LINUX.ORG.RU

Внимание: совершено вторжение на сервера сайта freebsd.org

 ,


3

3

Команда обеспечения безопасности внутренней инфраструктуры сайта http://www.freebsd.org/ сообщает о состоявшемся вторжении на два узла кластера, обеспечивающего работу CVS-репозиториев сторонних пакетов. На данный момент довольно большое количество машин отключены от сети и проходят внутреннее инспектирование и анализ.

Взлом был обнаружен лишь 11 ноября, хотя само вторжение, скорее всего, произошло еще 19 сентября. Как полагают исследователи, злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива. Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.

На данный момент на вопрос модификации проверены Subversion-репозитории Source, Ports и Documentation, изменений в них не было. Кроме этого, базовая часть системы FreeBSD также признана не затронутой хакерами. Все релизы и пакеты FreeBSD на официальном FTP-сервере также не содержат модификаций. Однако, набор пакетов для грядущего релиза FreeBSD 9.1-RELEASE был полностью пересобран, так как выявить изменения в нём оказалось невозможно.

В основном, в зону риска попадают пользователи, скачавшие пакеты из портов, полученных не с сервера svn.freebsd.org и его зеркал в период с 19 сентября по 11 ноября.

Всем пользователям FreeBSD даны следующие рекомендации:

  • если вы использовали cvsup/csup, больше этого не делайте;
  • если вы использовали cvsup/csup для получения портов, срочно переходите на использование portsnap(8), разработчики уже давно работают с Subversion;
  • если вы использовали cvs/anoncvs/cvsup/csup для получения src, также переходите на Subversion или скачивайте бинарные пакеты через freebsd-update(8);
  • если вы использовали portsnap(8), выполните команду
    portsnap fetch && portsnap extract
    для получения актуального образа репозитория;
  • следуйте нашим советам по обеспечению безопастности вашей системы, проверьте её на наличие модификаций;
  • все пакеты, установленные в период с 19 сентября по 11 ноября, считайте подозрительными.

Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из сложившейся ситуации и планируют улучшить защиту серверной инфраструктуры для предотвращения возможных атак. Для этого многие неактуальные сервисы будут признаны устаревшими и нерекомендованными к применению, а вместо них по умолчанию будут использоваться современные реализации.

Всем пользователям FreeBSD рекомендуется следить за развитием событий.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Binary (всего исправлений: 4)
Ответ на: комментарий от StrongDollar

да, в езыке тоже

да видел уже - спасибо. Без редактирования же.

swwwfactory ★★
()
Ответ на: комментарий от black7

Лол, поработаешь хотя бы лет 5 с ней, перестанешь такое писать.

Стоит доступный из инета хост.. уже года 2 uptime.. и что главное работает - в отличии от кривого поделия с штампом RHEL...

Эк ты сразу всех бздунов оскорбил одним махом. Нетолерантненько. Толсто так намекнул на то что они в putty видят, и на Олмана с МакКузиком.

Ты хотел сказать всех линупсоидов - ибо у 90% из них стоит дуалбут с виндой. Ибо крутые пацаны сказали что линукс это круто, только там игры не идут..

anonymous
()
Ответ на: комментарий от swwwfactory

К чему такая паника? Просто гиф это дурной тон на сей день.

У кого дурной тон? У вас лично? А в каком формате вы предпочитаете делать анимированные смайлики на форумах?

anonymous
()
Ответ на: комментарий от anonymous

претензии к гифу (и другие) сняты - перебор уже перетерли это. Лично раздражает, когда оставляешь открытые табы с гифами - лишний напряг память, проц. Жму esc для «деанимации».

А в каком формате вы предпочитаете делать анимированные смайлики на форумах?

что подвернется стоящее, но избегаю форумов с анимированными смайликами ))

swwwfactory ★★
()
Ответ на: комментарий от anonymous

Правильно, учавствовали бы в ботнете как все и не заморачивались на какие-то там взломы.

Binary ★★★★★
()
Ответ на: комментарий от anonymous

Я один из 10%, у которых не стоит.

Мало человеку своих проблем, так он еще и freebsd использует.

Tark ★★
()

FreeBSD даже localhost нельзя доверять.

chiptune
()

эко активизировались лоровские девственники

anonymous
()
Ответ на: комментарий от anonymous

«Я один из 10%, у которых не стоит.»

Не стоИт, сходи к сексологу. Нам неинтересно.

anonymous
()

Мимо))) Давно не пользуюсь тем что отписали) Это была лазейка для закапывания cvs и еже с ними... Линуксотроли атакуют)

cy4apa
()

Обновление: 22 ноября 2012

Although not mentioned in the original report, CTM (another mechanism for retrieving FreeBSD source) uses the master trusted Subversion repository as the source of its data. Additionally, verification of CTM-sourced trees has been completed against the Subversion tree, confirming that there are no differences between the two. Our experimental Git repository has been similarly verified.

Work continues on rebuilding internal infrastructure and reinstating services taken down during the incident. Web interfaces to the old CVS repositories (CVSweb), and to GNATS (our bug-tracking database) have been restored amongst other services, and other internal hosts are being examined and rebuilt where necessary. A full audit of the package building infrastructure is ongoing.

The FreeBSD Project is investing significant effort into looking into both medium and long term infrastructure improvements to increase security of the FreeBSD cluster.

sergv
()
Ответ на: комментарий от lucentcode

Вы всё ещё используете IE6(а зачем ещё нужен пиксель 1х1)?

И при чём тут IE6? Если ты не знаешь чего-то - можно поинтересоваться. Ты же сделал странное (и разумеется, неверное) предположение. Какую пользу ты от этого получил, интересно?

ForwardToMars
()
Ответ на: комментарий от swwwfactory

Для меня - это банальности.

Для наполеона в больнице тоже банальность, что он наполеон. Он думает, что у других просто другое мнение.

А посмотреть в словаре, что значит это слово, конечно, тяжело тебе. Непривычно. Поэтому ты не в курсе, что банальность не может быть для тебя. Она либо для большинства - либо не банальность.

Да и вообще, люди, считающие себя сторонниками никсов, должны избегать использования не совсем открытых решений и толерантно относиться к мнениям других.

Опять твоя эксклюзивная банальность. :) Которая банальность только для тебя :)

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Извините, я привык к тому, что в IE можно встретить какие угодно костыли, и странности. Вот и предположил, что видно это какой-то костыль, связанный с прозрачностью, и htc правилами для IE. Зачем ещё использовать изображение 1x1 пиксель? В нем нет никакого смысла. Такое для нормальных браузеров не используют(ни в одной книге по дизайну и вёрстке нет описания техники использования однопиксельных изображений).

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

В нем нет никакого смысла.

Вот опять странное (и неверное) утверждение :)

ни в одной книге по дизайну и вёрстке нет описания техники использования однопиксельных изображений

Причём тут дизайн и верстка? Если для вёрстки он не нужен, значит можно предположить - а может он нужен для чего-то другого?

Если реально интересно - он нужен, что бы прочитать куку, поставленную одним доменом на другом домене. Картинка a.ru/1x1.gif на домене b.ru (задачу можно решить и по-другому, конечно, но это простой и удобный способ).

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Не знал про такой оригинальный способ. Куки с других ресурсов просто не были нужны, поэтому я вообще не в теме. Как их в gif запихивают? Есть либа на Js(и такая же на PHP)? Или на самом деле это не gif-ка, а сериализованные во что-то данные? И не лучше ли использовать для таких целей фреймы и JS(windows.name или PostMessage)? Вроде, это более красивый метод. И передавать можно не только куки, можно передавать много всего(особенно с использованием PostMessage). Чем метод с картинкой предпочтительней? И в чём его суть?

lucentcode ★★★★★
()
Ответ на: комментарий от ForwardToMars

Что-то я нифига не понял, как работает эта дыра?

Binary ★★★★★
()
Ответ на: комментарий от lucentcode

Их не запихивают в гиф. Браузер при загрузке любого файла (html, js, gif и пр.) отдаёт куки, которые были записаны доменом, с которого файл грузится. Тут лучше в вики или в доки, пересказывать их своими словами как-то не хочется.

И не лучше ли использовать для таких целей фреймы

Ну попроси владельца сайта к себе фрейм вставить, если хочешь. Никто не запрещает, если договоришься.

И в чём его суть?

Самая простая, хотя не очень ценная задача, просто для примера. Ты хочешь узнать, какие пользователи твоего сайта заходят на лор. Ставишь своим пользователям куку. С лором договорился, что бы они вставили внизу страницы пиксель. Пользователь зашёл на лор, загрузился твой пиксель, ты прочитал куку (свою, которую записал сам) и записал в базу об этом. Когда пользователь второй раз зайдёт на твой сайт - ты ему покажешь сообщение - а я знаю, что ты был на лоре и какие темы читал (передаётся не только кука, но и страница, с которой загрузилась картинка).

Binary, нет никакой дыры. Сам положил - сам потом взял.

ForwardToMars
()
Ответ на: комментарий от lucentcode

Куки с других ресурсов просто не были нужны, поэтому я вообще не в теме.

куки с других ресурсов ты не прочитаешь. Если только владелец домена не захочет этого и не разрешит тебе. Ты прочитаешь свою куку. Которую сам поставил этому пользователю. Но при этом будешь знать ещё и урл страницы, на которой пиксель загрузился.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Вы всё ещё используете IE6(а зачем ещё нужен пиксель 1х1)?

И при чём тут IE6?

Вообще-то это старинный и очень известный способ задать размеры чего-нибудь в пикселях, например, отступ или размер строки/столбца в таблице. Если задавать их напрямую, то разные браузеры отображали разные размеры, а именно img width/height везде рендерился одинаково. Ну а поскольку в img должна быть картинка, то использовался прозрачный однопиксельный гиф.

И способ этот намного старше, чем IE6.

anonymous
()
Ответ на: комментарий от ForwardToMars

Сервисы статистики тоже юзают пиксель? Надо глянуть, как Google Analytics и пузомерки работают... Похоже, что именно по описанной вами методике они статистику собирают.

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

Всякие мылру рейтинги да рамблеры именно так и работают, а гугланалитика более сложную статистику собирает, там js используется, поэтому пользователей без js оно не учитывает.

Binary ★★★★★
()
Ответ на: комментарий от Binary

гугланалитика юзает скрытый фрейм? Или у браузеров есть свой уникальный ID(отслеживать по IP юзера они не могут, за одним IP может куча людей в сеть выходить).

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

Зачем им скрытый фрейм? У них простой js и те же самые куки, чтобы отслеживать уников, как у всех.

Binary ★★★★★
()
Ответ на: комментарий от Binary

То есть куки для каждого пользователя не уникальны? На разных сайтах для одного пользователя Google использует абсолютно разные куки? А как тогда работает их таргетинговая реклама? Я думал, они используют аналитику в том числе и для того, что-бы отслеживать конкретных юзеров на разных сайтах. И показывать им таргетинговую рекламу, если у тех не установлен Do not track.

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

Я что-то ничего не понял: для каждого пользователя куки уникальны, на разных сайтах для одного пользователя можно использовать одну куку, а сайты дифференцировать другими методами.

Вообще, я могу что-то наврать, потому что детально этих процессов не изучал, точно знаю только, что там js, и сужу с той т.з., как я сам бы это делал.

Binary ★★★★★
()

CVS-репозиториев

Говно мамонта доло трещину? Перешнли бы что ли на суровый vsftpd.

splinter ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.