que o nativo);
- Bloqueio de alguns serviços P2P;
- Interface gráfica muito mais bonita, detalhada e rica em recursos;
- Rodar Linux no router ! (priceless).

Claro, existem muitas outras opções, mas nelas nem mexi ainda. Minha rede doméstica é bem básica, basicamente configurada para permitir navegação web e alguns serviços de torrent e SSH, viabilizados pela compra do poderoso NS-K330 que também adquiri recentemente.

O primeiro passo para a instalação do DD-WRT é encontrar, nesta URL, o firmware que irá substituir o padrão, que veio com o seu roteador. Muitos dispositivos contam com pouca RAM, processador fajuto e/ou de diferentes arquiteturas. Por esta razão, teremos de selecionar cuidadosamente a versão usada. Podemos “brickar” o aparelho se fizermos besteira na atualização do software.

Em casa tenho dois roteadores Linksys. Um deles é o WRT54G “modelo 6.0 (número serial começa com CDFD)”, que será usado neste artigo por ser um modelo bastante comercializado no Brasil ainda nos tempos atuais.
Todos os WRT54G’s são compatíveis, com exceção ao “modelo 7.0″, que possui hardware diferente, com menos RAM. Confira neste endereço como descobrir a versão do seu. Não atualize seu firmware sem ter certeza do que está fazendo. Não me responsabilizo por danos aos equipamentos avariados, obviamente.

A grande verdade é que os procedimentos, apesar de um pouco genéricos (muita coisa é igual para todos os roteadores), diferem entre as diferentes marcas, e também diferem dentro da mesma marca, por conta da história de modelos mencionada acima. De novo, os procedimentos aqui descritos são apenas para orientação e exemplo. Eles irão funcionar perfeitamente num roteador IGUAL ao mencionado aqui, mas por favor, para outras marcas/modelos, consulte o site oficial do DD-WRT.

Segue o how-to, finalmente:

• Baixe o arquivo GV5Flash.zip – Encontrado aqui.
• Leia o seguinte texto: Tradução do Babelfish ou original em inglês para melhor orientação.
• Fazer um “hard-reset” do seu roteador. O procedimento está descrito no link acima, mas aqui vai mais claramente:

1. Com o roteador ligado, aperte o botãozinho de reset nas costas do dispositivo, e segure-o por 30 segundos.
2. Ao final do tempo, ainda segurando o botão de reset, desplugue o cabo de força por outros 30 segundos.
3. Ao final do tempo, plugue novamente o cabo de força do roteador. Ao final do processo, você terá segurado o botão de reset, sem soltar, por 90 segundos.

• Configure o IP do seu computador para algo como 192.168.1.7. Deixe o IP de final .1 liberado para o roteador. Deixe a sub-mascara em 255.255.255.0. Em seguida, conecte seu computador no roteador diretamente. De preferência, desligue firewalls ou outros programas que possam interferir na operação.
• Descompacte o arquivo Gv5Flash.zip, baixado no primeiro passo, e jogue seu conteúdo na sua pasta de preferência.
• Dentro dele, teremos outro arquivo zip, chamado vximgtoolgui.zip. Descompacte-o também. Em seguida, inicie o programa vximgtoolgui.exe, certificando-se de que botão superior contém WRT54G.
• No campo descrito “Desired MAC” (MAC desejado), preencha com o MAC Address atual do seu roteador. Ele pode ser encontrado na página de administração online do seu dispositivo. Se você não sabe o que é MAC Address, recomendo que pare de tentar seguir este tutorial.
• Clique no botão com as reticências próximo a “output imagem” (imagem de destino) e salve o arquivo com um nome apropriado, como “BackupFirmware54g.bin”, ou algo de sua preferência, na pasta onde estamos alocando os arquivos.
• Desplugue o roteador da tomada por 30 segundos. Ligue-o em seguida.
• Navegue para 192.168.1.1 (ou o IP determinado por você previamente). Ao invés da tela de manutenção, você deverá agora ver a página normal de administração do roteador. Se por ventura a página de manutenção aparecer, desligue o roteador novamente até que ela desapareça, e a página normal venha a ser exibida.
• Usuário e senha para login: root / admin
• Navegue para Administração -> Firmware Upgrade.
• Selecione o arquivo vxworks_prep_v03.bin, que está dentro do arquivo ZIP que baixamos na primeira etapa. Confirme a atualização.
• Espere por CINCO MINUTOS completos. Não toque no roteador neste meio tempo. Vá tomar um café.
• Após ter aguardado os CINCO MINUTOS, desligue o roteador da tomada por 30 segundos. Religue-o, e navegue para 192.168.1.1 no seu computador.
  Você deverá ser apresentado à tela de manutenção desta vez.
• Selecione o arquivo que geramos algumas etapas acima (BackupFirmware54g.bin) e selecione “Apply”.
• Espere a mensagem de “Update completed”. Após a mensagem aparecer, aguarde novamente por CINCO minutos, sem tocar no roteador.
• Inicie o tftp.exe (presente também no pacote baixado no início):

1. Entre com o IP 192.168.1.1 para o campo de endereço,
2. Deixe a senha em branco,
3. Selecione o firmware dd-wrt.v24-12548_NEWD_micro.bin (ou substitua pelo nome mais recente do arquivo, se houver),
4. Configure o campo “retries” para 99,
5. Refaça o procedimento de desligar o roteador da tomada por 30 segundos,
6. Conte até 2,
7. Aperte “update“.

• Quando você receber uma mensagem de sucesso (SUCCESS em inglês), aguarde por CINCO minutos extras. Após este período, tente acessar o seu roteador pelo navegador, no IP 192.168.1.1.
  Caso você não receba a mensagem de sucesso, repita as etapas de 1 a 7 acima (incluindo a etapa anterior, de abrir o tftp.exe, se necessário).
• Após ser capaz de acessar o site de gerenciamento, desligue o roteador da tomada por 30 segundos, e religue-o.
  Após religá-lo, tente acessar novamente o site. Em caso de sucesso, refaça as etapas do HARD reset:

1. Com o roteador ligado, aperte o botãozinho de reset nas costas do dispositivo, e segure-o por 30 segundos.
2. Ao final do tempo, ainda segurando o botão de reset, desplugue o cabo de força por outros 30 segundos.
3. Ao final do tempo, plugue novamente o cabo de força do roteador. Ao final do processo, você terá segurado o botão de reset, sem soltar, por 90 segundos.

Pronto ! Complicado, mas vale bastante a pena. Você já pode reconfigurar o IP do seu computador para DHCP, se preferir. Navegue pelas opções do DD-WRT, ajuste os campos de usuário e senha do PPPoE e a internet já estará funcionando.

Agora é a hora de brincar nas opções extras ! Recomendo “twinkar” a opção de Potência de TX (o tanto de megawatts usados na antena, isso faz o sinal ficar mais forte). Valor mínimo de 1, máximo de 251mW, deixei o meu com 180 e melhorou bastante a conexão aqui em casa.

É isso, tutorial concluído. Como eu já disse mais pra cima, este artigo em específico é para o WRT54G “modelo 6.0″. Se você possui um roteador diferente deste, leia atentamente as instruções que podem ser encontradas no site oficial do projeto.

Ontem foi dia de análise de alguns servidores da GM, especialmente os SOX, por estarmos próximos à outra auditoria.
Numa empresa grande como a HP, temos centenas de funcionários de suporte ao ambiente – Pessoas lidando com o sistema operacional, outros com banco de dados, alguns especialistas em ferramentas de monitoração, entre outros.

A menos que sua rede toda esteja rodando NIS ou LDAP (o que raramente acontece), você acaba tendo que criar todos estes ID’s nos servidores, e ao longo dos anos isso vira bagunça, se não for administrado corretamente.

Nessa revisão de ontem constatamos que possuíamos muita gente com acesso demais nos servidores. Isto é, com regras de sudo excessivas, pelo fato de serem membros de grupos desnecessários.

Tente administrar mais de 3.000 servidores e ir, de um por um, removendo os grupos de algumas dezenas de usuários. Complicado né ?
Foi com isso em vista que fiz um simples shell script, com a função de fazer algo que, na minha opinião, deveria ser um recurso nativo do Unix.As regras de sudo, num ambiente bem estruturado, são, em sua maioria, desenhadas para grupos – e então usuários adicionados aos grupos, dando-os permissões para a execução dos comandos como root.

Imaginemos então que o usuário torvalds é membro dos grupos admin, monitoracao e impressoras. E que nosso objetivo é retirá-lo do grupo admin, pois este grupo possui permissões para executar sudo su -.

Seria simples, não ?

usermod -g monitoracao -G impressoras torvalds

Porém agora considere o seguinte: O cara vai estar no grupo admin em todos os servidores, porém os grupos secundários dele são desconhecidos.
Além disso, você não pode conectar-se a cada servidor, grepando o /etc/group pelo ID dele, e montando um script para cada ocasião. Total perda de tempo, certo ?
Ah sim, mais um probleminha: Você vai rodar o script em Solaris, HP-UX, AIX e em alguns poucos servidores Linux. Portanto nada de comandos específicos.

Foi pensando nisso que eu criei um script simples, feio, mal-feito mas que funciona Usando apenas as ferramentas encontradas em todos os sabores de Unix, como sed, while-do, grep, cut, entre outros.
Ele automatiza a coisa, fantástico para uma ocasião como a minha, onde tenho em mãos uma ferramenta web que é capaz de rodar o script em todos os servidores ao mesmo tempo.

Enfim, sem mais delongas – Segue o script. Torço pro Google indexar isso logo e outros que passaram pelo mesmo problema que eu tenham uma solução mais prática:

# Entrar num diretório temporário:
mkdir –p /tmp/controlid && cd /tmp/controlid
# Pegar do /etc/group os grupos atuais do cara e jogar num arquivo temp:
grep torvalds /etc/group | cut -d: -f1 > currgroups
# Botar o output do comando anterior, todos na minha linha, separados por virgula:
while read line; do echo -n "$line,"; done < currgroups > currgroups2
# Tirar a porcaria da virgula que sobrou no final da string:
cat currgroups2 |sed 's/\(.*\)./\1/' > currgroups3
# Remover o grupo admin da lista acima. Troque a palavra admin abaixo pelo grupo que deseja remover.
cat currgroups3 | sed 's#,admin##g' > groups
# Atualizar os grupos do cara !
usermod -G `cat groups` torvalds

Sugestões de otimização para o script são sempre bem-vindas.

Um abraço a todos !

- Trabalham numa empresa onde o número de funcionários é relativamente alto (> 5 utilizadores de internet já é um bom número) e todos tem endereços de e-mail, recebem e enviam mensagens o dia todo.
- Tem algumas unidades de Windows espalhados pela rede toda, vulneráveis _sempre_ às praguinhas virtuais.
- São administradores, técnicos ou analistas, preocupados com a segurança e integridade dos dados de sua rede.

Para essas pessoas, aqui vão minhas recomendações:

1) Bloquear todos os webmails conhecidos do mercado. Ou pelo menos certificar-se de que o webmail que o funcionário tenha acesso possua anti-vírus e anti-spam.

Isto pode ser feito facilmente com “ACL’s” no Squid. Se você usar um proxy transparente, tem também a opção de cortar a conexão com os webmails logo no iptables.

Aqui vai uma ACL fácil de se fazer no Squid:

acl webmails url_regex hotmail webmail mail

// Cuidado ! Esta acl irá bloquear todos os endereços que tenham as expressões citadas, como “hotmail”.. isso pode gerar efeitos colaterais desagradáveis. Este é apenas um exemplo para ilustrar o poder das ACL’s.

Se você não puder, ou não quiser bloquear webmails, temos a opção de instalar o viralator no Squid, para ele checar com o antivirus instalado no seu servidor local, todos os arquivos .exe .zip (entre outros) antes de permitir que o usuário os baixe. Mais detalhes sobre o Viralator em uma próxima matéria.

2) Usar o fetchmail para buscar nos webmails dos funcionários as mensagens, e servi-las a eles pelo POP local.

Esta saída tem o lado negativo deles terem de fornecer o login e senha deles, para o fetchmail conseguir baixar as mensagens.

Na verdade cada usuário pode ter seu arquivo .fetchmail, que fica em seu home directory, e dessa forma você não precisaria saber da senha dele, anulando o lado negativo que citei acima. De qualquer forma, você como root vai poder ler o arquivo depois. Mas é só não contar a eles que você tem essa possibilidade, ou não fazer isto de fato. Infringir os direitos à privacidade alheia é feio

Se você quiser fazer um único arquivo para todas as contas POP dos funcionários, crie um arquivo .fetchmailrc que contenha todas as informações de exemplo:

poll pop3.gmail.com with protocol pop3:
user ‘xxxxx’ there with password ‘xxxx’ is ‘xxxx’ here

Explicação : O comando “poll” significa algo como “ir buscar as mensagens”, seguido pelo endereço do servidor e o protocolo.

Logo a seguir temos “user xxxxx”, que representa o usuário no servidor de webmails. “with password xxxx” representa a senha da conta do usuário, e o “xxxx here”, nome LOCAL do usuario, no seu servidor Linux..

Feito isso, execute o comando :

/usr/bin/fetchmail -f /root/.fetchmailrc -a -s -K -F

Ou coloque-o em sua crontab (altamente recomendado), e assim você sempre terá as mensagens baixadas para o seu servidor.

O fetchmail precisa de um MTA (Mail Transport Agent) que pode ser o Sendmail, Postfix, QMAIL ou outros. No meu caso, estou usando o Postfix + MailScanner, que é uma combinação que deu muito certo no meu caso, apesar de ser meio pesada.

Quando seu servidor baixar as mensagens do POP remoto, ele irá colocá-las dentro da mailbox (ou maildir) do usuário, inicializando uma conexão SMTP de dentro para dentro, ou seja, de uma interface ethX para outra, e nessa hora a mensagem seria escaneada pelo seu ClamAV, já pré-configurado.

Um esboço de como a coisa toda funciona:

O usuario foo tem uma conta no Gmail, e o meu servidor local (Debian) irá, pelo fetchmail. buscar as mensagens no servidor pop3 deles.

Quando ele terminar de baixar, antes do conteúdo ir para a mailbox local do foo, meu servidor escanearia tudo em busca de conteúdo malicioso (por intermédio do MailScanner / ClamAV) e só entregaria de fato as mensagens que estiverem limpas.

Leia a segunda parte deste mini-tutorial clicando no link a seguir:
http://www.lsmod.net/2008/09/clamav-mailscanner-e-o-mta/