Category Archives: security

ハッキングシミュレーションゲーム「Hacknet」をプレイしてみた。

いつだったかITプロで「Steam」で遊べるハッキング(クラッキング)シミュレーションという珍しいジャンルの「Hacknet」というゲームが紹介されていたので軽くですがプレイしてみました。 チュートリアルからちょこっと進んだ程度なので、全体像は把握していませんが、ゲームとはいえ少しはコマンドの知識なりがある方が楽しめそうな気がします。なくても大丈夫です。 あくまでゲームなので(重要?というかそこが楽しさというか)ツールの類いはどこかからコピーしてきたりですね。ハッキングシミュレーションであって、ハッカーシミュレーションではないようです。 ハッカーシミュレーションってなんだよって気もしますが、ニュアンスが伝わればいいなあってな感じで。 というかプレイすればわかります。 まずはユーザ作成ですな。インターフェースはこんな感じです。 まずはチュートリアルをしながら、基本的なハッキングの流れとコマンドの叩き方なんかを教えてくれます。 nmapして空いてるポートを見つけてますね。 ls なんかもこんな感じで使えます。ゲーム内のコマンドもあるので使えるコマンドをメモってた方がいいなあと少しメモってましたが、進行途中に出てくるサーバの中にコマンド表みたいなテキストがあるのでとくにメモらなくても大丈夫ですww 最初の方のミッションは色々調べたりしたあとはログが残るからちゃんと消そうぜーという感じだったと思います。 リアル感もありますね。 載せている写真はコマンドベースですが、ちゃんとマウスでポチポチできるようにもなっているので安心してください。 あくまでゲームなのだから。 コマンドの説明をしてくれます。 rm * ですね。 チュートリアルが終わったらこのプログラムをKILLします。 なんかユニークです。 これがたしか最初のミッションです。メールが来てこれ頼む!みたいな感じで、やり取りはメールで進んでいきます。 あんた誰やねんって感じですけど。 んで進んでいくと難度も上がり、時間制限のあるミッションとかもあるみたいですね。 そんな感じです。 Hacknet、900円です。どうですか。 Steamのサイト

I had to consider about a ssl.conf.

The last time, My web site became HTTPS. However, according to SSL SERVER, it was scored B+. Disappointed. So that, I’ll consider at a ssl.conf, I think I want to enhance security connections. The result, I was able to increase to A+. And I introduce some of the examples. First, I was enabled SPDY. But this is NOT related to security. listen 443 ssl; listen 443 ssl spdy; Now, Spdy is enabled. Now then, although I am saying reviewed ssl.conf I need reference materials. I found “Mozilla SSL Configuration Generator“. This is outputted a ssl.conf to fit each environment. For example, Nginx, set of modern and SSL 1.01e version. etc.. […]

Hello HTTPS

Hello, It’s takeken. Finally, I try change http to https. I use Nginx and trouble a little, but I’m able to be completed! For nginx prepare a private key to Nginx Path. How to create CSR Let’s create a rand.dat # /usr/bin/openssl md5 * > key/rand.dat Using the rand.dat, and create a Private key. In the case of Nginx, Key phrases don’t setup. # /usr/bin/openssl genrsa -rand key/rand.dat -des3 2048 > key/serverkey.pem # cp key/serverkey.pem key/serverkey.pem.org # /usr/bin/openssl rsa -in key/serverkey.pem.org -out key/serverkey.pem It’ll generate a CSR with Private key. # /usr/bin/openssl req -new -key key/serverkey.pem -out csr/vincentina.pem Well, Where do you try to SSL. I apply for a rapid […]

scanned wordpress plugins

Today, I some show the WordPress plugins that had caught the scanning which I was able to observe from access log. If you are using those old plugins, You should be updated those. Inadvertently, would you sometimes forget to update. Rainy days never stay. I would like to help them. About how to check, I was looking for from 404 Error. Well, That said, roughly, roughly. Attention please. I was writing order isn’t related to the importance. Are you ready to check it? 1.wpallimport Reference: http://www.wpallimport.com/2015/03/didnt-upgrade-4-1-1-yet-might-get-hacked/ 2.revslider Reference: https://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html 3.formcraft Reference: http://secunia.com/community/advisories/56044 4.dzs-zoomsounds Reference: http://digitalzoomstudio.net/support/discussion/2557/security-issues 5.candidate-application-form Reference: https://www.globalsecuritymag.com/Vigil-nce-WordPress-candidate,20150916,55879.html How was it? This is the data of the last one month. If […]

Automatic nightly WordPress updates CHECK with WP-CLI plugins

Hello, I’m Takeken. I’m pretty hardly at a mail check on the morning, but this adds one to WordPress plugins WP-CLI !! WP-CLI is very nice plugins that It’s checked WordPress Core, WordPress Theme, WordPress plugins , It is a very good WordPress plugins for me who do not use the Auto-Update system. good. Well, let see to how to install. References: http://wp-cli.org/   All systems go ? Ok. And so, let’s create a script. vim wpcheck.sh Are you ready ? Execute the command: sh wpcheck.sh Such an email comes.. Maybe.   Have you received text? You can use it if you WordPress Update does at myself want. If you […]

I completely forgot about to move a fail2ban…

Gah!Gah!! I was forgetting to move a fail2ban! So, It was became like this…(^_^メ) Boo-hoo… Well.. Here we go. First config disabled All. SSH was not only without password authentication but also listening port changed. only one that is necessary!! /etc/fail2ban/jail.conf /etc/fail2ban/filter.d/nginx-wplogin.conf Then I confirmed that operation!! Right on! See ya.

Be careful enough in determining the password of a wordpress

when you decide your password. As a common case. More than eight characters of the alphabet and numbers is the lowest standard. Knowing the password is impossible even in the master. But however. User name, theme, plug-ins, to know those is so easy. That means. if you give identical with password and username that means death. and. You must learn. be able to notice immediately dangerous access log.