forum.opennet.ru

"В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..."	+/–
Сообщение от User294 (ok), 16-Июн-10, 14:28
>для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха. Такого это какого? Сетевые сервисы у мало-мальски вменяемых админов живут под обычным лузерским аккаунтом, который не способен на какой-то особый дестрой. Спасибо если без чрута и прочая вообще. Ну можно повесить спамбота/прокся как максимум, если повезет. >как любишь выражаться ты, есть 100500 способов показать совсем не то, что >на них хранится. С правами стандартного юзера и спасибо еще если не в чруте? Показать что-то левое?! Перемаунтить ФС? Только если юзер не апдейтит систему напрочь и там есть еще и дыра для подъема привилегий, так что операционка фэйланет свое прямые обязанности по дележке прав и защите юзеров друг от друга. А в исправной многопользовательской системе с этим слегонца болт, как бы. Да и есть вот у вас сквошфс допустим. Гигз так на много, например. Чтобы в него что-то дописать - его надо целиком слить, распаковать куда-то, там пропатчить, перекомпрессовать заново и влить образ одним чихом на место старого. Довольно нехилая пачка действий которая потребует задействования сторонних машин с приличным местом на диске + долго и сгенерится адская прорва траффа + врядли обойдется без побочных спецэффектов типа ребута. Только совсем дубовый и пофигистичный админ не заметит такую левую активность. А если еще и учесть что нам при юзеже сплойта не особо то и известно где сервак стоит, какой куда у этого юзера доступ и прочая - строго говоря сплойтить что-то через эту дыру вообще довольно геморно. И работает бэкдор несколько глючно порой почему-то (честно говоря я не догоняю как умудряется глючить столь тривиальный код в реальном ирцд). >зы: >ничо если я остальной тролиг пригнорирую? Шпагу не забудьте, уважаемый Д`Артаньян :)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В поставке открытого IRC-сервера UnrealIRCd обнаружен троянс..., opennews, 13-Июн-10, 11:40 [смотреть все]

Чем от этого защититься Кто-нибудь знает подробные статьи о контроле содержимог, Zenitur, 13-Июн-10, 11:40 (1) //
- цифровые подписи больше ничем ну или публикацией хеша , mma, 13-Июн-10, 11:51 (4) //
  - подписи к сожалению тоже весьма уязвимы, на вскидку их можно тупо подменить, или, thirteensmay, 13-Июн-10, 14:45 (11) //
    - А приватный ключ вы где возьмете для подмены подписей Ессно он должен храниться, User294, 13-Июн-10, 16:24 (20)
      - Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным и б, Василий, 13-Июн-10, 23:00 (44)
        
        угу только ломали не RedHat, а Fedora А это всё таки разница и какая Но ред, aaim, 14-Июн-10, 14:45 (63)
        
        Освежу как я вам память пожалуй Внимательно прочитайте вот эту статью http ww, Василий, 14-Июн-10, 16:12 (66)
        
        А ничего что исходный код не пострадал Взломали какое-то банальное зеркало файл, Аноним, 14-Июн-10, 17:10 (67)
        читайте лучше первоисточник http rhn redhat com errata RHSA-2008-0855 html , aaim, 15-Июн-10, 00:22 (104)
        
        А у федоры вроде ж не упирали, они из предосторожности сменили IIRC Унесут вмес, User294, 15-Июн-10, 12:36 (114)
    - уязвимы, но дают большую защиту от случаев получения контроля над ftp сервером, Аноним, 13-Июн-10, 16:43 (25)
      - это да, возможно народ считает что вероятность и последствия злоконтроля ftp мен, thirteensmay, 13-Июн-10, 20:29 (32)
- Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить Squid , pavlinux, 13-Июн-10, 14:54 (13) //
  - Тогда можно подменить данные в кэше squid или сам squid заменить на модифицирова, F, 13-Июн-10, 15:25 (15) //
    - Тогда Сквид обнаружит не совпадение и обновит кэш А так же glibc, ядро, заменить, pavlinux, 13-Июн-10, 21:46 (34)
  - цвс-репа не пострадала а в тар после создания наверное никто кроме взломщика и, аноним, 13-Июн-10, 16:42 (24)
  - Пробовал раздавать торренты, лежащие на DVD-R Спать невозможно Всё время лаз, Zenitur, 13-Июн-10, 21:32 (33) //
    - У торрента, во время его работы, образуется по сути своя ФС Так что RANDOM READ, pavlinux, 13-Июн-10, 21:55 (35)
      - Обычное биение файла на блоки и битовая карта Ну, допустим, не совсем рандом П, User294, 15-Июн-10, 15:35 (118)
  - Можно в принципе воткнуть в систему read only флеш Сейчас уже 16 гб Так что DV, Михаил, 14-Июн-10, 18:03 (76) //
    - а монтирование в ридонли фс в ядре уже забанили хотя все что тут натролили - ред, аноним, 14-Июн-10, 20:57 (95)
      - Придет хаксор и перемаунтит в RW И Хотя если ФС squashfs тогда не перемау, User294, 15-Июн-10, 15:38 (119)
        
        для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха как любишь выр, аноним, 15-Июн-10, 19:13 (128)
        
        Такого это какого Сетевые сервисы у мало-мальски вменяемых админов живут под об , User294, 16-Июн-10, 14:28 (141)
        
        правильно сказал, у лузерских Dесли на твоем сервере любую фс может перемонтиро, аноним, 16-Июн-10, 20:11 (143)
        
        Они такие и должны быть у сетевых сервисов, иначе потом в случае аварии - от а, User294, 17-Июн-10, 19:29 (149)
    - Можно и на винч В какомнить squashs Который тупо readonly, по определению Что, User294, 15-Июн-10, 15:46 (121)
- В репозитариях систем портирования ПО обычно хранится хеш сорца при загрузке он, PereresusNeVlezaetBuggy, 13-Июн-10, 20:17 (31) //
  - Дятлы, чего ещё сказать Даже нет желания проводить анализ и разбор полётов, п, pavlinux, 13-Июн-10, 22:03 (36) //
    - Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком до, PereresusNeVlezaetBuggy, 13-Июн-10, 22:08 (38)
      - Надо изучать не сколько это стоит, а кому это нужно Там и искать Мухи там - где, pavlinux, 13-Июн-10, 23:11 (45)
        
        gt оверквотинг удален Причём сразу появится несколько таких центров, потом их , PereresusNeVlezaetBuggy, 13-Июн-10, 23:57 (46)
        
        Взлом центра - подмена ключей - замена исходников жертвы - обнаружение взлома, pavlinux, 14-Июн-10, 00:56 (47)
        
        Не-не-не В центре ведь не исходники хранятся, а ключи Поэтому взламывать надо , PereresusNeVlezaetBuggy, 14-Июн-10, 01:31 (48)
        
        В общем, схема мне самому понравилась Естественно требуется детальная доработка, pavlinux, 14-Июн-10, 01:46 (49)
        
        а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек , JL2001, 14-Июн-10, 20:48 (94)
        
        Реализуемо, но Гентушники взбунтуются , pavlinux, 15-Июн-10, 00:59 (109)
        
        А у гентушников и так троянец в репах вон , User294, 15-Июн-10, 15:48 (122)
        
        gt оверквотинг удален Не сработает Разработчики никак не придут к согласию пр, Михаил, 14-Июн-10, 18:07 (77)
        
        Причём тут подчинение Это будет иконка на сайте, но с линком на ЦУП где хранятс, pavlinux, 14-Июн-10, 18:38 (78)
  - Нет никаких проблем подменив файл заменить и его хэш Вот если там цифровые подп, User294, 15-Июн-10, 12:39 (116)
- ищите по слову AIDE , Gra2k, 14-Июн-10, 04:41 (52)
Вот явное преимущества open source - уязвимость может обнаружить любой Не получ, joe, 13-Июн-10, 11:47 (2) //
- ну да с ноября прошлого года замалчивали Почему все считают, что еси опенсор, скай, 13-Июн-10, 11:51 (3) //
  - Вообще-то должен бтыь ежедневный аудит, хотя бы автоматом сверка хэшей с эталоно, Аноним, 13-Июн-10, 12:07 (5) //
    - Чего ради-то, им что, заняться нечем Вы глупости говорите , anonym, 13-Июн-10, 12:21 (6)
      - Аудит кода - такая же часть разработки как и его написание Если им, как Вы гово, Аноним, 14-Июн-10, 08:42 (53)
        
        А они лично тебе обязаны аудит троводить да Ты им денег не платил, тебе дали AS , аноним, 14-Июн-10, 20:09 (90)
    - Наверно, хэши подменили , Zenitur, 13-Июн-10, 13:54 (9)
      - при правильном подходе цифровые подписи подменить очень трудно, а коммиты в сист, User294, 13-Июн-10, 16:31 (22)
- Иногда даже не молчат, просто отказываются править, не смотря на обещанные сроки, аноним, 13-Июн-10, 13:33 (8) //
  - Office XP закопать как ненужную промежуточную версию Долгое время пользовался O, FSA, 13-Июн-10, 14:11 (10) //
    - А кто-то платил своими, настоящими деньгами за промежуточную версию и верил m , аноним, 13-Июн-10, 14:47 (12)
    - По-моему, офис 2000 и XP - примерно одинаковы по степени глючности Как минимум , User294, 13-Июн-10, 16:32 (23)
  - 171 Microsoft Office XP не существует необходимой архитектуры для исправления , Tav, 13-Июн-10, 15:28 (16) //
    - это точно данная цитата очень красноречиво говорит о качестве их системы контрол, аноним, 13-Июн-10, 16:47 (26)
    - 171 В случае, если бы Microsoft взялась переписать Office XP таким образом, в , аноним, 13-Июн-10, 17:07 (28)
- Разработчики ядра линукса так постоянно делают и ничего , Konstantin, 13-Июн-10, 16:28 (21) //
  - правда что ли , аноним, 13-Июн-10, 16:49 (27)
  - Так это как И собственно пруфлинки , User294, 13-Июн-10, 19:08 (30) //
    - По всей видимости, 171 так 187 8212 это замалчивая факт серьёзности испра, PereresusNeVlezaetBuggy, 13-Июн-10, 22:15 (41)
      - oбcуждались, помню вышло ядро, в нем ченджлог, в нем черным по белому - исправле, аноним, 14-Июн-10, 12:42 (57)
      - Ну, во первых, не постоянно, а во вторых - даденный вами ниже пруфлинк - на един, User294, 15-Июн-10, 22:37 (132)
        
        Слили в одном треде, пытаетесь доказать тот же свой бред в другом Здесь я ничег, PereresusNeVlezaetBuggy, 16-Июн-10, 00:11 (135)
        
        Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется Так , User294, 17-Июн-10, 15:36 (147)
        
        Проблемы только у вас, судя по всему По крайней мере вы единственный, кто страд, PereresusNeVlezaetBuggy, 17-Июн-10, 18:26 (148)
        
        gt оверквотинг удален А как вариант - прикрутить к протоколу начальный пароль , Arago, 18-Июн-10, 12:17 (151)
        
        gt оверквотинг удален Заодно замечу, что злосчастные 30 CPU я наблюдал только, PereresusNeVlezaetBuggy, 18-Июн-10, 16:05 (152)
- А сколько лет в AWARD BIOS жила бэкдорина AWARD_SW Она кстати и сейчас в биос, User294, 13-Июн-10, 19:06 (29)
- Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели Нет Тогда , Krazy, 13-Июн-10, 22:06 (37) //
  - Да ещё ладно смотреть, надо понимать, что там делается Закладку можно размазать, PereresusNeVlezaetBuggy, 13-Июн-10, 22:11 (40) //
    - О том и речь Утверждение о том, что в проектах open source все зашибись, потому, Krazy, 14-Июн-10, 09:52 (54)
      - печально работать К О для наверное образованого человека зашибись потому, что, Dvorkin, 14-Июн-10, 10:38 (55)
        
        Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ, Mad, 14-Июн-10, 12:25 (56)
        
        допустим я учавствую а я участвую в нескольких проектах мне они просто интерес, аноним, 14-Июн-10, 13:00 (58)
        
        да че ты ему обьясняешь даже школьнику понятно, что если открытый проект кому-т, Dvorkin, 14-Июн-10, 13:46 (61)
        
        ЗАЧЕМ , Dvorkin, 14-Июн-10, 15:45 (65)
        
        А вдруг там что то не так Вдруг уязвимость Или вы тоже полагаетесь на легион а, Михаил, 14-Июн-10, 17:55 (73)
        
        нет конечно он полагается на 200 000 000 вложенных пентагоном в безопасность ви, аноним, 14-Июн-10, 18:51 (81)
        
        я поражаюсь, скольким людям, оказывается, необходим для работы Ирк-сервер я, Dvorkin, 14-Июн-10, 20:06 (89)
        
        Может быть мсье готов предложить более вменяемый групчат Почему-то за столько л, User294, 15-Июн-10, 22:42 (133)
        
        если уж совсем нужно - то жаббер хотя я сомневаюсь что гропчаты вообще нужны по, Dvorkin, 16-Июн-10, 11:25 (139)
        
        Лучше полагаться на разработанный АНБ SELinux , Mad, 14-Июн-10, 21:10 (96)
        
        конечно он открыт и всеми серьёзными специалистами в этой сфере уже давно прове, аноним, 14-Июн-10, 21:24 (97)
- Супер Трояная случайно обнаружили сами разработчики через 210 дней Тем кого по, Василий, 14-Июн-10, 17:25 (68) //
  - А давайте не бухтеть Я вот слегка копался в коде анрылы Вот только так получил, User294, 15-Июн-10, 17:05 (124)
Открытый код дает возможность сообществу или отдельным пользователям обнаружит, AZ_from_Belarus, 13-Июн-10, 12:34 (7) //
- Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена дистрибут, pavlinux, 13-Июн-10, 22:09 (39) //
  - Отчего ж наболело Это лишь пример И давненько это было, году этак в 98 А приме, AZ_from_Belarus, 13-Июн-10, 22:28 (42) //
    - А в случае closed source сами разработчики поправить с приемлемыми трудозатратам, аноним, 13-Июн-10, 22:48 (43)
      - Они просто могут нормально разрабатывать и проверять свой код по одной из методи, Михаил, 14-Июн-10, 17:43 (70)
        
        Ты лучше расскажи про их успехи в производстве секурного софта Я уже ржу - жду, аноним, 14-Июн-10, 20:23 (91)
        как делает это мс видно и так касперский им очень благодарен за это,, аноним, 14-Июн-10, 23:05 (102)
        Какие красивые слова Только почему-то ишак по прежнему дыряв, вирусы по прежнем, User294, 15-Июн-10, 17:39 (125)
    - Да ладно, wireshark или tcpdump запустит каждый чайнег, и увидит что трафик куда, pavlinux, 14-Июн-10, 02:17 (50)
    - ну и чем этот пост говорит 1 что лично вы этой возможностью не пользуетесь 2 е, аноним, 14-Июн-10, 13:25 (59)
      - И вы мельком просмотрев интересный вам код можете найти в нем уязвимости Очень , Михаил, 14-Июн-10, 17:53 (72)
        
        1 то что меня интересует я смотрю далеко не мельком 2 ну вы то в клозедсорсе в, аноним, 14-Июн-10, 18:45 (80)
        
        gt оверквотинг удален Для сведения та самая пресловутая 10 летняя дыра о котор, Михаил, 14-Июн-10, 19:12 (83)
        
        т е 10 лет усиленных проверок и такой результат - это нормально D210 дней ил, аноним, 14-Июн-10, 20:47 (93)
        
        Да ладно заливать Поучите теорию чтобы не позориться Message Signing не возмож, Иван, 14-Июн-10, 21:58 (98)
        
        ну конечно это же фича и как я не догадался Dok хоть любую локальную уязви, аноним, 14-Июн-10, 22:59 (100)
        
        17 летpresent for 14 years If it is confirmed this vulnerablity is alsopresent, аноним, 14-Июн-10, 23:39 (103)
        
        Таки пруф линк или опять балаболим про мифические уязвимости Такую кучу текста , Иван, 15-Июн-10, 00:27 (106)
        gt оверквотинг удален Если правильно помню, NTLMv1 не используется _по_умолчан, PereresusNeVlezaetBuggy, 15-Июн-10, 00:30 (107)
        gt оверквотинг удален По умолчанию в windows 2003 используется NTLM 2 Автомат, Иван, 15-Июн-10, 00:58 (108)
        http www kb cert org vuls id 135940http news cnet com 8301-27080_3-10397759-, аноним, 15-Июн-10, 11:42 (113)
        
        gt оверквотинг удален Таки в данном случае вы неправы, так как путаете две вещ, PereresusNeVlezaetBuggy, 15-Июн-10, 00:23 (105)
        
        таки я ничего не путаю D1 вы точно уверены, что появление уязвимости и обнару, аноним, 15-Июн-10, 11:07 (111)
        Простите, вы читать где учились Это я вас или кто там из вас аноним ткнул в, PereresusNeVlezaetBuggy, 15-Июн-10, 15:45 (120)
        а вы или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакеро, аноним, 15-Июн-10, 15:55 (123)
        А в BSD находили баги 25-летней давности А в Linux таких нет по одной простой п, PereresusNeVlezaetBuggy, 15-Июн-10, 21:02 (129)
        было утверждение, что проприетарная разработка намного лучше, поскольку баги отс, аноним, 15-Июн-10, 22:34 (131)
        Я к этому утверждению не имею никакого отношения Перечитайте тред Угу Всё равн, PereresusNeVlezaetBuggy, 16-Июн-10, 00:02 (134)
        Про то, что МС пренебрегает тестированием - для меня очевидный факт В свое время, AlexAT, 17-Июн-10, 14:27 (146)
        
        Ну так что ссылки будут на описание уязвимостей в 400 дней и 10 лет Или можно с, Иван, 14-Июн-10, 22:14 (99)
        
        А почему Linux эксперты, кстати Сорс для всех платформ, даже для винды Давайте, User294, 15-Июн-10, 17:41 (127)
        
        Загрепать system в сорсах очевидно ракетная наука Хотя бэкдор сделан технично, User294, 15-Июн-10, 17:40 (126)
Посмею высказать своё мнение по поводу приведённого выше обсуждения - По моем, pavel, 15-Июн-10, 21:16 (130) //
- Очевидно, это одно из самых точных замечаний, из всего срача, написанного выше , Sugar, 16-Июн-10, 18:10 (142)
В SuSE такого даже нет , pavlinux, 17-Июн-10, 23:18 (150)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру