The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Критическая уязвимость и массовые взломы хостинг-панели VestaCP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от opennews (ok) on 09-Апр-18, 22:07 
В  web-панели управления хостингом VestaCP (http://vestacp.com/), распространяемой (https://github.com/serghey-rodin/vesta) под лицензией GPLv3, выявлена (https://www.digitalocean.com/community/questions/how-do-i-de...) критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена (https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=2...) в выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Всем пользователям VestaCP рекомендуется срочно установить обновление.


Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети  появились (https://forum.vestacp.com/viewtopic.php?f=10&t=16556) массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP.  Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh  или создания новых заданий в cron. Для временно защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в  VestaCP для доступа к API и аутентификации.


Судя по внесённым изменениям (https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11d...)  проблема вызвана передачей поступающих из вне аргументов в командой строке без предварительного экранирования символов. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных (https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11d...) мест (https://github.com/serghey-rodin/vesta/blob/b2e75d89b763cc82...), в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.


URL: https://www.digitalocean.com/community/questions/how-do-i-de...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48416

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +3 +/
Сообщение от th3m3 (ok) on 09-Апр-18, 22:07 
А я предупреждал, что вас эти php-панели до добра не доведут. Ну, вот, пожалуйста! Наслаждайтесь :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +24 +/
Сообщение от A.Stahl (ok) on 09-Апр-18, 22:09 
Угу, нужно переписать на Форт. Когда много писалось на Форт, то не было таких проблем. Вот.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +7 +/
Сообщение от xm (ok) on 09-Апр-18, 22:18 
Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не будет :-)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от qsdg (ok) on 09-Апр-18, 23:29 
тут даже форта не нужно, пхп-макаки даже от современного rust-а быстро скиснут, и пойдут искать другую работу
я не люблю когда язык сложный (rust, scala), но одно в них хорошо -- фильтруют дураков
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +12 +/
Сообщение от scalarust on 09-Апр-18, 23:52 
>но одно в них хорошо -- фильтруют дураков

и правда, умный человек не станет с этим связываться

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –4 +/
Сообщение от Аноним (??) on 10-Апр-18, 08:35 
И пойдёт себе спокойно водить такси среди таких же умных людей.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

46. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 10-Апр-18, 10:05 
А вам в голову не приходило, что на такси сбить человека насмерть можно, а на пхп нет. Лучше ли, если он пойдет водить такси, или фуру, или станет депутатом городской думы ?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от Диносуслик on 10-Апр-18, 12:43 
Скоро таксисты без работы останутся со всеми вашими ИИ и теслами
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

77. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Bicycle (ok) on 10-Апр-18, 20:23 
Ну а Теслы периодически будут направлять своих водителей в отбойники.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

85. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Аноним (??) on 11-Апр-18, 00:03 
> Ну а Теслы периодически будут направлять своих водителей в отбойники.

Но скорее всего намного реже живых водителей. Которые со всем этим прекрасно справляются.

Автопилот не набухается и не уснет за рулем. И скоростной режим не будет превышать. И залихватские маневры "хочу всех обогнать!" на занятой трассе с подрезаниями и провокациями выписывать не будет. И понтоваться какой он крутой, входя в поворот с дрифтом, мстить резкими торможениями и проч - тоже. Блондинки смогут до упора наводить марафет и трындеть по мобилке без ущерба для безопасности движения.

Поэтому если у водил забрать руль - на дорогах на самом деле станет гораздо безопаснее. Чисто статистически. Да, кто-то будет въезжать в отбойник. Но после отладки технологий это будет в 10 раз реже чем въезжают в отбойники здесь и сейчас. Инженеры давно усвоили что самое ненадежное звено любой системы - это человек.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

88. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от пох on 11-Апр-18, 02:08 
>> Ну а Теслы периодически будут направлять своих водителей в отбойники.
> Но скорее всего намного реже живых водителей. Которые со всем этим прекрасно

абстрактных в сферовакууме - да.

> Автопилот не набухается и не уснет за рулем. И скоростной режим не

мне больше интересно, сумеет ли он поймать машину с лопнувшим передним колесом. И сумеет ли уйти от смертельной аварии при встрече с такой машиной со встречки, в несмертельную, перестроившись кому-то в бок.

> Поэтому если у водил забрать руль - на дорогах на самом деле
> станет гораздо безопаснее. Чисто статистически.

но при этом в отбойник ты приедешь. А если тебя везет трезвый, незадолбанный и умелый водитель (и ты можешь его выбирать) - то вряд ли. В случае с современной теслой выбор за тобой, а вот если победит твоя точка зрения - можно будет выбрать только цвет кожи в салоне. Зато бебебебебзопастно!

> въезжают в отбойники здесь и сейчас. Инженеры давно усвоили что самое
> ненадежное звено любой системы - это человек.

успешные ручные посадки и стыковки потерявших управление космических аппаратов (плюс одно возвращение с неудачного выхода на лунную орбиту) - смеются над этими инженеграми. Надеюсь, не надо объяснять, как тестируется софт и сколько резервирования закладывалось со времен первых полетов в оборудование в космической отрасли?

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

93. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от Аноним (??) on 11-Апр-18, 06:56 
> абстрактных в сферовакууме - да.

Чисто статистически люди виноваты в большинстве транспортных происшествий на всем что ездит, плавает и летает. А натурные эксперименты когда живых операторов, диспетчеров и проч заменяли автоматикой - улучшали статистику.

> мне больше интересно, сумеет ли он поймать машину с лопнувшим передним колесом.
> И сумеет ли уйти от смертельной аварии при встрече с такой
> машиной со встречки, в несмертельную, перестроившись кому-то в бок.

Если задаться целью - почему нет? Это для тебя лопание и потеря управляемости - моментально. А для процессоров УЙМА времени чтобы заметить проблему и парировать. Например, инициировать крутое но корректное аварийное торможение, с реалтаймным модулированием тормозных усилий по всем колесам и подруливанием, поддерживая траекторию, с фидбэком по датчикам. Типа апгрейда ABS, чтоли. Так что для начала не будет вылета на встречку, например.

Кстати, каким бы шумахером ты ни был, ты не сможешь дать разные усилия на разные тормозные колодки при первом намеке на проблему. У тебя нет такой многозадачности и элементов управления.

> но при этом в отбойник ты приедешь.

Живые водители приезжают в отбойники чаще и больше. И на встречке чаще оказываются потому что "думал что обгоню". Но не успел, а там фура. И несут Шумахера на кладбище. Не менее резвые Шумахеры думают что проскочат перед поездом. Российский вариант - топить 150+ км/ч по неизвестной дороге. Шумахер умирает даже не успев понять что произошло.

> А если тебя везет трезвый, незадолбанный и умелый водитель (и ты можешь его выбирать) - то
> вряд ли. В случае с современной теслой выбор за тобой,

Ты видел мувик от Маска? Он показал как видит городскую транспортную систему. Я считаю что у него есть пойнт. Чисто технически.

> цвет кожи в салоне. Зато бебебебебзопастно!

Это не "моя точка зрения". Это "пути эволюции технологий". Есть ряд предпосылок, проблем и направлений развития технологий. И когда люди пробуют так и сяк и какие-то варианты работают лучше, ими начинают пользоваться.

> успешные ручные посадки и стыковки потерявших управление космических аппаратов (плюс одно
> возвращение с неудачного выхода на лунную орбиту) - смеются над этими инженеграми.

Однако когда надо летать каждый день, никому не надо геройство. Надо миллионы рейсов из A в B без происшествий. Желательно просто, быстро и дешево. Это верно и для большинства иных поездок. Поэтому авиаторы уже обвесились компьютерами и автоматикой и еще и близко не закончили процессы. Эйрбас уже может иметь свое мнение и имеет право оверрайдить ввод пилота. Автоматические системы поездов опять же имеют приоритет над решениями машиниста когда вопрос касается торможения. В конечном итоге поезда все чаще пускают и совсем без машинистов.

А герой может на раз оказаться подсудимым. Как те пилоты, выключившие исправный двигатель и севшие по частям на шоссе. Пилотирование у них конечно крутое для ситуации, за что их и посчитали героями. Но герои резко задаунгрейдились, когда стало понятно что они по запаре выключили НЕ ТОТ двигатель...

> Надеюсь, не надо объяснять, как тестируется софт и сколько резервирования
> закладывалось со времен первых полетов в оборудование в космической отрасли?

Это штучные мероприятия - другая специфика. У них не было миллиона вылетов к луне, чтобы набрать статистику о проблемах. В этом случае может потребоваться импровизировать по ходу пьесы.

Но это булшит для автомобилей, самолетов, поездов и кораблей. Для космоса такие методики станут актуальны, когда космос станет столь же ширпотребной частью жизни. Если на Марс будет летать 50 рейсов в день, никому не надо будет геройство. Надо чтобы привезли недорого и без приключений из места отправления в место назначения. И там компьютеры возьмут свое.

Ты ж должен понимать что штучные эксперименты одно, а эксплуатация в промышленных масштабах иное. Когда автомобилей миллионы, приходится писать ПДД, делать инфраструктуру и проч - это уже не "штучные эксперименты". И все пришло к моменту когда инфраструктуру кажется пора переосмыслить. Я думаю что это будет умное дорожное полотно, транспондеры и бортовые компьютеры. И чуть ли не запрет движения если ты не понимаешь вещание полотна и не можешь следовать им.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

98. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 11-Апр-18, 13:28 
> Чисто статистически люди виноваты в большинстве транспортных происшествий

пока они за рулем - они и будут виноваты. Уберешь - будет виновата автоматика. А снизится ли число происшествий с тяжелыми последствиями- ой, не факт.

> Однако когда надо летать каждый день, никому не надо геройство. Надо миллионы рейсов из A в B
> без происшествий.

и их выполняют живые пилоты, а не автоматы. Хотя рейсов именно миллионы, и, в принципе, системы последнего поколения в хорошую безветренную и без вертикального перемешивания погоду вполне могут посадить самолет (причем при нулевой видимости) вообще без вмешательства пилота (а взлетают и вовсе одной кнопкой - то есть если выставить конфигурацию по инструкции, и просто нажать TOGA - оно реально само взлетит, правда, низэнько). Причем зверушка эта - дорогая, вредная, ее без конца надо натаскивать, доучивать и переучивать, следить чтоб была выспатая и протрезветь успела - а результат вон в Алжире опять грохнулся.
Но даже Маску что-то не приходит в голову их "автоматизировать" и утилизировать, хотя автопилот изобретен шестьдесят лет назад, отбойников нет, правила движения - гаишник повесится с тоски, на каждый чих и пук отдельная инструкция, как его производить, отдельно в штатной ситуации и десятке нештатных, никаких "залипающих педалей газа", как у тойеты - индусу просто регламенты не дали бы использовать левый датчик. (к тому же у Боинга еще и своя софтовая разработка такая, что компьютерная индустрия нервно курит в сортире)

Ан, хрена там...

> Эйрбас уже может иметь свое мнение и имеет право оверрайдить ввод пилота.

под Нижним уже дооверрайдились - "убежал стабилизатор" (это именно автоматика охренела, а затраханные пилоты вероятнее всего просто не успели среагировать. Понятно, приличные компании добавили в тренажерную практику еще стомиллионный пункт, но вот поможет ли оно кому-то - большой вопрос.)

> Это штучные мероприятия - другая специфика. У них не было миллиона вылетов к луне, чтобы
> набрать статистику о проблемах.

да, но и "водитель" эту баранку не на тренажере держал в руках в первый и, чаще всего - последний раз в жизни, единицы летали командирами хотя бы дважды. С такой подготовкой ты даже самому лояльному гаишнику на права не сдашь. При этом каждый раз, когда экипажу вообще оставляли такую возможность - он справлялся, в космoнавтике нет, насколько я знаю, потерь из-за ошибки пилота (оператора - были), патамушта очень страшно.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

39. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +9 +/
Сообщение от angra (ok) on 10-Апр-18, 09:43 
Для самых юных, которые не застали, и старых, которых уже подводит память, сообщаю, на рубеже веков самым популярным языком тогдашних веб девелоперов был Perl. Да, тот самый, который сейчас большинство не осиливает. Никакой фильтрации дураков при этом не наблюдалось и близко, уровень большей части кода был настолько низким, что современный код на пыхе, включая сабж, на этом фоне кажется шедевром. Так что рассказы про порог вхождения и фильтрацию дураков это от незнания истории и непонимания простой мысли - чтобы писать на языке, его вовсе не обязательно осваивать полностью.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

49. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от xm (ok) on 10-Апр-18, 10:30 
Я настолько стар (я супер стар!), что помню всё, поэтому Perl против Forth это как английская письменность супротив китайской.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

69. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от имя on 10-Апр-18, 14:36 
и чем же форт так страшен/силен? перекладываешь на стек данные и делаешь вызов для их обработки, обычный язык, но постфисной записью.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

71. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от xm (ok) on 10-Апр-18, 15:59 
Далеко не обычный. Он своей логикой большинство всегда пугал. Как кто-то сказал "форт выворачивает мозг". Я же не просто так с китайской письменностью сравнил. Механизм определения слов и их строй где-то похожи на принципы формирования иероглифов.
В любом случае, неосиляторов в сравнении с тем же Perl будет на пару порядков больше.
Кстати, желающие могут посмотреть на код in the wild в загрузчике FreeBSD (файлы .4th)
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

72. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +2 +/
Сообщение от 1 (??) on 10-Апр-18, 16:50 
Причём тут китайцы ? Обычная польская запись как в мк-62
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

76. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от xm (ok) on 10-Апр-18, 20:11 
Я понял, что вы не поняли.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

78. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от angra (ok) on 10-Апр-18, 20:32 
Тут лучше вспомнить программируемые МК-61 и МК-52. Они в базовом использовании посложнее форта будут, так как нельзя нормально определять функции/термы и стек ограничен. Тем не менее их осваивали все. Для молодого мозга это вопрос пары дней.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

86. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от Аноним (??) on 11-Апр-18, 00:12 
> Тем не менее их осваивали все. Для молодого мозга это вопрос пары дней.

Это на самом деле обычный ассемблер. Просто кривой, первобытный и потому весьма угребищный, как и вся архитектура процессоров МК-*. Даже ассемблистов это задолбало и они таки нагородили себе макроассемблеров со всяким пижонством. Где можно больше программировать и меньше бороться с искусственными трудностями интерфейса и проч. А с появлением более крупных систем и разных процессорных архитектур так и вовсе K&R си придумали, который попер большинство ассемблеров. Потому что позволяет почти все системные трюки, но без таких мучений. Да еще кроссплатформенно, если это таки не очень системное.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

89. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от angra (ok) on 11-Апр-18, 03:02 
Ну как напишешь компилятор С для МК-61, так возвращайся. Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в то же количество байт, а потом уже рассказывать об угребищности. Не забудь сравнить стоимость и компактность персоналки и программируемого калькулятора 30 лет назад.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

91. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Аноним (??) on 11-Апр-18, 04:40 
> Ну как напишешь компилятор С для МК-61, так возвращайся.

Там компилятор нужен мозгам того кто это непотребное гвоно разрабатывал и смел выпускать в такие даты на календаре.

Просто для понимания, у меня валяется железка с датой выпуска как МК61, который у меня тоже где-то валяется. Только внутрях Z80, чтоли. RAM, ROM, LCD 16х2 строки текста, на легендарном HD44780, кста (чип до сих пор в ходу). И это лишь немного больше того МК61. ROM монитор даже встроенный. Хоть програмизм там и вообще побочное занятие, для дебага.

В чем отличие? Эта хня на Z80 - полноценный промышленный контроллер. Пока вы страдали дорчивом с убогим 1-битным процом и его куцей памятью, запад уже переводил свою промышленность на новые рельсы. И мир менялся.

> Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в
> то же количество байт, а потом уже рассказывать об угребищности.

Очередное спервадобейся. Весьма пресное. А это все зачем? И что докажет? Убогая скорость вычислений 1-битной хни с тактовой в килогерцы от этого не повысится. Куцая память от этого не позволит сильно больше. Траходромный способ ввода программы эффективнее не станет. И общая польза этого артефакта - чуть выше логарифмической линейки, пардон.

С чисто практической точки зрения я лучше 32-битный МК попрограмлю. В фигне с тетрадную клеточку размером ресурсов больше чем у спекки, можно жесткий реалтайм изобразить и порулить наносекундами, померять все физические величины аналогом, перекинуться данными с другими по цифровым шинам и проч. И это намного полезнее и актуальнее чем др0ч с оптимизацией под убогую память убогой системы.

> Не забудь сравнить стоимость и компактность персоналки и программируемого калькулятора
> 30 лет назад.

У меня так валяется вполне компактная штука на z80. Сколько она стоила тогда я без понятия, но МК61 тоже по меркам советских зарплат дешевизной никак не отличался. И если мерять в юнитах типа "зарплата инженера за месяц" как мне кажется может получиться очень похожая величина.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

97. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от angra (ok) on 11-Апр-18, 11:31 
Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и это травмировало нежную психику?
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

101. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 11-Апр-18, 18:04 
> Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и это

у него в детстве был z80. А у тебя не было, хиххи, неудачник.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

102. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от scorry (ok) on 11-Апр-18, 18:21 
> Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и это
> травмировало нежную психику?

Он просто его не освоил.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

100. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 11-Апр-18, 18:03 
> Там компилятор нужен мозгам того кто это непотребное гвоно разрабатывал и смел
> выпускать в такие даты на календаре.

э...если что, это сейчас был наезд на фирму HP.
То, с чего был содран Бз-38 и предыдущий, 2какой-то (насчет того, были ли 61/52 содраны с каких-то более других моделей хепе или это собственное развитие 38го - не в курсе, но схемных отличий там минимум, индикатор и кнопки поменялись) - дальний предок
https://en.wikipedia.org/wiki/HP_35s (там поройтесь в ссылках - найдете более старые модели, с которых оно и было содрано).

hp15c все еще можно купить новые, а клоны и по сей день выпускаются китайцами.

>> Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в
>> то же количество байт, а потом уже рассказывать об угребищности.
> Очередное спервадобейся. Весьма пресное. А это все зачем? И что докажет? Убогая

чтоб работало с той же скоростью ;-)

> тогда я без понятия, но МК61 тоже по меркам советских зарплат
> дешевизной никак не отличался. И если мерять в юнитах типа "зарплата

его еще и купить просто так было нельзя. То есть зарплата у тебя может и была, а в магазине можно было лососнуть тyнца совершенно даром. Советское ценообразование было совершенно оторванным от реальности. Но оригинал стоил где-то $150. Тех еще, по 65копеек. То есть по нынешним меркам в районе $800-1200, ну, инженер мог себе позволить, поголодав недельку-две.

калькуляторы с недо-фортом, если что, хепе тоже выпускала.

А нормальные выпускала тогда и выпускает по сей день - Ti. Без уродской обратной записи, еще тогда. Современный на Lua программируется ;-) Но, как обычно, советская промышленность для сдирания выбрала что похуже.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

50. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от пох on 10-Апр-18, 10:30 
> Никакой фильтрации дураков при этом не наблюдалось

наблюдалось: дураки писали код с уязвимостями сами, а "умные" получали дыру в CGI.pm из правильно оформленного репозитория, разумеется, напрочь изолированного от системных методов управления пакетами и, соответственно, автоматических апдейтов (правда, авторы перла тут не очень виноваты, они пытались. Авторы go и пихона уже и не пытаются, "давайте ставить все в $HOME")

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

54. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от scorry email(ok) on 10-Апр-18, 10:45 
Кстати да. Раньше скрипты копировали и прикручивали фекально-дендральным методом, и сечас та же самая ситуация.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

14. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от пох on 09-Апр-18, 23:43 
> Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не
> будет :-)

нынешние программисты обломаются гораздо раньше, поэтому как пользовали мы "панели", написанные на пехепе, так и дальше будем. Впрочем, нет, пехепе тоже немодно, надо непременно написать свой (дырявый) вебсервер на сях, как у (нрзб) ispmgr.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

43. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноне on 10-Апр-18, 09:53 
И как же вызываются системные приложения и скрипты из фреймворков на других языках? Не у ж то ритуалами и окуриванием?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от YetAnotherOnanym (ok) on 10-Апр-18, 10:49 
Во-первых, не обязательно дёргать именно приложение - во всех языках, которые я знаю, предусмотрен способ дёрнуть внешнюю либу на С. Если такой либы нет - можно залезть в исходники этого "системного приложения", скопипастить соответствующий фрагмент кода (мы же тут все опенсорсники, верно?), скомпилить его как либу и дёргать за пимпочки как душа пожелает.
Во-вторых, есть такие понятия, как  санитизация и defang (не знаю русского эквивалента, может, кто-нибудь подскажет), суть которых в том, чтобы при вызове системного приложения (в shell) ему передавались только такие переменные, какие оно должно получить, а не те, которые хакер с другого конца глобуса завернул в запрос. Например, в Erlang вызов внешней программы считается вполне кошерным (и даже предпочтительным с точки зрения безопасности) способом использования стороннего кода. Только эту программу пишет сам Erlang-разработчик с использованием включённых в Erlang сишных либ для обмена данными между ней и ErlangVM, и если что-то во входных данных не так, как ожидается - внешняя программа крашится, связанная с ней нить EVM пристреливается и респавнится, запуская новый инстанс внешней программы. Пойди, взломай.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

57. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +3 +/
Сообщение от ПупкинВасуасилий on 10-Апр-18, 12:40 
>>скопипастить соответствующий фрагмент кода

Я уверен, что ты не просто стреляешь себе в ногу. Ты на обрез садиться пытаешься.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от пох on 10-Апр-18, 12:56 
>>>скопипастить соответствующий фрагмент кода
> Я уверен, что ты не просто стреляешь себе в ногу. Ты на
> обрез садиться пытаешься.

тут больше похоже - на ядерную ракету. Причем до выстрела дело не дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться или травануться горючим - не один раз.

Поставленная задача при этом заключается в том, чтобы прибить скворечник.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

68. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от YetAnotherOnanym (ok) on 10-Апр-18, 14:21 
> тут больше похоже - на ядерную ракету. Причем до выстрела дело не
> дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться
> или травануться горючим - не один раз.
> Поставленная задача при этом заключается в том, чтобы прибить скворечник.

Ну, допустим, надо прибить скворечник, а молотка нет. Ядерная ракета осматривается со всех сторон, ввиду неустранимого несходства с молотком оставляется в покое, после чего из ЗИПа достаётся молоток и используется по назначению.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

67. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от YetAnotherOnanym (ok) on 10-Апр-18, 14:16 
> Я уверен

Ты ошибся.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

80. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от angra (ok) on 10-Апр-18, 20:44 
> И как же вызываются системные приложения и скрипты из фреймворков на других  языках? Не у ж то ритуалами и окуриванием?

Ну например в perl функция system  позволяет задать аргументы в отдельных параметрах. То есть первый аргумент это имя скрипта, все последующие это его параметры. И вот уже волшебным образом нет никаких проблем с экранированием, так как разборка команды шеллом не производится вообще. Но можно конечно и как в php собрать комманду в одну строку из кусков и скормить как одно целое. Perl не запрещает стрелять себе в ногу, лишь предоставляет способы этого не делать.


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

82. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от mickvav on 10-Апр-18, 22:58 
Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках не накосячить. А если этого не делать - всяк напорешься - ну ушел от шелла при разборе system-а, а что если ты system-ом шелловский скрипт вызвал, и уже он не думая передаст твои неэкранированные параметры куда-то ещё?
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

90. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от angra (ok) on 11-Апр-18, 03:12 
> Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под  которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках  не накосячить.

Согласен, но вопрос то был про другое.

> ну ушел от шелла при разборе system-а, а что если ты  system-ом шелловский скрипт вызвал, и уже он не думая передаст твои  неэкранированные параметры куда-то ещё?

То это будут уже проблемы автора шелловского скрипта :)


Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

45. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от А (??) on 10-Апр-18, 09:57 
Еще один говоритель. А на чем писать, чтобы было железобетонно безопасно, ты не говорил тогда же? А про руки, которые пишут, ты не говорил? А сам сколько написал массового, но такого, что не взломали? Лично свою систему управления домашним роутером можно не вспоминать, она всегда безопасна, потому что никому не нужна.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

83. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 10-Апр-18, 23:52 
она же на bash
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

104. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Иосиф Виссарионович Сталин email on 14-Апр-18, 01:38 
И не говори. Ведь дыры есть только в ПохаПэ.
А так везде все супер.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +7 +/
Сообщение от fi (ok) on 09-Апр-18, 22:28 
> аутентификация организована через вызов shell-скрипта

Надо же! а я думал таких идиотов уже в природе нет — типа все вымерли. помню ещё в PSA такою дрянь выкашивали

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +4 +/
Сообщение от YetAnotherOnanym (ok) on 09-Апр-18, 23:08 
> таких идиотов уже в природе нет — типа все вымерли

У них респавн рейт высокий.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 09-Апр-18, 23:13 
>проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов

Боже, веб-макак жизнь ничему не учит.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –2 +/
Сообщение от Вася (??) on 09-Апр-18, 23:02 
Панелька-то хорошая, надеюсь прокашляется
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от qsdg (ok) on 09-Апр-18, 23:31 
> Панелька-то хорошая, надеюсь прокашляется

надеюсь, нет
по моему опыту, безопасные программы пишутся с оглядкой на безопасность с самого начала, потом "прокашляться" не получится, только переписыват с нуля

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –2 +/
Сообщение от th3m3 (ok) on 10-Апр-18, 01:14 
Как она может быть хорошей, если она на php? А потом вот такие новости.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

84. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 10-Апр-18, 23:55 
Макаки остаются макаками независимо от ЯП. А пых "виноват" лишь тем что у него порог вхождения низкий. Ну а что, на питоне в bitmessage посадили фееричную дыру с eval внешних данных. Да даже энтерпрайзные жабисты с апач спрутом наломали дров, так что мало не показалось.

Конечно бывает так что ЯП очень сильно помогает прострелу пяток, как тут в примере с шеллскриптами и экранированием. Но это больше всего характерно для ЯП и протоколов повернутых на тексте и поэтому потенциально неустойчивых к пичканию их тем что текстом не является или специально подогнанным текстом, который целенаправленно рушит изначально задуманную структуру чтобы извлечь из новой трактовки внешних данных какую-то пользу.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

8. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Аноним (??) on 09-Апр-18, 23:11 
Шелл-скрипты — лидер на рынке выстрелов в ногу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 09-Апр-18, 23:20 
> Шелл-скрипты — лидер на рынке выстрелов в ногу.

Вообще-то не шелл, а неумение думать [о последствиях].  Например, в данном разе явно не думали, что проблема вообще-то в обработке недоверенных входных данных :-(

PS: *беспечной обработке, разумеется.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от пох on 09-Апр-18, 23:40 
> Вообще-то не шелл, а неумение думать [о последствиях].

оно, обычно, сочетается. Почему? Потому что мне вполне хватило одного раза, на заре карьеры, потрахаться с кодом сайта, написанным на shell, это упражнение на расстановку кавычек я еще долго вспоминал с позывами на проблев.

люди, которые умеют думать, выберут инструмент, более подходящий для такой задачи.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Алконим on 10-Апр-18, 02:26 
С кавычками там конечно перебор.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +4 +/
Сообщение от Анонисмус on 09-Апр-18, 23:43 
"в данном разе" - интересный оборот.
Это что-то типа украинского "у цьому разі"?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +5 +/
Сообщение от universite (ok) on 10-Апр-18, 02:06 
У цьому випадку
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +2 +/
Сообщение от KonstantinB (ok) on 10-Апр-18, 00:38 
Судя по changeset-у, там не столько шелл или пхп, сколько головной мозг. Они пароли передавали из PHP в шелл-скрипты через временный файл в /tmp. В плейнтексте.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

40. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 10-Апр-18, 09:44 
вообще-то это лучший способ из имеющихся и вполне безопасный (если не запутаться с mkstemp).
Предложите другой, если пароли нам нужны для валидации в чем-то (то есть нужен именно пароль, а не его хэш).
Псевдотерминалы не предлагайте, это сразу нах... с пляжа без панамки.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

75. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от KonstantinB (ok) on 10-Апр-18, 18:10 
> то есть нужен именно пароль, а не его хэш

Так посмотри на патчи. Там именно что хэша более чем достаточно.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

21. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Anonim (??) on 10-Апр-18, 02:00 
> Шелл-скрипты — лидер на рынке выстрелов в ногу.

Ружьё — лидер на рынке выстрелов в ногу.

Кэп набегает.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

94. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 11-Апр-18, 07:07 
Ты не Кэп, ты Генерал Фэйлор. Из ружья стрелять себе в ногу не особо то удобно. Вот пистолет - это да...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

17. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Аноним (??) on 10-Апр-18, 00:26 
У меня так один сервер сгорел, даже бекапа не было. Я идиот.
Второй чуть сегодня потерял... Придется отказываться от недопанели, что они там еще найдут я не знаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +5 +/
Сообщение от 1 (??) on 10-Апр-18, 07:54 
А с братом-то что ?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

63. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноноим on 10-Апр-18, 13:54 
Жив, пишу с него.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

95. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 11-Апр-18, 07:08 
> Жив, пишу с него.

А, так это ты тот исследователь который сканер мозга хакнул? Ну и как mind sharing? Доставляет?

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

20. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +2 +/
Сообщение от Аноним (??) on 10-Апр-18, 01:19 
v-list-sys-vesta-autoupdate
Enabled
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –2 +/
Сообщение от Тот_Самый_Анонимус on 10-Апр-18, 06:39 
>под лицензией GPLv3

Ясно, понятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от Hellraiser email(??) on 10-Апр-18, 07:37 
web-панели управления - это зло; консоль, только консоль
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от 1 (??) on 10-Апр-18, 07:55 
В консоли же shell - и, как запостили выше, он стреляет по ногам
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

42. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 10-Апр-18, 09:47 
> web-панели управления - это зло; консоль, только консоль

бздынь, звонок в три часа ночи выходного дня - мы только что придумали новый домен и уже оплатили - заведи новый сайт! (вариант "только что вышел на работу новый девелопер из Бангалора, у него уже утро и ему нужен ftp логин")
Нет, никаких доплат за сверхурочную работу - у тех кто использует панели, звонить великому админчегу не требуется, пользователь может выполнить нужные ему действия сам. А фанат консолей пусть пашет бесплатно.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

81. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от th3m3 (ok) on 10-Апр-18, 21:39 
На такие случаи, ничего не мешает написать свой функционал.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

87. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от пох on 11-Апр-18, 01:48 
> На такие случаи, ничего не мешает написать свой функционал.

этот функционал в законченном виде и называется "панель управления виртуальным хостингом".
Как напишете - приходите, посмотрим. Вдруг свершится чудо и получится лучше чем cpanel.

хотя без понимания задачи - это вряд ли. А оно (судя по стертым роботом-$@том комментам) даже не на зачаточном уровне, так что даже и vesta не выйдет.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

96. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 11-Апр-18, 07:24 
> На такие случаи, ничего не мешает написать свой функционал.

А с чего ты взял что там глупых багов будет меньше чем в сабже? Ты мягко говоря не похож на эксперта по безопасности компьютерных систем, для начала.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

103. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от th3m3 (ok) on 11-Апр-18, 21:33 
Меня мягко говоря, не волнует, похож я на кого-то или нет.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

32. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от DAV email on 10-Апр-18, 08:11 
Сам троян написан на плюсах. Оригинал тушки создан в 2015.
На virustotal его имена типа "Linux.DDoS.Xor.4"
libudev.so имеет размер -- 625611
порождаемые им потомки -- 625622, имеют рандомные имена в 10 символов
Руками прибивается легко. Не сопротивляется сильно.
Главное постараться прибить сразу все экземпляры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –1 +/
Сообщение от Аноним (??) on 10-Апр-18, 08:54 
>Руками прибивается легко. Не сопротивляется сильно.

Главное постараться прибить сразу все экземпляры.

Вообще-то это антивирус делать должен.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

92. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +/
Сообщение от Аноним (??) on 11-Апр-18, 04:46 
> libudev.so имеет размер -- 625611

Его что, дельфисты писали?!

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  +1 +/
Сообщение от DAV email on 10-Апр-18, 09:04 
...Должен конечно.
Я одного прибитого вируса пол-года проверял всяческими антивирусами.
Никто не признавался.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Критическая уязвимость и массовые взломы хостинг-панели Vest..."  –5 +/
Сообщение от Аноним (??) on 10-Апр-18, 09:22 
> VestaCP, распространяемой под лицензией GPLv3

GPL v3, этим все сказано..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от ryoken (ok) on 10-Апр-18, 09:42 
> Для временно защиты от атаки можно отключить панель
> ("service vesta stop") или закрыть доступ к сетевому порту 8083, который
> по умолчанию используется в  VestaCP для доступа к API и
> аутентификации.

Я вот как-то не понял, эта самая панель тоже хвостом в Ынет торчит, как и веб-сервер? (плохо разбираюсь в этом). За OpenVPN затолкать её вообще никак нельзя?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от angra (ok) on 10-Апр-18, 09:47 
Можно, но это будет неудобно использовать. И подавляющая часть пользователей выбирает удобство, а не безопасность.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 10-Апр-18, 09:54 
> Можно, но это будет неудобно использовать.

это будет вообще никак неможно использовать - кто вам сказал что пользователю разрешено ставить какой-то еще "openvpn" на то, с чего он пользуется? (кстати, оно по сей день требует админа чтобы настроить маршрутизацию, или все же научилось как-то само?)

> И подавляющая часть пользователей выбирает удобство,
> а не безопасность.

openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да и написан довольно странными людьми.
(и для пользователя, что характерно, тоже - а следить за ними некому обычно)
одна видимость безопасности, да и та за счет эффекта неуловимого джо.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от ryoken (ok) on 10-Апр-18, 10:09 
> openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да
> и написан довольно странными людьми.
> (и для пользователя, что характерно, тоже - а следить за ними некому
> обычно)
> одна видимость безопасности, да и та за счет эффекта неуловимого джо.

Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +1 +/
Сообщение от Аноним (??) on 10-Апр-18, 10:17 
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

ssh умеет l2 туннели, за все время существования не припомню никаких намеков на дыры, но кроссплатформенность так себе.


Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 10-Апр-18, 10:40 
> ssh умеет l2 туннели, за все время существования не припомню никаких намеков
> на дыры, но кроссплатформенность так себе.

что, так опоздали родиться, что и remote root в sshd "не припомните"?
"так себе" у него производительность (как и у любого tcp-туннеля) - а с кросс-платформенностью все в порядке.

только вот к юзеру в мухосранск сами поедете туннели настраивать.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

64. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от Аноним (??) on 10-Апр-18, 14:02 
> что, так опоздали родиться, что и remote root в sshd "не припомните"?

Вспомни еще как в 91 останкино штурмовал.

> "так себе" у него производительность (как и у любого tcp-туннеля) - а
> с кросс-платформенностью все в порядке.

Ну покажи хоть один роутер который из каробки умеет, или под андроид что-то приличное

> только вот к юзеру в мухосранск сами поедете туннели настраивать.

Чувак, ну предложи что-то получше, а я тебе расскажу куда с этим сходить

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

74. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от Аноним (??) on 10-Апр-18, 16:53 
Поприличней Cisco VPN client, но он закрыт и не бесплатен.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

99. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 11-Апр-18, 13:35 
> Поприличней Cisco VPN client, но он закрыт и не бесплатен.

открытой (для linux/free) альтернативе сто лет в обед, правда, в ней раз в месяц "мы (опять) починили rekeying, оно больше точно не будет отваливаться", но первые пять минут работает. Но приземлять-то его на чем, не на LEDE же-ж...

(надо заметить, родная цискина линукс-версия, когда еще работала, была всем отвратительна - от методов и подходов до стабильности работы. С другой стороны - у встроенной в iOS проблем "почему-то" нет.)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

51. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от xm (ok) on 10-Апр-18, 10:37 
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

PureVPN в быту давно пользуем
https://goo.gl/gDqZJM

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

61. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 10-Апр-18, 12:59 
>> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).
> PureVPN в быту давно пользуем

товарищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а только те, кому хотя бы ssl-серт выдали.

или я не понял задачу.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

62. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от ryoken (ok) on 10-Апр-18, 13:21 
> товарищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный
> сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а
> только те, кому хотя бы ssl-серт выдали.
> или я не понял задачу.

Ходить на домашний роутер с LEDE :D. Ну и с веб-морды пинать через etherwake сундук, чтоб готов был, когда до дому добираюсь. Тут ещё про wirreguard писали, но я про него мало что понял, и не особо понял, есль ли он сейчас в LEDE. А всякий SoftEtherVPN трогать неохота, вроде как оно из вантуза только управляется.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

79. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 10-Апр-18, 20:44 
> Ходить на домашний роутер с LEDE :D. Ну и с веб-морды пинать

ssh чем не подходит?

> всякий SoftEtherVPN трогать неохота, вроде как оно из вантуза только управляется.

оно текстовым конфигом управляется, но надо уметь, да. Интуитивно-приятная управлялка только в винде.


Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от xm (ok) on 10-Апр-18, 14:02 
> товарищу вроде не "сервис"

Ну, как я понял, "сервис" имелся ввиду как услуга. Иначе написал бы "сервер" или "протокол". Тем более на этом-то ресурсе.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

52. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  +/
Сообщение от пох on 10-Апр-18, 10:38 
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты на винде, сервер на freebsd, где есть нормальный серверный код, если у вас не она - виртуалка помещается в 256m, винду вы в такое не утрамбуете) Почти все горе-операторы связи уже научились его не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.

Если не работает - я голосую за ssl-vpn, если нет денег на цискин - значит, имени японой матери.
Но количество этих юзеров должно быть счетным и их держать на особом контроле.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

66. "Критическая уязвимость и массовые взломы хостинг-панели VestaCP"  –1 +/
Сообщение от Аноним (??) on 10-Апр-18, 14:10 
> для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты
> на винде, сервер на freebsd, где есть нормальный серверный код, если
> у вас не она - виртуалка помещается в 256m, винду вы
> в такое не утрамбуете) Почти все горе-операторы связи уже научились его
> не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.

л2тп, бсд, ахаха, уносите

> Если не работает - я голосую за ssl-vpn, если нет денег на
> цискин - значит, имени японой матери.

ssl, циски, - закoпайте

> Но количество этих юзеров должно быть счетным и их держать на особом
> контроле.

на особом контроле? - святой водой полейте.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor