11/29/2009

Clash of the Titans

舊片重拍的希臘神話題材,Good,Sam Worthington 越來越紅了。

QuickTime:
http://www.apple.com/trailers/wb/clashofthetitans/
YouTube:
http://www.youtube.com/watch?v=pcBNHZEiX0g

11/12/2009

mod_security-2.5.10 套件更新之問題排解

上週日(11/08)一整天 DR 的網站(Fedora 10)都無法順利連結,而前因是 DR 在前一日、也就是週六做例行的套件更新以及自動關機程序,隔天出門前將伺服器開機後走人,後來發現網站連不上,等到晚上回家後才發現 httpd 因為 mod_secuity 模組的關係無法啟動。查看錯誤訊息是無法載入設定檔案,於是去檢查設定檔所在的目錄,發覺路徑不對,就調整了一下,但檔案也有缺,所以就想上網查清楚到底怎麼回事,才發現是套件出了包:

https://bugzilla.redhat.com/show_bug.cgi?id=533124


只要把套件從 2.5.10-1 更換成 2.5.10-2 即可,不過在那當下 yum 更新還抓不到最新的套件,DR 只好從這裡抓下來解決:

http://koji.fedoraproject.org/koji/buildinfo?buildID=140180

更新之後,httpd 可以啟動了,然而新的問題是 DR 網站裡一個叫做「document.gif」的圖檔被擋住了,查看 error.log 發現又是 mod_secuity 所為:

[Thu Nov 12 00:26:05 2009] [error] [client 61.64.173.115] ModSecurity: Warning. Operator GE matched 5 at TX:anomaly_score. [file "/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_60_correlation.conf"] [line "41"] [msg "Transactional Anomaly Score (score 20): Detects very basic XSS probings"] [hostname "darkranger.no-ip.org"] [uri "/image/document.gif"] [unique_id "SvrlnX8AAAEAAC0TRNwAAAAA"]

查了一下什麼是 XSS,原來就是傳說中的「跨網站指令碼攻擊」,但是這個圖檔非常單純,憑什麼擋下來?所以 DR 做了點實驗,把 document.gif 重新命名為 document2.gif,竟然就過了,這規則也太腦殘了吧?然而 DR 的網頁都是手工的 HTML,為了一條有問題的規則動輒挖出所有網頁改內容,儘管用批次處理做得到卻不太應該,應該還是要從規則著手才是。

於是把 modsecurity_crs_60_correlation.conf 裡頭那行規則註解掉,再將 httpd reload,log 雖然沒訊息了,但圖檔還是被擋,這時 DR 陷入了極大的困惑和不解,並且驚覺自己對 mod_secuity 的設計非常非常的不熟!接下來 DR 查了點文件,認為 modsecurity_crs_60_correlation.conf 大概只是處理 log 的輸出,真正的抵擋規則在別的檔案,直接按字面上檢查 modsecurity_crs_41_xss_attacks.conf 卻看不出個所以然。只好使出殺手鐧,設定檔一個個給 httpd 載進去試,看是載了哪個檔案後被擋下來。然而最後一路到 modsecurity_crs_49_enforcement.conf 才擋下來,而裡頭的規則只是按分數執行抵擋結果而已,並沒有判定 XSS 攻擊的部份。顯然各個設定檔有交互參照性,試到這裡就夠了,還是有請專業吧。

最後 DR 把問題丟到 Core Rule Set 的 mailing list,得到以下的回覆:其實要檢查的是 modsec_audit.log,裡頭可以找到究竟是哪裡的規則把它擋下來,於是 DR 參照 log,鎖定 modsecurity_crs_41_phpids_filters.conf 這個檔案,將裡頭的一條規則註解掉解決,在還沒搞清楚如何撰寫規則前就先這樣處理了。

補充資料,以 mod_security 的中文文件來說,以下這篇是 DR 目前為止找到最「好看」的:

http://support.oss.org.tw/wiki/index.php/ModSecurity

11/04/2009

Panda USB Vaccine 與 Removable Malware Removal v1.6


最近兩週 DR 又稍微研究了一下隨身碟防毒的相關工具與方案,首先是 gaptx 的 usbprotector(勿跟 Wow! USB Protector 搞混),不過這工具不太 OK……然後是知名防毒軟體廠商 Panda Security 的 USB Vaccine(疫苗),這個工具就比較有趣,首先它兼具系統和隨身碟的免疫方法,系統的部份由於 DR 先前就整理過可行的免疫方法(針對 Autorun),詳情可參考此文章,因此該工具對於系統的免疫功能就暫不研究。

DR 有興趣的是:它怎麼做到對於隨身碟本身的免疫?於是就安裝了 Panda USB Vaccine,然後插入一支隨身碟給它用用看。只見它在隨身碟裡放入一個隱藏的 autorun.inf - 這乍看之下跟網路上流傳的那些腦殘方法相差無幾,然而 DR 馬上發現這個檔案無法被開啟、被刪除、或者重新命名,無論是用 explorer、命令行介面還是其它工具皆無法,意指這個 autorun.inf 完全無法被 Windows 讀取,這就非常有趣了。

接下來 DR 免不其然的要確認:這個狀況是否完全針對 Windows,還是其它作業系統也是如此?於是把隨身碟拿到 Linux 底下開啟,有趣的是這個 autorun.inf 在 Linux 底下要殺要剮非常容易,還可以直接打開來看裡頭有什麼,但也發現檔案本身並無任何異狀。究竟為何在不同作業系統有不同的存取狀況?又是如何辦到的?

這時 DR 回想起來 Panda USB Vaccine 在安裝時有詢問是否選擇 NTFS 支援(beta),而當時是沒有勾選的,於是 DR 便把隨身碟從 FAT 格式化為 NTFS,再執行看看,果然它就沒有辦法進行免疫動作了。這顯示 Panda USB Vaccine 的免疫功能是從檔案系統層著手的,DR 在網路上的進一步搜尋也更說明了這點,雖然這並未解釋為何在不同作業系統(更精確的講是不同的檔案系統驅動)有不同狀況,並且既然 Linux 不受影響,那麼一個延伸問題是:這個方案算是合理使用,或者其實是鑽 Windows 的設計缺失?

若先不討論這些技術議題,就防治評價而言,建立完全無法讀取的 autorun.inf 算是蠻有效的防禦方案,因為既然無法開啟,那麼裡頭就算塞了 Autorun 指令也無法被 Windows 執行,並且除非更動檔案系統,否則病毒也沒有能力去覆蓋它。


那、那跟 DR 自製的 Removable Malware Removal 有什麼關係?由於 r-m-removal 預設是逢隱藏 autorun.inf 必刪,而 DR 評估了一下,既然有這樣「防毒式」的 autorun.inf 存在, 那麼程式有必要加些判定讓使用者能夠分辨是否具有威脅(何況這種 autorun.inf 還砍不掉)。於是 DR 在 1.6 版加了一段簡單的開檔程式,成功開啟就刪除,而無法開啟就屬於防毒式的 autorun.inf,再回報給使用者。

不過 r-m-removal v1.6 並不只是改了上述部份而已,還有以下改進:

1. 移除逢隱藏 *.inf 檔案必刪的規則,現在只處理隱藏 autorun.inf,這樣比較符合現實狀況。

2. 檔案掃描現在會將目錄直接排除,避免一些擁有「副檔名」的目錄被當成檔案來處理。

3. 發現一些無用的程式碼順勢清理掉。

基本上 v1.6 並不屬於安全性更新,而是功能更新,v1.5 並無可能導致病毒被放行的規則紕漏。任何建議歡迎提供給 DR。

10/14/2009

DR「忙碌中」

DR 總是想再寫點關於 Linux、應用軟體、甚至是遊戲相關的文章,無奈最近實在是忙,而這個「忙點」最極致應該會一路延續到聖誕節……不過至少在這週主日過後,DR 可能是會有空寫點東西的。

9/29/2009

Inception

好段時間沒貼電影新聞了,這是 Christopher Nolan 編導、Leonardo DiCaprio 主演的科幻電影。

QuickTime:
http://www.apple.com/trailers/wb/inception/
YouTube:
http://www.youtube.com/watch?v=RTJDcUcrMDU

9/07/2009

三號機已從 Fedora 9 升級為 Fedora 10

三號機(也就是 DR 的個人網站伺服器)原本打算從 Fedora 9 升級到 Fedora 11,然而上網查了一下發現兩個版本之間的不相容性極高(主要是因為 rpm 套件管理工具的改版),於是為求慎重,就先升級到 Fedora 10,日後的升級則再看著辦。其實三號機所提供的服務非常簡單、單純,所以要直接重灌新系統也並不困難,只是若能使用 yum 直接升級當然也較方便,相關的升級資訊可參考:

http://fedoraproject.org/wiki/YumUpgradeFaq

8/30/2009

DR 週一起外出三天

任何要事請用非線上方式聯絡,謝謝。

8/27/2009

Linux 無法順利連 ADSL 之另解

網路討論區上,總還是三不五時會有些使用者反應:使用 Linux 連 ADSL 時,出現含有「/sbin/adsl-start」、「Terminated」、「/dev/null」這類字串所組成的錯誤訊息,並且無法連線。而遇到這類問題,會想到的原因通常是 ADSL 連線設定有誤、或者網路卡(驅動)有問題。但 DR 今天卻意外挖掘出一個新的原因(以及解法)……

話說 DR 二號機上的 Linux(Fedora),其實也有著相同的問題,連 ADSL 時會出現前文所述的錯誤訊息,但 DR 之所以不太在乎的原因是因為雖然它連第一次會出錯,但連第二次卻又可以連上,並且同樣在二號機上的 Windows 連 ADSL 就完全沒問題,因此既然它終究還是可以連線,DR 也就沒太放在心上。不過就在今天,DR 因為整理機器的關係,將二、三號機的線路對調,竟然發現狀況也跟著對調了,大驚之餘把網路線和 switch 接孔交叉測試,才發現原來改插另一個 switch 接孔就解決了。

所以若有人有類似的狀況,不妨將線材或串接設備測試一下,也許可以解決問題。

8/26/2009

Tron Legacy

Tron Legacy 是 1982 年《電子世界爭霸戰》(Tron)的正宗續作,舊作沒看過沒關係,只要知道有這部頗為酷炫的新片就好了。

8/21/2009

Avatar


原本想貼別的電影,卻剛好瞄到 " Avatar " 的預告片……

" Avatar " 是《鐵達尼號》(Titanic)導演 James Cameron 睽違數年後的最新執導作品,也許對很多人而言,James Cameron 的最大成就並不在於締造票房與獎項紀錄的《鐵達尼號》,而是《魔鬼終結者》(The Terminator)1、2 集以及可謂青出於藍的《異形2》(Aliens)。這次 " Avatar " 重回 James Cameron 最拿手的科幻動作領域,讓人不期待也難。

QuickTime:
http://www.apple.com/trailers/fox/avatar/
YouTube:
http://www.youtube.com/watch?v=fXF2nH4Z9sc

8/15/2009

The Lovely Bones

最近暑期有許多令人矚目的電影,但 DR 總是會注意那些半年、一年、甚至兩三年後才發行的新作。The Lovely Bones 是部改編自同名小說的劇情電影,內容會令人聯想起《羊男的迷宮》(Pan's Labyrinth)這般、由現實與超現實交織而成的世界。

QuickTime:
http://www.apple.com/trailers/paramount/thelovelybones/
YouTube:
http://www.youtube.com/watch?v=kWyNYxGZonI

8/12/2009

New MechWarrior

MechWarrior(機甲爭霸戰)是款基於 BattleTech 世界的機器人戰鬥模擬遊戲,該系列一路出到四代,以及林林總總的資料片。最近又有新作的消息釋出了,不是 MechWarrior 5,而是全新開發、重製的 " MechWarrior ",若影片所展現的是確切遊戲內容的話,那麼 DR 可以說,這款新作應該是該系列有史以來擬真度最高的一款。



另外,官方宣佈將免費釋出 MechWarrior 4: Mercenaries 及兩款機甲擴充包,詳情請參閱:

http://www.mektek.net/forums/index.php?showtopic=138700

8/02/2009

DR 外出一週

任何要事請等回來再說,謝謝。

7/06/2009

DR 即日起外出三天

若有任何要事請用非網路方式聯繫,謝謝。

6/08/2009

"This city is afraid of me. I have seen its true face."

http://darkranger.no-ip.org/

雖然還沒看過 Watchmen,但 DR 卻已經很喜歡裡頭的對白。

5/26/2009

最近 DR 忙什麼?

好奇最近沒什麼 How-To 新增嗎?因為 DR 有點忙……忙什麼呢?主要是忙這個:

http://www.pglc.org

呃,比 DR 自己的網站還要像樣個好幾倍,工作跟休閒果然還是有差……

另外以下是一些預定的 Linux How-To,預計在 DR 有空時陸陸續續生出來:

PreyForemostPackageKitVirtualBoxSavage 2 - A Tortured SoulSteam

5/07/2009

電影新聞:District 9


對,電影新聞好段時間沒貼了……最近既忙又懶……


預告片一開始乍看之下讓 DR 還以為是某某紀錄片,而內容大概是關於某某鳥不生蛋地方的種族衝突,結果發現不是……是有外星人啊……


QuickTime:
http://www.apple.com/trailers/sony_pictures/district9/
YouTube:

http://www.youtube.com/watch?v=ZSgLOvH_MMk

4/21/2009

GIMP 2 與 Fallout 3

疑?GIMP 2 是款繪圖軟體,而 Fallout 3 則是款一點也不暴力(?)的角色扮演遊戲,這兩者怎麼會有關係呢?

因為…… DR 發現,這兩款軟體的啟動圖示竟然有一股莫名奇妙的契合感:


特貼此文……



對,不用懷疑,DR 入手 Fallout 3 已經好段時間了……

4/17/2009

Fedora 10 初用心得


一定有人會覺得:都已經出到 Fedora 11 beta 了,怎麼現在才貼個 Fedora 10 初用心得?呃,簡而言之就是 DR 沒有那麼閒,可以每推出一個新版本就馬上裝起來玩,最近才剛把二號機從 Fedora 8 換成 Fedora 10。而以下就是經過重點篩選的心得:

1. NetworkManager
NetworkManager 是個注重桌面體驗的連線設定工具,原先 DR 以為它不過就是用來協助無線網路設置的工具,然而實際上它包辦了所有網路介面的設定和管理。由於 NetworkManager 在 Fedora 10 上預設是啟用的,於是 DR 便嘗試用 NetworkManager 進行 ADSL 和區域網路的連線。但卻發現它沒有辦法同時啟用 ADSL 和為網路卡指定 Private IP,所造成的結果是若連結網際網路,則區域網路不能通,反之亦然。意指 NetworkManager 一次只容許一個網路介面進行連線,這對單純使用 DHCP 或無線網路的使用者來說固然簡便,但對網路設置有進一步需要的人卻是大麻煩。因此 DR 決定繼續用傳統的方式設定網路。

結論:關閉

2. SELinux
SELinux 這個安全強化模組絕對不是什麼新玩意,雖然關閉 SELinux 是 DR 過去的習慣,但因為這次 Fedora 10 在 firstboot 的程序時,並沒有提供可對 SELinux 進行啟用或關閉的選項,另外再加上 DR 最近在架設伺服器時,也是有啟用 SELinux 的,於是就決定試試看以桌面使用者的角度來體驗 SELinux……最終的結果只能說:對於桌面使用者而言,DR 仍舊認為啟用 SELinux 是缺乏意義甚至會徒增困擾的。一來它對於桌面使用沒有實質的安全影響,二來在沒有實質安全影響的情況下,使用者還得面對它一狗票的輸出訊息,或者沒有必要的抵擋。

結論:還是把它關了吧

3. LXDE
LXDE 是嶄新的輕省桌面環境專案,就像 Xfce 一樣,但它比 Xfce 更吸引 DR 的注意。於是 DR 除了預設的 GNOME 桌面環境外,還裝了 Fedora 10 所提供的 LXDE,確實外觀亮眼、效能也不錯。然而相對應的問題是 bug 和功能性,LXDE 沒有虛擬桌面著實讓 DR 很不習慣,因為 DR 相當習於用虛擬桌面去分配工作視窗。另外,檔案瀏覽是很基本且相當要求穩定性的功能,LXDE 所附的 PCMan File Manager 還是有點 bug,在基本的工作上出現 bug 總是會令人困擾。由於 DR 的硬體配備還算 OK,所以其實不太需要去要求所謂的輕省,因此還是換回了 GNOME 桌面。總而言之,LXDE 是個尚在開發階段的專案,無論是 PCManFM 還是整個 LXDE,DR 都對其方向非常推崇且支持。

結論:移除

4. KompoZer
KompoZer 不是 Fedora 裡的玩意,它是 DR 用來編寫網頁的軟體,之所以會提到它是因為 DR 發現它在 Fedora 10 底下不能跑了。一開始以為不過是 32bit 軟體在 64bit 系統上運作的問題,但幾個 32bit 的函式庫裝上去之後,雖然錯誤訊息沒了,軟體卻還是沒反應。索性就用 Wine 去跑 Windows 版的 KompoZer,但用著用著覺得實在是太 buggy 了,最後抓 KompoZer 的原始碼自己編譯才解決問題。

結論:自行編譯

3/17/2009

春風畫雨.化雨世代 油畫聯展

http://www.wretch.cc/blog/a0916773385/25929792

這是 DR 朋友的畫展,而 DR 忙著忙著就忘記了有這回事……

3/05/2009

新增 How-To:AntiVir Workstation for Linux

AntiVir Workstation 防毒軟體:
http://darkranger.no-ip.org/document/linux/antivir_linux.htm

這應該是 DR 最後一篇以 Fedora 8 為底的 How-To,接下來要找個時間安裝 Fedora 10……

2/26/2009

電影新聞:Inglourious Basterds

QuickTime:
http://www.apple.com/trailers/weinstein/inglouriousbasterds/
YouTube:
http://www.youtube.com/watch?v=pel3GE97evA

Quentin Tarantino 的新作,Brad Pitt 主演,很好奇一部二戰背景的電影放入了 Quentin Tarantino 的風格會變成什麼樣子……

2/12/2009

"I don't see anything I don't like about you"

http://darkranger.no-ip.org/

「又」好久沒更新首頁圖片了,Eternal Sunshine of the Spotless Mind 是部被 DR 斷斷續續看完的電影,簡而言之就是值得推薦。

2/09/2009

Removable Malware Removal v1.3

http://darkranger.no-ip.org/files/dr.htm

好久沒寫程式了……

r-m-removal v1.3 的更新主要是針對最近 DR 發現的新品種惡意程式,這類惡意程式完全不經過 autorun(因此也就沒有任何 autorun 感染的特徵),而是將自己的執行檔偽裝成正常目錄來吸引使用者點擊。其感染模式如下:先將受感染磁碟(除了系統碟外)中的所有目錄設為隱藏,再丟入和原先目錄相同名稱的惡意檔案,惡意執行檔的外觀圖示和 Windows 目錄圖示完全相同,並且該惡意檔案在被點擊後還會「幫」使用者開啟原先的目錄以製造正常假象r-m-removal 仍舊不負責整個系統的清除,但 v1.3 版會檢查磁碟中的隱藏目錄和可執行檔,並比較兩者名稱,若名稱相同則刪除該執行檔,這是針對目前已知的偽裝方式所做的處理。


1/25/2009

DR 過年去……

DR 於 25 日至南部預計待三、四天左右,然後於 30 日再參加為期三天的營會,也就是說有約莫長達一週的「網路無接觸狀態」,若有要事請另外想辦法聯絡,謝謝。

1/17/2009

Norton Removal Tool

Norton Removal Tool 是資安大廠 Symantec 所釋出的一款移除工具,用來移除惡意軟體嗎?不,是用來幹掉他們自家的軟體……

至於為什麼 DR 會提到這款工具呢?故事是這樣的,話說 DR 最近接到一台灌了 Windows Vista 的筆電,症狀是「不能上網」,於是 DR 檢查了一下,首先網路硬體應該沒有問題,可以順利撥上線,但網路瀏覽器、即時通訊都處於無法順利連線的狀況 - 這就蠻符合惡意軟體的特徵了。這台筆電可以看得出來原本灌了 Symantec 的某款防毒軟體,但又被移除掉,只留下了些許可見的「程式殘渣」(找不到其它形容詞……),於是 DR 灌了小紅傘(Avira AntiVir),並且搭配其它惡意軟體掃描工具進行清理。然而整個掃描下來只有一個結論:這台筆電乾淨到爆,一丁點惡意軟體的痕跡都沒有。雖然找不到兇手,但症狀總還是要處理吧,於是 DR 就開始用 Windows 的 netsh 工具進行網路設定的復原。結果卻無效,還是不能上網 - 呃,怎能有這事呢?!

DR 花很長的時間左思右想想不出個所以然:首先這台筆電就 DR 的認知來看真的是非常乾淨,並且以 Vista 預設的權限設定而言,要中毒也非易事,再者,DR 還真的沒碰過用 netsh 無法解決的惡意軟體,只好在網路上大量搜尋類似的討論,但都沒有吻合的環境與狀況。找著找著,DR 逐漸迷濛的眼睛突然在討論串中抓到一段字句,提到 Norton 防毒要先砍乾淨,對吼,這不是一開始就看到的嗎?於是 DR 飛快的把本次的標題:Norton Removal Tool 找來用,一切解決,可以上網了……

此時此刻,DR 對這些防毒軟體已經無言了……只想留個筆記,供有需要的人參考。

1/10/2009

Warlock Brawl

http://www.warlockbrawl.com/

基本上跟 DR 熟的人都很清楚,DR 玩 WarCraft III 是不大碰「小遊戲」的,也就是說:無論是防守戰的「TD」(Tower Defence)、或者根本就只是 DOTA 中文化的「三國無雙」等,DR 都沒有什麼興趣碰……

但是這款「Warlock Brawl」卻一整個吸引了 DR 的注意力……

其實遊戲規則很單純,就是每位玩家各使用一名法師角色,並在每回合開始前購買技能和裝備。回合開始後,所有角色會被丟進一個「按著時間逐漸縮小」的競技場做生死鬥,至於競技場外圍則是由滾燙(就是碰到會損血的意思)的岩漿環繞。因此越努力的把敵方打出場外,就越容易將敵方致死(事實上,將敵方打出場外就是這遊戲的主軸)。

那麼這遊戲究竟有趣在哪裡呢?首先 DR 注意到這遊戲擁有 WC3 本身少有的「物理特性」其中最基本的例子是大多數的攻擊法術都有將對方「撞飛」的特性(因為遊戲主軸就是要把對方打出場外的緣故),至於其它的例子還包括法術可以相互撞擊並抵銷(火球可以把魔法飛彈打掉之類)、柱子和防護盾可以擋住法術或將之反彈,另外甚至物體的移動加速度和彈力效應也是被予以計算的,因此善加利用遊戲中的物理特性往往可以將敵方打得更遠(也更慘)。另一個遊戲特色是:Warlock 的技能原創性極高,都是特別設計並歷經多次平衡度的改版修正,幾乎可以說沒有任何一項技能是直接抄 WC3 的。

最後一個特色是:Warlock 玩起來非常有 FPS 的感覺,火球、閃電加上瘋狂的前置量計算(附註,Warlock 的法術施展都是只要指定方向即可,不需要點選單位做瞄準),這簡直就是 Quake 的 2D 版啊!