Aihearkisto: Web

SPR veripalvelun veribarometrin lisääminen kotisivuille

Olen pitänyt SPR:n veribarometriä kotisivuillani näkyvissä. Aina silloin tällöin SPR kuitenkin muuttaa koodia tavalla tai toisella, jonka seurauksena grafiikka kuolee.

veribarometri

Aiemmin olen kaivellut sopivaa koodinpitkää muilta sivuilta, joilla veribarometri on ollut käytössä, sillä minulla ei ole ollut tietoa mistä ohjeet löytyvät. Iskemäradion kotisivut ovat olleet koodin hankintapaikka aiempina kertoina, mutta sielläkään veribarometriä ei ole ollut pitkään aikaan. Ainoa paikka, josta veribarometrin olen löytänyt, on Suomen punaisen ristin veripalvelun kotisivuilla. Useista yrityksistä huolimatta en ole saanut sivuilta ottamaani koodia toimimaan. Tästä syystä veribarometri ehti olla kuolleena kotisivuillani ainakin puoli vuotta.

Asiasta olisi tietysti voinut kysyä suoraan SPR:ltä, mutta en vaivautunut. Lopulta päätin tutkia kotisivujen kaikki sopukat, sillä olihan jostain löydyttävä ohjeet veribarometrin lisäämiseksi kotisivuille.

Lopulta törmäsin Veripalvelun aineistopankkiin. Ehdin jo todeta että vesiperä, sillä sivut vaativat käyttäjätunnukset sisään kirjautumista varten. Mistä tunnukset ja kenelle sellaiset annetaan? Ja mitä aineistopankista ylipäätään löytyy? Sivun alalaidassa oli kuitenkin linkki, jolla aineistopankkia pääsee käyttämään ilman tunnuksia, joten ei muuta kuin tutkimaan.

Lopulta tärppäsi, eli löysin ohjeet veribarometrin lisäämiseksi sivuille. Ohje löytyy polun Aineistot / Bannerit, Flashit -alta. Tiedosto on nimeltään ’2016_Ohje_Veritilannebarometrin näyttäminen ulkoisilla verkkosivuilla.docx’. Näillä ohjeilla bannerin lisääminen olikin helppoa ja yksinkertaista. Koodi on täysin erilainen joka näkyy veripalvelun omilla sivuilla, mutta tämä johtunee siitä että sisäisesti heillä on oma koodinsa ja ulkopuolisille käyttäjille omansa.

Veribarometrin ohje on päivitetty viimeksi 3.5.2016 ja veribarometri toimii ainakin 4.9.2016, mutta on vain ajan kysymys koska jotain taas muuttuu ja veritilanne kuva kuolee. Todennäköisesti päivitetyt ohjeet löytyvät jälleen aineistopankista.

Sivuilleni valitsin seuraavan koodivaihtoehdon, joka tuottaa alussa nähdyn kuvan mukaisen grafiikan. Tilanne päivittyy kuvaan aina sivujen uudelleenlatauksen yhteydessä.

<iframe src="https://www.veripalvelu.fi/_layouts/15/innofactor.veripalvelu.web/veribarometriNew.aspx?orientation=horizontal&key=mediapaate&delay=5&iframe=1" frameborder="0" height="300" width="400"></iframe>

Vaihtoehtoina on myös vaakasuuntainen grafiikka, sekä vastaavat kuvat joissa halutulla viiveellä vaihtuu tekstimainoksen ja veritilanteen kesken.

Admin tunnuksen vaihtaminen toiseksi WordPressissä

WordPress on hyvä julkaisualusta, mutta kuten niin monen muunkin palvelun ja laitteen pääkäyttäjätunnus on vanha tuttu admin. Lisäksi ei ole mikään salaisuus, että wordpressin hallintasivun kirjautumissivun osoite on varsinaisen sivun osoitteen perään lisätty /wp-admin/. Toisaalta tälle kirjautumissivulle löytyy linkki suoraan sivustolta, Kirjaudu sisään -linkin kautta.

Hyvä salasana on tärkeä, mutta jos myös käytäjätunnus on jotakin muuta kuin arvattavissa oleva admin, on murtautuminen käyttäjätunnusta ja salasanaa arvaamalla pykälää haastavampaa. Käyn tässä läpi yksinkertaisen SQL-kysely käskyn käyttäjätunnuksen muuttamiseksi ja tietoturvan parantamiseksi.

Mene siis palveluntarjoajasi hallintasivulle, etsi databases ja sen alta phpMyAdmin.

databases

Ennen seuraavien toimenpiteiden tekemistä, tietokannasta on syytä ottaa varmuuskopio!

Tee seuraavat toimenpiteet käyttäjätunnuksen muuttamiseksi.

  1. Klikkaa sivun ylälaidasta SQL
  2. Suorita seuraava SQL-kysely (mukaanlukien lopun puolipiste) sivulla olevassa SQL-kyselykentässä:
    UPDATE wp_users SET user_login='uusi_kayttajatunnus' WHERE user_login='admin';
  3. Paina Siirry-painiketta

Allaolevaan kuvaan on merkitty edellä kuvatut toimenpiteet.

wp_pass_change

wp_users on taulun nimi, johon muutoksia ollaan kohdistamassa. Vakioasennuksessa kaikki taulut alkavat wp_, mutta esimerkiksi itse olen muuttanut turvallisuussyistä alkuosan toiseksi. Mikäli olet muuttanut vakiomuotoilua joksikin toiseksi, tulee tähän kohtaan kirjoittaa oikea nimi, esimerkiksi omablogi_users.

user_login kenttään syötetään ’ ’-väliin uusi haluttu käyttäjätunnus, joka korvaa aiemman admin tunnukset. Esimerkiksi ’minaadmin’.

Muutoksen jälkeen sivun pitäisi toimia täysin normaalisti. Ainoa ero aiempaan on, että admin-käyttäjätunnus ei enää toimi ja sen on korvannut määrittämäsi uusi käyttäjätunnus (esim. minaadmin). Uudella käyttäjätunnuksella on edelleen admin-oikeudet, eli ainoa muutos oli pelkän käyttäjänimen vaihtuminen.

Webbisivun sisällön väliaikainen muokkaaminen selaimella

Netissä on joitakin palveluita, jotka muokkaavat sivun sisältöä alkuperäisestä. Yksi tällainen sivu oli iltasaatana.fi, joka viljeli saatana sanaa sinne sun tänne täysin automaattisesti. Sivusto muutti uutisia rankalla kädellä, tämä kaikki tapahtui jopa todella onnistuneesti (kun jätetään saatanan epäasiallinen viljeleminen pois laskuista). Sittemmin tämä sivu suljettiin, käsittääkseni Iltalehden painostuksen myötävaikuttamana.

Minkä tahansa sivun sisältöä voi kuitenkin muokata paikallisesti. Muutokset näkyvät vain omalla koneellasi, eikä muutokset ole pysyviä. Alkuperäinen sisältö palvelimella ei siis muutu mihinkään, eli mistään hakkeroinnista ei ole kyse. Netissä pyörii paljon kuvakaappauksia hassuista otsikoista tai sisällöstä. Joskus kuvat ovat aitoja, välillä on aika selvää että kyseessä on kuvankäsittelyllä aikaansaatu manipulaatio. Jos kuvankäsittelytaidot ovat heikot, mutta sisällön viilaaminen hauskojen kuvakaappausten toivossa kuitenkin kiinnostaa, on tähän olemassa toinen kiertotie.

Allaolevalla javascriptin pätkällä saa muutettua selaimen toimintaa siten, että se mahdollistaa näkyvän sisällön muokkaamisen. Kopioi ja liitä oheinen rimpsu selaimen osoitekenttään, paina enteriä ja aloita hauskanpito.

javascript:document.body.contentEditable='true'; document.designMode='on'; void 0

Mikäli kikkailua haluaa harrastaa useamminkin, kannattaa oheinen koodinpätkä lisätä kirjanmerkkeihin linkiksi (kaikissa selaimissa koodi ei toimi suoraan osoiteriviltä, vaan vaatii kirjanmerkin luomisen). Kirjanmerkkiä painamalla sivu muuttuu samantien muokattavaan muotoon. Muokkaustilasta pääsee pois uudelleenlataamalla sivun sisällön (F5), tosin samalla muokkauksetkin häviävät. Toinen vaihtoehto on muuttaa edellisen koodin true => false ja on => off, ja suorittamalla koodi uudelleen, jolloin muokkaustila poistuu mutta tehdyt muutokset jäävät näkyviin. Tästä voi halutessaan tehdä toisen kirjanmerkin. Tai yhteen kirjanmerkkiin voi yhdistää nämä kaksi toimintoa seuraavalla koodilla:

javascript:if (document.designMode=='off') { document.body.contentEditable='true'; document.designMode='on';} else { document.body.contentEditable='false'; document.designMode='off';} void 0

Oheinen kikka on tarkoitettu puhtaasti kokeellisiin tarkoituksiin, esimerkiksi kaverien jekuttamiseen bileissä suuresta lottovoitosta jne. Ominaisuutta ei ole syytä käyttää laittomuuksiin tai toista loukkaavan sisällön luomiseen, tällaisesta toiminnasta voi seurata hankaluuksia.

Kuinka estää WordPress-sivua toimimasta palvelunestohyökkäyksen alustana

Eilen Suomessa uutisoitiin WordPress sivujen ominaisuudesta, joka mahdollistaa niiden hyödyntämisen palvelunestohyökkäyksissä. Asiasta uutisoitiin paria päivää aiemmin maailmalla.

CERT ei neuvo kuinka toimenpide tehdään, vaan tyytyy linkkaamaan ulkomaalaisille sivuille. Koska olen muutoksen jo omille sivuilleni tehnyt onnistuneesti, niin tässä ohjeet toimenpiteen tekoon suomeksi.

Tämän sivun kautta voi käydä tarkistamassa, onko oma sivustosi ollut osallisena palvelunestohyökkäyksiin. Asetusmuutos on syytä tehdä vaikka saisit puhtaat paperit, sillä on vain ajan kysymys milloin hyökkäykset alkaa. Oma sivustoni ei ollut hyökkinyt muiden sivuille.

Hyökkäyksen mahdollistava asetus on oletuksena päällä kaikissa WordPress asennuksissa (3.5 ja tätä uudemmat versiot). Asetuksen saa helposti poistettua WordPressin hallintasivun kautta. Klikkaile hallintasivun vasemmasta reunasta seuraavasti:

  1. Asetukset
  2. Keskustelu
  3. Poista rasti kohdasta: Salli linkki-ilmoitukset muista blogeista (päivitysilmoitukset ja paluuviitteet)
  4. Tallenna muutokset sivun alalaidasta

Allaolevaan kuvaan on merkitty keltaisella kohta joka tulee poistaa.

wordpress_asetus

Tämä muutos ei kuitenkaan ole vielä riittävä, sillä ominaisuus ei poistu vanhoista viesteistä. Tämä asetus vaikuttaa siis vain tulevaisuudessa lähetettäviin viesteihin.

Mikäli siis olet luonut WordPress postauksia aiemmin (kuten minäkin tässä blogissa), tulee tehdä vielä yksi toimenpide tietokannan puolella.

Mene siis palveluntarjoajasi hallintasivulle (omassa tapauksessani osoitteeseen https://elh14.easylinehost.net:8443/login_up.php3)

Etsi Databases, ja sen alta edelleen Webadmin. Tämän myötä eteesi pitäisi avautua phpMyAdmin -sivu.

 

Ennen seuraavien toimenpiteiden tekemistä, tietokannasta on syytä ottaa varmuuskopio!

Tee seuraavat toimenpiteet linkki-ilmoitusten poistamiseksi aiemmin julkaistuista viesteistä.

  1. Klikkaa sivun ylälaidasta SQL
  2. Suorita seuraava SQL-kysely (mukaanlukien lopun puolipiste) sivulla olevassa SQL-kyselykentässä:
    UPDATE wp_posts SET ping_status='closed' WHERE post_status = 'publish' AND post_type = 'post';
  3. Paina Suorita-painiketta
  4. Sivun yläreunassa kerrotaan kuinka moneen riviin muutos tehtiin. Itselläni muutos tehtiin 26 kertaa.
  5. Kyselyn tekeminen toistamiseen antoi tulokseksi 0 muutosta, toisinsanoen muutos tehtiin onnistuneesti.

Allaolevaan kuvaan on merkitty edellä kuvatut toimenpiteet.

tietokantakysely

Muutosten jälkeen sivun pitäisi toimia täysin normaalisti. Palvelunestohyökkäyksiin sivua ei kuitenkaan tätä ominaisuutta hyödyntäen enää voi käyttää.

Lähteet:

Hesarin ja Keskisuomalaisen maksumuuri

Välillä tuntuu, etten ole lukenut yhtään uutista Hesarin nettipalvelusta, ja silti saan eteeni ilmoituksen että olen käyttänyt viisi ilmaista lukukertaa.

Välillä kun saman uutisen avaa toistamiseen, aukeaa se ilman mitään ongelmaa. Liekkö jotain historian painolastia vai mitä, mutta hieman hanuristahan tuo on. Vaikka ei senpuoleen, en hesarin uutisia juuri koskaan lue. Ja maksumuurin tulon jälkeen en enää sitäkään vähää.

Maksumuurin laskurit kuitenkin kirjoittelee kaikkea paskaa koneelle, ja kuten kotonakin, aina välillä on syytä siivota. Niin tässäkin tapauksessa, eli viimeistään siinä vaiheessa kun valitusvirsi alkaa.

Suorittamalla osoitekentässä seuraavan komennon, roskat siivotaan ja valittusvirsi pitää hetken tauon: javascript:localStorage.clear();location.reload()

Kun tuosta koodista tekee vielä kirjanmerkin pikavalintaan (kirjanmerkin osoite on em. koodi sellaisenaan), on koodin käyttö jatkossa helppoa ja nopeaa.

Päivitys 1: Tämä roskansiivous kikka näyttää toimivan myös Keskisuomalaisen nettisivun toimimattomuuden korjaamiseen.