LINUX.ORG.RU

Взломы линукс серверов достигли самых высоких величин


0

0

Агнглийская фирма занимающеяся безопасностью заявила, что атаки на веб серверы под Линукс, за последнии три месяца, достигли самых высоких величин.
Фирма mi2g говорит, что сервера на Виндовс более устойчивы к взломам. Основаная причина взломов не правильная конфигурация системы, и потому что корпорации выбирают Линукс из-за стоимости, но не учитывают стоимость технической поддержки.
В мае этого года было 19208 успешных атак на линукс веб сервера, тогда как против Виндовс было совершено 3801 успешных атак.

>>> Подробности



Проверено: green

Весело , индейца попроси он то и делает , прямо ручками пиши : хочу то и то, а винду сколько проси не проси ))) lopi

anonymous
()

2AS:

за искл маленького но. На внешние соединения netbios over tcp/ip элементарно выключен по дефолту. Так что твой пустой пароль можешь оставить себе.

anonymous
()

добавлю. Я вот хочу эксперимент провести. Поставить XP prof без пароля для админа на дсл-линию. Интересно, что получится. Отключив, ессно netbios over tcp/ip.

И без http/ftp ессно :). Сколька линукс продержится без рутового пароля? :)

anonymous
()
Ответ на: комментарий от Irsi


> Интересно, а кто-нибуть приведет ссылку на статистику с секъюритифокус?

Irsi, ты небось вчера читал статью на CNEWS.ru. Так она количественная, а вот о качественной составляющей толи забыли сказать, толи умолчали нарочно.

Любая брешь в системе безопасности обладает следующими свойствами:
1) собственно опасность
2) время реакции разработчика и выпуск "заплатки"
3) время реакции тех. персонала и накладывание "закладки"

По пункту 1.
Часть "дыр" в opensource ПО является local, т.е. без аккаунта на данном сервере активировать или воспользоваться ей нельзя.
А дыры Microsoft являются а) remote, б) несложными в активации.
В 10 вирусов-миллиардеров входят только черви к ПО от Microsoft. Т.е. каждый нанес урон более 1 млрд долларов, а суммарно гораздо более 10 млрд. USD. Теперь как сильно пострадали компании от opensource holes ? Irsi назови червя-миллиардера который функционирует под opensource OS ? Хотя бы одного.

Лана пункт 2.
Время реакции на появление "дыры" у разработчиков - от 1 дня до 7 дней. Дольше я не ждал обновлений, если были прициденты поправьте.
Microsoft более месяца может опровергать и не признавать существование "дыр" как это было в последний раз с Passport.
Что уж говорить, что вломщики на патчи выходят раньше самих патчей.

Кстати здравая мысль была в обсуждении на CNEWS - ни один админ MS серверов не поставит patch пока не убедится, что с ним - патчем, все его программы работают.

По пункту 3.
На самом деле это ИМХО самый главный пункт, так-как в первую очередь виноват именно тот сисадмин, который знал, видел, и в конце-концов допустил. Примеров десятки, когда специ с 10-тилетним стажем отмахиваются от новой дыры, а через 2 недели плюясь и матерясь восстанавливают инфу с бекапов и в конце-концов латают "дырки".

Итог:
По качественносу составу "дыр", Microsoft на несколько порядков обогнал opensource, миллиардов этак на 10, хотя вероятнее всего и больше.


Так что я уж как-нибудь подсуечусь и пару небольших дыр подзалатаю. Чем буду иметь одну, но с рекламными вывесками "тут стоит ПО от Microsoft. Вирусы, трояны и просто прохожие - Welcome !"

p.s.
Кстати вспомнилось, teardrop, и по сайт по умолчанию www.microsoft.com.
Сколько дней Microsoft платило за рекламный ход с установкой Windows NT4.0 на свои web-сервера ?

to0r
()

> за искл маленького но. На внешние соединения netbios over tcp/ip > элементарно выключен по дефолту.

Приятная неожиданность, если так. Но я бы не рискнул предположить, зная, как это было в win9x. Ты проверял ? Потому, как информация эта мне очень интересна.

> Сколька линукс продержится без рутового пароля? :)

Ровным счетом столько же. В теории, если потенциальное наличие дыр не учитывать. Или ты думаешь, что нормально сконфигурированная система через telnet/ssh кого угодно пускает ?

AS ★★★★★
()

Фестиваль

2IceD (*) (2003-06-05 12:36:14.774118)

>Кому там php не нравится? Альтернативы есть?

php - полное дерьмо в плане security, большинство дефейсов

было сделано именно через php, даже safe-mode не спасает

http://www.securityfocus.com/archive/1/254005

Кстати надо делать различия между дефейсом и взломом сервера.

Если у меня 50 Васей, и одному из них дефейснули home page

из-за кривого php скрипта,

означает ли это что у меня взломан сервер ?

>Альтернативы есть?

http://www.masonhq.com

Sun-ch
()

Уважаемый модератор (или администратор). Статейки подобные "Взломы линукс серверов достигли самых высоких величин" могут навредить в некоторой степени движению открытых систем, поэтому необходимо ее убрать. Многие люди, которые планируют начать использование операционной системы Linux, посещают Ваш сайт впервые. Психология людей разная, поэтому эффект от того, что на самом видном месте они обнаружат эту статью будет разный. Можно даже предположить, что есть вероятность того, что некоторая часть посетителей сайта могут начать сомневаться в необходимости использования Linux в своей деятельности. Если не ошибаюсь, автора такой статьи можно привлекать к суду за клевету (формулировку может подсказать юрист). Кроме этого вместо этой статьи (или форума, не знаю какой термин правильный) можно опубликовать статью, написанную кем-нибудь из "Linux ГУРУ" (например, oxonian), посвященную вопросам использования Linux на рабочем месте различных специалистов с акцентом на обеспечение защищенности от атак из сети. Надеюсь, что обратите свое внимение на то, что я наипсал. С уважением, Brainbench Certificated Linux Administator.

anonymous
()

2Sun-ch:

только не надо masonа пожалуйста (пользовал около года, больше не хочу). и зоп тоже не надо. и тем более не надо жсп / сервлеты и прочее жабогамно.

btw. мож слышали про такую вещь как какУн (http://cocoon.apache.org вроде). жуткий изврат - прога пишется на xmlе из которго генерится жабокод, который компилится, исполняется и генерит xml на который апплаится xsl и получается html наконец.

IceD
()

Фестиваль

> Сколька линукс продержится без рутового пароля? :)

А скоко надо ? Даже с рутовым паролем ?

Спорнем на баклажку (1,7 л) Хэннеси ?

Sun-ch
()

AS - >А потом вот такие и попадают в статистику взлома Linux->систем... Хотя, конечно, это только предположение и, не исключено, >что все то новое, что за три года найдено, у тебя или не >используется, или зафикшено заранее,

Читать надо внимательнее. Ты еще внимание не обратил на то, что я ipchains настроил, если правильно помню у меня там где-то с полсотни правил будет. Сервер разрешает соединения только по нескольким портам (необходимым для работы почты и WEB-сервера).

anonymous
()
Ответ на: комментарий от anonymous

линух это что-то типа личного убеждения или религии какой-нить, что требуют отсутствия сомнений в необходимости использования? ;)

anonymous
()
Ответ на: комментарий от Ogr

to Ogr :

Я вернулся исключительно для тебя родной :)
Уйдеш ты(снова), уйду и я(снова) :)

>тот кто не хочет платить за ОС не захочет платить и зарплату
>нормальную, то и набирают красноглазых пионеров и в результате
>имеем цифры, которые приведены выше.

Ты прекрасно знаешь что такое статистические данные(и АНАЛиз на них построенный).
Или у тебя опять словесный понос ? Не опускайся до уровня Irsi.

>Nimda & codered наглядно показали, что это не так.

Тебе сюда: http://news.com.com/2100-1001-982305.html

P.S:
Ogr, ты новою работу нашел ? :)

MrBool
()

OpenStorm, а как конкретно твой сервер был настроен (какой линукс, какой ядро, какой апач, какой фаервол)?

anonymous
()
Ответ на: комментарий от Ogr

to Ogr:

>Это твои проблемы (я про уровень идиотизма).Статистика >собирается по ОС, а не по браузеру, хотя по браузеру тоже >собирается.

Ogr, где ты (с Irsi на пару) такую траву берёшь ?
Пойди проспись...

MrBool
()

> Психология людей разная, поэтому эффект от того, что на самом > видном месте они обнаружат эту статью будет разный. Можно >даже предположить, что есть вероятность того, что некоторая > часть посетителей сайта могут начать сомневаться в > необходимости использования Linux в своей деятельности.

Есть сомнение, стоит ли такому человеку заниматься выбором ОС и, собственно, переходить с чего-то на Linux. Изучение проблем безопасности надо проводить не тут. :-)

AS ★★★★★
()
Ответ на: комментарий от Ogr

to Ogr :

>В проигрыше будет (я не знаю как на счет SuSE лень лезть на их >сайт),

SuSE 8.0 Professional с включенным firewall и настройками по умолчанию более безопасен чем
Windows XP Professional(GER) с включенным firewall и настройками по умолчанию.

В обоих случаях были установлены все security патчи доступные на
тот момент (осень 2002)

Виндузятник подтвердит

MrBool
()

2AS:

Точно. Я только что специально еще раз проверил.

2MrBool:

Любовь? Судя по всему - да, раз ходишь следом

anonymous
()

Фестиваль

2IceD (*) (2003-06-05 13:31:43.633442)

А почему масон не понравился ?

В команде проекта - Ken Williams and Jonathan Swartz.

Знаешь кто такие :)

ЗЫ Я не web developer, просто интересно

Sun-ch
()

>А потом вот такие и попадают в статистику взлома Linux-систем... >Хотя, конечно, это только предположение и, не исключено, что все то >новое, что за три года найдено, у тебя или не используется, или >зафикшено заранее... > >AS

AS, прежде чем судить, надо узнать ситуацию. Еще вспомнил, что я перед сервером поставил железку типа Cisco, но по-проще. Эта железка настроена в качестве фаервола. Потом проверил nmap'ом, что получилось. Сам я в этой фирме больше не появлялся (они только половину денег отдали тогда). Мой знакомый был в этой фирме осенью сказал, что все нормально. Взяли они кого-то админом, сервер ему трогать запретили. Такие дела. Не только у тебя, AS, способности есть.

anonymous
()

Плиять, кинули кость Лихуятникам, а они все поголовно укололись, стадо баранов, мля.

anonymous
()

to anonymous (*) (2003-06-05 13:56:12.103864) :

>Плиять, кинули кость Лихуятникам, а они все поголовно укололись,
>стадо баранов, мля.

Тебе надо обратиться к проктологу, пускай твои мозги проверит.

MrBool
()

>> Психология людей разная, поэтому эффект от того, что на самом > >видном месте они обнаружат эту статью будет разный. Можно >даже >предположить, что есть вероятность того, что некоторая > часть >посетителей сайта могут начать сомневаться в > необходимости >использования Linux в своей деятельности. >Есть сомнение, стоит ли такому человеку заниматься выбором ОС и, >собственно, переходить с чего-то на Linux. Изучение проблем >безопасности надо проводить не тут. :-) > >AS

Когда этот человек - директор фирмы, который считает, что все его накалывают, то он сначала сам что-нибудь узнает о предмете разговора. В этом случае таткие статейки могут принести вред. А сели он все же решит использовать Linux, то будет покупать дистрибутив у производителя, а не закачивать по сети (приходилось уже уговаривать одного начальника, он теперь периодичсеки ASPLinux у SWSoft берет).

anonymous
()
Ответ на: комментарий от anonymous

to anonymous (*) (2003-06-05 13:51:24.981226) :

>Любовь? Судя по всему - да, раз ходишь следом

"От любви до ненависти один шаг" - я же уже много их (шагов) сделал.

MrBool
()

Фестиваль

>Статейки подобные "Взломы линукс серверов достигли самых высоких величин" могут навредить в некоторой степени движению открытых систем, поэтому необходимо ее убрать.

Я надеюсь дети сюда не ходят ? У каждого своя голова на плечах.

"Не создавай себе кумиров"

Новичок должен четко понимать, что даже супер-пупер-круто-секурная

OpenBSD в его руках УЯЗВИМА ПО ОПРЕДЕЛЕНИЮ

Sun-ch
()

> Читать надо внимательнее. Ты еще внимание не обратил на то, > что я ipchains настроил,

Обратил.

> если правильно помню у меня там где-то с полсотни правил будет.

Это не имеет значения.

> Сервер разрешает соединения только по нескольким портам > (необходимым для работы почты и WEB-сервера).

Проблема в том, что к этим портам ты не можешь запретить доступ, сколько бы ты правил не написал. Ну а дальше - дело техники. Я не слежу за событиями в мире постфикса, но, скажем, если бы у тебя стоял sendmail, я показал бы тебе ссылки http://www.cert.org/advisories/CA-2003-12.html http://www.cert.org/advisories/CA-2003-07.html Про Апач я ссылку на возможную проблему уже давал в этом обсуждении. Если стоит какой-нибудь ssh, возможно, тебя заинтересует это: http://www.cert.org/advisories/CA-2002-36.html Хотя ssh, как раз, можно обрезать до небольшого списка хостов. Если у тебя на www есть юзеры с cgi, тебе должна быть интересна информация про проблемы с ptrace... Ну и так далее. И, еще раз, я не утверждаю, что именно для твоего варианта сервера все эти дырки представляют угрозу, но за три года много воды утекло.

AS ★★★★★
()

Фестиваль

>Когда этот человек - директор фирмы, который считает, что все его накалывают, то он сначала сам что-нибудь узнает о предмете разговора. В этом случае таткие статейки могут принести вред. А сели он все же решит использовать Linux, то будет покупать дистрибутив у производителя, а не закачивать по сети (приходилось уже уговаривать одного начальника, он теперь периодичсеки ASPLinux у SWSoft берет).

Директор фирмы решает что ему ставить ?

Интересно, а чем там занимается админ/ит манагер ?

Пиво лопает да дефок лапает ?

Sun-ch
()

> Не только у тебя, AS, способности есть.

Нисколько не сомневаюсь. Но не надо давать новичкам повод думать, что Linux (да и любую ОС) надо только поставить.

AS ★★★★★
()

2IceD

да php дерьмо это правда, уж лучше перл чем это... Про альтернативы, кстати чем тебе ЛОР не нравиться (в смысле на чем написан движок)

dicks
()

Про самые надёжные/устойчивые системы смотреть здесь:

http://uptime.netcraft.com/up/today/top.avg.html

Винды там что-то совсем не наблюдается. Да и линукса ... мда ... маловато!

anonymous
()

да , кстати - в посте было сказано , что ломали не сам линух а веб сервера под ним - так что линух тут почти не при чём.

manowar ★★
()

Фестиваль

>ЛОР не нравиться (в смысле на чем написан движок)

тормозит не по детски, хотя вряд ли > 100 лезут сюда одновременно

иногда выскакивают ошибки типа

"localhost ..."

Sun-ch
()

>Кому там php не нравится? Альтернативы есть?
>и тем более не надо жсп / сервлеты и прочее жабогамно.

IceD, не смеши народ.. Реализацию MVC на PHP сюда подкинь-ка. Или слабо оно?

P.S. - где-то у тебя PDF-ка по Stuts'aм лежала, просветился бы... :((

Alter ★★
()

2to0r: сссылку на статью на CNEWS.ru, которую я таки не читал можно? Абсолютно серьезно, ты меня заитнтриговал...

А теперь на счет "качественного состава дыр", ты будешь смеяться, но сходи и посмотри статистику - именно по захвату управления лидируют юниксовые сервера, нтя в основном страдает от DoS... Связано это понятно с чем - имхо с тем что под виндами до недавнего времени меньше внимания уделялось удаленному управлению...:)
На счет червей - самы первый нашумевший, массовый червь какой был? На чем он жил? То-то...:) А то что черви под линукс не наносят такого убытка как черви под винды имхо говорит только об одном, а именно что критичные для бизнеса вещи фрюниксам мало кто доверяет...:)
Время реакции у мелкософта и фрюниксов мало различается, я не однократно сталкивался с необоснованным отфутболиванием как и мелкософта, так и опенсоурцных разработчиков. Частота примерна одинакова, разница в том что в мелкософте обычно не забывают извиниться если их этим пожуришь, а опенсоурцник обычно посылает нах...:)
Кстати большинство червей под мелкософт получали массовое распостранение через несколько месяцев после выхода заплатки (такое впечатление что вирусописатели брали инфу о дырах из бюллютений мелкософта), а под фрюниксы - ДО появления багфикса...

Про то что стоит различать дефейс и взлом - наконец-то хоть кто-то вспомнил об этом факте...:) Теперь надо дождаться чтоб вспомнили еще пяток подобных параметров в стиле "а вот это здесь не оговаривается". То что >90% дефеснутых сайтов живут под фрюниксами (точнее сказать на связке апачь + пхп/перл/и т.д.) - имхо не для кого не секрет и этому есть объективные причины...

Irsi
()
Ответ на: комментарий от anonymous

а ты в linux'е тогда тоже ssh,ftp,etc отруби и он без рутового пароля продержится сколь угодно долго, только проблема в том, что ни один нормальный дистр поставить без рутового пароля нельзя (если конечно не считать ковыряний руками в shadow после установки), а вин можно

anonymous
()

> Когда этот человек - директор фирмы, ... В этом случае таткие статейки могут принести вред.

когда директор фирмы, далекий от операционных систем и проблем информационной безопасности с ними связанных, начинает "принимать решения" в области IT, это изначально чревато принесением вреда: все-таки есть некоторые виды деятельности, которыми должны заниматься профессионалы. ;)

а статья полезная -- нефиг линуксячим админам расслабляться. :)

anonymous
()

2anonymous (*) (2003-06-05 14:26:10.880991): явно leenjux хачат - фряха по дефолту хрент тебя рутом ремоутно пустит... А любимаяздесьось, по крайней мере раньше, свободно пускала по дефолту...:)

Irsi
()
Ответ на: комментарий от anonymous

to anonymous (*) (2003-06-05 10:59:08.54174) aka Xacid:

>то как он кидал и разводил всех своих деловых партнеров, и то
>как хочет кинуть и развести нас всех...

"Всех ИХ ты имел ввиду ?" :)

Простой пример (у меня в конторе начальство является акционерами Microsoft):
Не далее как вчера из начальственных уст прозвучала
фраза о пересаживании всех Java программеров на SuSE Linux.
Большинство серверов уже вертиться на SuSE Linux и начальство
РЕАЛЬНО в течении 2 лет убедилось в преимуществах Linux,
начальству больше не приходится вызывать меня или другого админа(поздно вечером что де сеть изчезла вследствии тотального повиса Windows 2000 Server на Compaq Proliant)

P.S: Кстати, реально наблюдал тормоза после установки патча
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/b...

[...]
Revisions:
# V1.0 April 16, 2003: Bulletin Created.
# V1.1 April 17, 2003: Included correct patch supercedence information for Windows 2000.
# V1.2 April 23, 2003: Added information regarding performance related issues with Windows XP SP1 patch
# V1.2 April 23, 2003: Added link to KB article that discusses performance related issues with Windows XP SP1 patch
# V2.0 May 28, 2003: Re-issued to advise of availability of revised Windows XP SP1 patch to correct performance issues
[...]

Нет слов, точнее есть, но только матерные.... Короче, Windows 2003 Server M$ нам не удастся продать :)

MrBool
()

2Irsi: "я не однократно сталкивался с необоснованным отфутболиванием как и мелкософта, так и опенсоурцных разработчиков. " Представляю себе что им мог написать Irsi. Не удивительно, что его послали.

"На счет червей - самы первый нашумевший, массовый червь какой был? На чем он жил?" - ну-ка, ну-ка.... Просвети, юноша.

kraw ★★★★
()

Фестиваль

>Время реакции у мелкософта и фрюниксов мало различается, я не однократно сталкивался с необоснованным отфутболиванием как и мелкософта, так и опенсоурцных разработчиков.

А как ты думаешь зачем у *BSD team существует должность

security officer с режимом работы 24х365 ?

Sun-ch
()

>
>2 Korwin (*) (2002-12-02 02:33:31.567)
>2 del anonymous (*) (2002-12-02 02:34:42.252)
>
>Отчет. :)
>MrBool (*) проводил со мной ликбез по безопасности со своими (а я
>повторял со своей домашней машинкой) примерами. Проверка проводилась
>на открытость/закрытость портов при установке оси по умолчанию с
>включением фаерволов (как я понимаю, без настройки фильтрации).
>Объекты испытаний: у MrBool - Suse и XP, у меня - W2KSP2. Средство -
>рекомендованное MrBool http://scan.sygate.com в режиме quick scan.
>Результаты:
>1. У всех систем открытый порт 8 - ICMP ping. :)
>2. У всех виндов открытый порт 135 - Location Service.
>3. У XP открытый порт 445 - HTTPS.
>4. У XP открытый порт 5000 - UPnP.
>5. У В2К разница между включенной/выключенной защитой только в
>открытости 445 порта. При выключенной защите открыты, таким образом,
>только 8, 135, 445. Про XP и Suse не знаю.
>6. Закрыть порты в виндах встроенной системой фильтрации (явно
>разрешить только нужные порты) - 3 минуты максимум, имея для начала
>список с результатами хоть с того же scan.sygate.com.
>
>ВЫВОД - при установке по умолчанию и без ручной пляски свежий Suse
>более безопасен по критерию закрытости портов. Во всех случаях
>рекомендуется использовать внешнюю программку-межсетевой
>экран-фаервол.
>
>Дополнительные материалы: Security Test Sites -
>http://lists.gpick.com/pages/Security_Test_Sites.htm,особо забавно
>(имхо) смотреть дыры в IE и Мозилле с помощью BrowserSpy. :)

Виндузятник

anonymous
()

2Sun-ch: ну у фряхи и дырок на порядок меньше чем в виндах и линуксе...:)

2kraw: еще один не знаюший историю? :) Пойди книжку почитай чтоль...;)

Irsi
()

2Irsi: "явно leenjux хачат - фряха по дефолту хрент тебя рутом ремоутно пустит..." - Линукс тоже. " А любимаяздесьось, по крайней мере раньше, свободно пускала по дефолту...:)" - Назови дистрибутив. Или не 3.14.......

kraw ★★★★
()
Ответ на: Фестиваль от Sun-ch

to Sun-ch :

>тормозит не по детски, хотя вряд ли > 100 лезут сюда
>одновременно иногда выскакивают ошибки типа
>"localhost ..."

Я уже говорил maxcom'у и green'у что лучше Apache+modjk13+Tomcat,
но их ломало... Кроме глюки с сессиями, так как твой пост относится к топику "Фестиваль" а у меня сейчас всплыл в "Взломы линукс серверов достигли самых высоких величин". Иногда вместо моего ника в поле ввода "Имя" всплывает чей либо другой.

MrBool
()
Ответ на: комментарий от Irsi

2Irsi:
>А любимаяздесьось, по крайней мере раньше, свободно пускала по дефолту...:)
Ошибаешся... исправся:) Из сервер-ориентированных дистров - ни один,
из десктопных - может быть, но мне такие не попадались.

Led ★★★☆☆
()
Ответ на: комментарий от hilight

>Так ведь эти движения от дистра не зависят.

Не согласен. Например, характер и количество телодвижений необходимых для обновления версий ПО зависит от формата пакетов, на которых построен дистрибутив, наличия отсутствия и функциональности средств автоматического обновления...

Ikonta_521
()
Ответ на: комментарий от anonymous

2anonymous (*) (2003-06-05 10:59:48.609464)

>У меня лично стоит сервак Win2000 Server.На нем Apache крутится. И
>нормально вроде.Стоит себе и кушать не просит

IP адресочек оставь. Через пару часов кушать запросит :))))

vada ★★★★★
()

2Irsi:"еще один не знаюший историю? :) Пойди книжку почитай чтоль..." - Т. е. подтвердить свои слова нечем.... Irsi просто решил по3.14....

kraw ★★★★
()

Фестиваль

2Sun-ch: ну у фряхи и дырок на порядок меньше чем в виндах и линуксе...:)

Ладно не гони, что у фряхи какой то особенный apache или sendmail ?

Критические баги в open source фиксятся очень быстро, в отличие от MS.

Знаешь про DoS RPC Endpoint Mapper (NT/2000/XP)?

И где патч для NT4 ?

Sun-ch
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.