LINUX.ORG.RU

Админ забыл пропатчить cvs pserver, ядро было непатченным... Ничего интересного, обыкновенный пионерский взлом.

tokza
()
Ответ на: комментарий от anonymous

ну даёте - все ж одинаковым цвс пользуются, который на си :-)

o1o
()

Sun-ch, намекни в чём суть учения, а то я чего-то не разобрал ;)
То ли о вреде разбиения цельных пакетов на мелкие пакетики, то ли о
недостатках знаменитой и беспорочной системы апгрейда имени Дебильяна...

annonymous ★★
()
Ответ на: комментарий от anonymous

блин, ну что вы глупости говорите... использовали дырку в pserver - причём здесь линукс?
и с дебиана снифером пароль утащили - тоже линукс виноват?

o1o
()
Ответ на: комментарий от tokza

Пионеры командуют парадом!! А такие админы вроде вас - сосут письку от нас!

anonymous
()

скажу по секрету, это один мой друг взломал... ставить надо нормальные системы.. NETBSD вот, например..

ananymous
()

не, ваще писанины и разборов на 5 страница, а всего-то эксплойт запустить и всё ;)

ananymous
()
Ответ на: комментарий от ananymous

> NETBSD вот, например..

И как она защитилась бы, если бы админ опоздал на день обновить порт cvs?

annonymous ★★
()

Грамотно ребята работают. Во первых, вину за взлом почти свалили на Debian. Почти... Во вторых, честно написали, что делали. Типа, им теперь можно верить, у них там в цвс никаких странностей кроме ruby быть не должно. Жаль только, что взлом какой-то скучный. С другой стороны, сам анализ взлома вполне убедительный, - развернутый, если 12 шрифтом, то страниц на 10-15 может получиться, разве что без скриншотов. Такому надо учиться на случай если, не попусти всевышний, у себя что-нибудь подобное случиться, а начальство особо начальственное...

neru
()

а при чем тут debian ? как всегда виноват криворукий админ, вон сервак под debian в инет смотрит и ничо...

1. (rsbac icf....)

2. и shell-ы раздаются (anarxi...)

так что не причем тут debian....

Sadistt0
()
Ответ на: комментарий от annonymous

>Ну, это же пошло... да и Sun-ch не опустится до такого маразма ;)
факт - есть факт. у саныча других "моралей", кроме как "надо юзать бздю" не прослеживается.

anonymous
()
Ответ на: комментарий от neru

Ну, скопернул, название сайтика подправил--и отчёт готов.(Можно ещё что-нибудь дописать...чтоб условия работы нужно улутшать...

Borys ★★
()
Ответ на: комментарий от anonymous

> А в чем мораль-то? То что все надо патчить? Так я это сам любому скажу.

неа... все и вовремя пропатчить невозможно. но между взломом и восстановлением прошло 10 дней :( Но! дальше чрута не ушли.

выполнение этих пунктов минимазируют потери и уменьшат время обнаружения вторжения.

1. надо по-максимуму ставить приложения в croot.

2. надо использовать host-based ids, типа tripwire, для оперативного оповещения админа.

А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Sergey.

anonymous
()
Ответ на: комментарий от anonymous

>> А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Лучше поздно чем никогда. Нас миллионы. Авось между ебанных и просклизнем.

anonymous
()
Ответ на: комментарий от anonymous

>> надо использовать host-based ids, типа tripwire,

ты видел такого админа который это не юзает? А может это и не админ был?

anonymous
()
Ответ на: комментарий от anonymous

> ты видел такого админа который это не юзает? А может это и не админ был?

не надо ерничать. заметили-то не сразу, посмотри хронологию событий.

Sergey

anonymous
()
Ответ на: комментарий от anonymous

> а намекну: взломали _линукс_, а не бздю.

Вы неправы. Взломали дебиан. А это недосистема. Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот дебиан ломают раз в неделю (стейбл конечно же, ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко). А раз в две недели его ломают у самих *.debian.org. Если сломали дебиан, это ещё ничего не значит. Т.е. если ломают дебиан - это штатная ситуация, всё в норма.

anonymous
()
Ответ на: комментарий от anonymous

Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно? Именно таких и ломают. И правильно делают, надо сказать... другим урок будет.

Да, по поводу ненормальности не прошёлся. Debian из всех ненормальных дистрибутивов - самый нормальный. Хотя бы потому, что там нет этих долбанных разгильдяйских X-утилит для конфигурирования, ради которых (только не говорите про обновления, которые вы ни фига не проплачиваете) вы и ставите "linux" и потом думаете, что это linux. В Debian'е, к его горю и к расхолаживанию егошных админов тулзы построены на ncurses. Тоже плохо, но всё же не так безнадёжно, на redhat-,yast и drake...

По поводу нормальности. Одним словом. Gentoo.

stark_lnx
()
Ответ на: комментарий от anonymous

> бо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко

вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

anonymous
()
Ответ на: комментарий от anonymous

> вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

Угу, я и говорю - дебиан :)

anonymous
()
Ответ на: комментарий от stark_lnx

> Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно?

А почему должно быть смешно? Потому что на лоре мандраку считают попсовым дистрибутивом и кто-то сказал что его легче ломать? Так не читайте вы лора, т.к. тут такое иногда скажут... на неокрепший мозг это действует удручающе :) Mandrake, а особенно 10, по security даст фору тому же SUSE или Conectiva (однояйцевый близнец) на 10 очков вперед. Один msec чего стоит. В общем - не читайте вы советских газет за обедом, коли филтьровать пустопорожний треп не умеете.

anonymous
()
Ответ на: комментарий от stark_lnx

> По поводу нормальности. Одним словом. Gentoo.

ну да. настолько засрать /etc не смог ещё никто...

o1o
()
Ответ на: комментарий от anonymous

я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, что что линукс используют а альтернативные ОС нет?

o1o
()
Ответ на: комментарий от o1o

> я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, > что что линукс используют а альтернативные ОС нет?

В том-то всё и дело. Если бы фряха бииздяха стояла хотябы на таком же количестве серверов, что стоит линух (ну или хотябы раза в два меньше), сломали бы фряху. Просто хакиры когда ломали, они не смогли сервер с публичным cvs под фрей найти.

anonymous
()

да пора уже открывать X freebsd Donation foundations чтобы фряху занесли в красную Книгу кибер природы..

ananymous
()
Ответ на: комментарий от anonymous

взломали *Linux*

> Вы неправы. Взломали дебиан. А это недосистема.

Взломали *Linux*. Была использована дырка в ядре.

> Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот

И чем же это угребище RH "нормально", позвольте осведомиться? Почему всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

>ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко).

Во-первых, я таки не пойму, для чего Вам машина нужна -- чтоб работать или чтоб все время чего-то обновлять?

А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК. А красноглазые все еще совершают магический ритуал обновления красной шляпы или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

P.S.

Вы все еще обновляете? А мы уже рубим!

Dselect ★★★
()
Ответ на: комментарий от o1o

ошибка в CVS?

А что это за ОСь такая шибко безопасная, что

1) из-за ошибки в одном сервисе можно поиметь всю систему,

2) переполнение буфера дает возможность выполнить *что угодно* ?

Dselect ★★★
()
Ответ на: взломали *Linux* от Dselect

> И чем же это угребище RH "нормально", позвольте осведомиться?

Например наличием execshield. А в mandrake пообще по-умолчанию grsec и стэк неисполняем. Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

> Вы все еще обновляете? А мы уже рубим!

Не вы рубите, а вас рубят. Это писец, дебиан бьет все рекорды. наверное только win85 дырявее...

anonymous
()
Ответ на: взломали *Linux* от Dselect

> Взломали *Linux*. Была использована дырка в ядре.

В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом... Не то, что RedHat, где впринципе нельзя повысить привилегии через переполнение буфера. Ну да какой там, это же дебиан. В принципе ничего страшного, говорю, это нормальная для него ситуация.

anonymous
()
Ответ на: ошибка в CVS? от Dselect

> А что это за ОСь такая шибко безопасная, что > 1) из-за ошибки в одном сервисе можно поиметь всю систему,

Эта ОС - дебиан. Нормальные дистрибуторы имеют 555 защит от этого (RH, SUSE, Mandrake)

> 2) переполнение буфера дает возможность выполнить *что угодно* ?

В дебиан - да. В RH, SUSE, Mandrake - нет.

anonymous
()
Ответ на: комментарий от anonymous

execshield — профанация

> Например наличием execshield.

Этот самый execshield -- полнейшая профанация. Защита от script kiddies. Хотите неисполняемый стек -- пользуйте нормальное железо, а не x86. На худой конец -- PaX.

> А в mandrake пообще по-умолчанию grsec и стэк неисполняем.

Опять таки, grsec -- убогие костыли. Хотите MAC -- пользуйте RSBAC или SELinux.

> Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

В случае с Debian крякер получил shell с помощью 3.1415зженого ssh key одного из разработчиков. Так что никакой PaX тут не поможет.

Dselect ★★★
()
Ответ на: комментарий от anonymous

> В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом...

Пардон, а с какого бодуна его нужно патчить? Или что, изделие горячих финских парней настолько отстойно, что его нужно обязательно довести до окончательной формы напильником?

Dselect ★★★
()
Ответ на: комментарий от Dselect

> Пардон, а с какого бодуна его нужно патчить?

Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие? Ты про разделение труда слышал? :)

anonymous
()
Ответ на: execshield — профанация от Dselect

> Этот самый execshield -- полнейшая профанация. Опять таки, grsec -- убогие костыли.

Я конечно понимаю, что ты считаешь, что все $удаки, а ты один принц на белом коне. Ты можешь теоретизировать и выдавать мудрые, на твой взгляд, мысли сколько угодно. Но, как говориться, собака брешет, а караван идет. Т.е. дебиановцы что-то там гундят все из себя в *опу стабильные, а имеют их строго каждую пятницу. Причем на их же собственныж серверах *.debian.org. В баню эту недоподелку.

anonymous
()
Ответ на: комментарий от anonymous

про разделение труда

> Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие?

Кому не жалко денег на оракел, купят Solaris, а не будут возиться с поделием финских пЫонеров...

P.S.

Вперед и с песней! Даешь патч на каждый чих!

Dselect ★★★
()
Ответ на: взломали *Linux* от Dselect

> Взломали *Linux*. Была использована дырка в ядре.

Не умеешь читать либо намерянно соврал. Покажи то место, где говорится
о взломе через дырку в ядре.

> всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

Плевать на RH, речь идёт о Debian. Все самые громкие взломы за
последнее время почему-то неизменно происходят именно на Debian...
Стоит задуматься.

> А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК.

Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)
Читай статью ещё раз внимательно, критик.

> или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве"
такая ситуация не могла произойти в принципе. Там пакеты цельные, и
если админ обновил cvs вовремя, то он обновился бы целиком, и взлома
не было бы. Вот такие интересные дела.

annonymous ★★
()
Ответ на: комментарий от annonymous

сам поставил — сам и обновляй!

> > Взломали *Linux*. Была использована дырка в ядре.

> Не умеешь читать либо намерянно соврал. Покажи то место, где говорится о взломе через дырку в ядре.

То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org, и там действительно использовали "ядерную" дырку...

> Все самые громкие взломы за последнее время почему-то неизменно происходят именно на Debian...

Примеры? Или это так, пустой треп?

> Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)

Какой-то [чм]удак решил, что он умнее dpkg и поставил софтину сам? Вот пусть САМ ее и обновляет.

> И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве" такая ситуация не могла произойти в принципе.

Это почему же? Что там, есть втроенная защита от дебилов, ставящих что попадя в /usr/local (или еще куда-нибудь).

> Там пакеты цельные, и если админ обновил cvs вовремя, то он обновился бы целиком, и взлома не было бы. Вот такие интересные дела.

1) Как может package manager обновить то, что ставилось без его участия? (Да и с какого бодуна он станет лезть туда, куда не просят?)

2) Что Вы имеете в виду под загадочной фразой "цельные пакеты"?

P.S.

А причина взлома, как всегда -- ламерство. Вместо того, чтоб пользовать RSBAC | SELinux, люди городят всякие chroot'-ы... :(

Dselect ★★★
()
Ответ на: комментарий от Dselect

> От глазок, своих собственных.

Куплен официально RHEL AS 3, и оракл прекрасно под ним живет на двух зионах и 4 гигах оперативки. На кой хер нужен этот солярис?

anonymous
()
Ответ на: комментарий от anonymous

> А какой ип сервака что под инет ?

194.109.137.218

anonymous
()
Ответ на: сам поставил — сам и обновляй! от Dselect

> То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org

Ау, смотрим заголовок треда и не летаем в облаках:
"Как взломали ruby-lang.org"

> Примеры? Или это так, пустой треп?

Глянь в архив ЛОРа за последние полгода. Я не говорю, что это
авторитетный источник, просто все самые громкие взломы тут обсуждались.
Взломы очень известных сайтов, включая сам дебиан.орг.

> Это почему же? Что там, есть втроенная защита от дебилов

Есть... дибилы отваливают на этапе инсталляции ;)

annonymous ★★
()
Ответ на: комментарий от annonymous

как взломали vasya.pupkin.com

> Ау, смотрим заголовок треда и не летаем в облаках: "Как взломали ruby-lang.org"

Ага, давайте еще узнаем, как взломали pupkin.muhosransk.net

> Взломы очень известных сайтов, включая сам дебиан.орг.

По-моему, было 2 или 3 таких случая, и везде пользовали дырки в ядре:

gnu.org -- ptrace exploit

debian.org -- do_brk exploit

Ах, да, еще этого гм... чудака Arpi ломали, который держал CVS, homepage, mailing list на potato (!), за 3 года не удосужился обновиться, шлакофил гребаный...

Dselect ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.