The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.03.2014 20:27  Опасная удалённая уязвимость в ядре Linux

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:


    iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK


  1. Главная ссылка к новости (http://marc.info/?l=oss-securi...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: linux, kernel, dccp, conntrack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
 
Часть нити удалена модератором

  • 2.2, Фыр (?), 21:34, 19/03/2014 [ответить]    [к модератору]
  • +14 +/
    Ага, 5 лет калитка нараспашку и никто туда не зашёл.
    Я вообще про этот протокол впервые слышу.
    Он хоть где-то используется?
     
     
  • 3.50, Аноним (-), 22:53, 19/03/2014 [^] [ответить]     [к модератору]
  • +4 +/
    Проверил - фигЪ OpenWRT на роутерах - нету Десктопы с бунту - нету Серваки с... весь текст скрыт [показать]
     
  • 3.85, Аноним (-), 10:28, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Ему ине надо использоваться, чтоб хакнуть твою систему.
    Как я понял, если разрешать только tcp/udp/icmp и дропать все остальное, то обработка других пакетов в contrack все равно идет?
     
     
  • 4.92, Michael Shigorin (ok), 16:23, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ему ине надо использоваться, чтоб хакнуть твою систему.

    Даже если nf_conntrack_proto_dccp не загружен?  Ну попробуйте.

     
  • 3.89, azure (ok), 10:59, 20/03/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Ага, 5 лет калитка нараспашку и никто туда не зашёл.

    Как можно знать что никто не зашел? Никто не сказал, что зашел.

     
  • 2.5, Аноним (-), 21:41, 19/03/2014 [ответить]    [к модератору]  
  • +1 +/
    DCCP практически не используется
     
     
  • 3.6, Аноним (-), 21:42, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    А оно выключено по-умолчанию?
     
     
  • 4.11, backbone (ok), 21:50, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Не включено.
     
     
  • 5.13, Аноним (-), 21:51, 19/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
    Загружается автоматически.
     
     
  • 6.16, backbone (ok), 21:53, 19/03/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Странно, в Debian не загружается В Gentoo вообще DCCP n Какой дистрибутив ... весь текст скрыт [показать]
     
     
  • 7.51, Аноним (-), 22:54, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Странно, в Debian не загружается.

    И в *buntu тоже. И вообще, я ни 1 машины с этим модулем не нашел, даже среди всякой эмбедовочной экзотики.

     
  • 6.17, AlexAT (ok), 21:53, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    В рхеле центосе nf_conntrack_dccp 6 ip_conntrack_dccp 5 загружается только... весь текст скрыт [показать]
     
     
  • 7.38, Аноним (-), 22:27, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ага, в openwrt по дефолту вражеского модуля тоже нету Так что домашние роутеры ... весь текст скрыт [показать]
     
  • 7.86, Аноним (-), 10:31, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    В убунте один модуль nf_conntrack, который обрабатывает все соединения Значит в... весь текст скрыт [показать]
     
  • 6.40, ZloySergant (ok), 22:31, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на ... весь текст скрыт [показать]
     
     
  • 7.60, Аноним (-), 00:14, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опция... весь текст скрыт [показать]
     
     
  • 8.65, Perl_Jam (?), 03:23, 20/03/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    а вы путаете грешное с праведным или теплое с мягким если конкретно для вас не ... весь текст скрыт [показать]
     
     
  • 9.78, volax (?), 08:20, 20/03/2014 [^] [ответить]    [к модератору]  
  • +5 +/
    А вы вообще всё путаете.
    Грешное и праведное - антонимы, а теплое и мягкое - нет.
     
  • 9.94, Аноним (-), 21:30, 20/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, с... весь текст скрыт [показать]
     
  • 8.79, arisu (ok), 08:27, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Вы путаете админов с гентушниками.

    нет, это ты отчего-то считаешь эникейщиков админами.

     
     
  • 9.93, Аноним (-), 21:27, 20/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен... весь текст скрыт [показать]
     
     
  • 10.100, Led (ok), 08:33, 21/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Мудрость приходит только с годами.

    Не факт. Обычно не приходит.

     
  • 6.106, Аноним (-), 19:26, 22/03/2014 [^] [ответить]    [к модератору]  
  • +/
    даже фтп не загружается, а уж это...
     
  • 5.15, Аноним (-), 21:52, 19/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Не включено.

    как узнать ?

     
     
  • 6.19, backbone (ok), 21:54, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Не включено.
    > как узнать ?

    lsmod | grep -i dccp.

     
     
  • 7.24, Аноним (-), 21:58, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >>> Не включено.
    >> как узнать ?
    > lsmod | grep -i dccp.

    Это выдаст только текущее состояние, которое может измениться в любой момент.

     
     
  • 8.26, AlexAT (ok), 22:01, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp ... весь текст скрыт [показать]
     
     
  • 9.66, Perl_Jam (?), 03:30, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Опасная удалённая уязвимость в ядре Linux... весь текст скрыт [показать]
     
  • 9.67, Perl_Jam (?), 03:32, 20/03/2014 [^] [ответить]     [к модератору]  
  • –5 +/
    единственное, что хотел бы заметить, вы часто используете модули на боевых серве... весь текст скрыт [показать]
     
  • 9.107, Аноним (-), 19:30, 22/03/2014 [^] [ответить]    [к модератору]  
  • +/
    просто в blacklist его вписать и все.
     
  • 8.27, PavelR (ok), 22:01, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/

    Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной, какой механизм сработает?
     
     
  • 9.30, Аноним (-), 22:10, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем больше модулей conntrack - тем лучше.
    Это как пример.
     
     
  • 10.52, Аноним (-), 22:56, 19/03/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем
    > больше модулей conntrack - тем лучше.

    Лишний повод не использовать такие морды.


     
     
  • 11.57, Аноним (-), 23:55, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Лишний повод не использовать такие морды.

    Золотые слова. Жаль, эникеи их не оценят :(

     
     
  • 12.59, Аноним (-), 00:11, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Золотые слова. Жаль, эникеи их не оценят :(

    Ну если кто не хочет платить нормальному админу - он получает то что получает. Например, админа который зачем-то коннтрекает DCCP...

     
  • 9.118, XoRe (ok), 15:54, 24/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной,
    > какой механизм сработает?

    iptables -L -t nat

     
  • 8.28, backbone (ok), 22:04, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Если сервер работает месяцами и данный модуль не потребовался за это время, вели... весь текст скрыт [показать]
     
  • 8.41, Аноним (-), 22:33, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    1 В нормальной ситуации такие модули на ходу не загружаются 2 Если у вас нено... весь текст скрыт [показать]
     
     
  • 9.105, rihad (?), 17:46, 22/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP пакете.
     
  • 4.25, Аноним (-), 22:00, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я лично эту минорщину даже не собираю никогда.
     
     
  • 5.42, Аноним (-), 22:34, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    В бунтах и дебиане этот модуль по дефолту тоже не активен В openwrt - аналогич... весь текст скрыт [показать]
     
     
  • 6.56, Khariton (ok), 23:52, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    ну сам по себе модуль есть cat boot config-3 11 0-18-lowlatency 124 grep ... весь текст скрыт [показать]
     
     
  • 7.58, Аноним (-), 23:57, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Если у вас нет всяких умных морд к фаерволу - близка к нулю Бессмысленно black... весь текст скрыт [показать]
     
  • 2.9, vlikhachev (ok), 21:49, 19/03/2014 [ответить]     [к модератору]  
  • +/
    А что, есть самураи, использующие DCCP через NAT в офисе Use streaming media, ... весь текст скрыт [показать]
     
     
  • 3.81, Аноним (-), 09:07, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Это совершенно не странно в Российских научных организациях Потому и реорганизу... весь текст скрыт [показать]
     
     
  • 4.97, Аноним (-), 21:36, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Нет Реорганизуют и сокращают как раз тех, кто работает Бездельников и распильщ... весь текст скрыт [показать]
     
  • 2.63, Аноним (-), 01:56, 20/03/2014 [ответить]    [к модератору]  
  • +/
    А представьте что в проприетарном закрытом коде творится! :)
     
  • 2.80, commiethebeastie (ok), 08:58, 20/03/2014 [ответить]    [к модератору]  
  • –1 +/
    Локалхостеры-гентушнеки они такие.
     
     ....нить скрыта, показать (48)

  • 1.3, nataraj (??), 21:34, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?

    А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?

     
     
  • 2.4, Аноним (-), 21:37, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    А NAT на каком ядре работает ?
     
  • 2.22, Аноним (-), 21:56, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Скорее всего, у вас натится только TCP 22 А значит, пробраться нельзя Зависит ... весь текст скрыт [показать]
     
     
  • 3.44, Аноним (-), 22:37, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    если модуль вгружен Несмотря на стремность бага я не смог найти ни 1 системы... весь текст скрыт [показать]
     
  • 2.31, Аноним (31), 22:11, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Если на 22 порту использовать DCCP то может Но обычно там используют SSH Боять... весь текст скрыт [показать]
     
     
  • 3.34, Аноним (-), 22:16, 19/03/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    Сказал человек, только что перепутавший транспортный уровень с сетевым Да ... весь текст скрыт [показать]
     
     
  • 4.35, Аноним (-), 22:16, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Сказал человек, только что перепутавший транспортный уровень с сетевым.

    *прикладным

    > Да :)

    Теперь и я тоже :)

     
  • 2.90, Аноним (-), 11:56, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Да.
    Да. Да.
     
  • 1.7, AlexAT (ok), 21:46, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.

    blacklist dccp
    blacklist nf_conntrack_dccp
    blacklist xt_dccp

     
     
  • 2.10, Аноним (-), 21:50, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    тоже подумал что не обязательно делать NOTRACK
     
  • 2.18, Аноним (-), 21:53, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Отличная шутка blacklist влияет только при автоматической подгрузке модулей чер... весь текст скрыт [показать]
     
     
  • 3.21, AlexAT (ok), 21:56, 19/03/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Согласен, не панацея Поскольку конфиги у меня известные - я точно знаю, что авт... весь текст скрыт [показать]
     
  • 3.46, Аноним (-), 22:38, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > На автоподгрузку модулей сетевых протоколов это никак не влияет.

    Осталось только найти где она делается и почему.

     
  • 2.102, pavlinux (ok), 16:51, 21/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Ты с SCTP перепутал.
     
  • 1.8, Аноним (-), 21:49, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А как насчет роутеров с OpenWRT(да и не только!) на борту?
    Даже если и выйдет патч/заплатка, как её применить без перепрошивки?
     
     
  • 2.29, Sonnix (ok), 22:09, 19/03/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    Проверил на OpenWRT 12 09 и на текущем trunk Он собран без поддержки dccp так ч... весь текст скрыт [показать]
     
     
  • 3.33, Аноним (-), 22:14, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Это зависит не от наличия модуля, а от наличия протокола в etc protocols Внутр... весь текст скрыт [показать]
     
     
  • 4.37, Sonnix (ok), 22:25, 19/03/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    Из конфига ядра openwrt CONFIG_NF_CT_PROTO_DCCP is not set CONFIG_NETFILTER... весь текст скрыт [показать]
     
     
  • 5.39, Аноним (-), 22:27, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Из конфига ядра openwrt:

    Это уже другой разговор.

     
  • 3.36, Аноним (-), 22:18, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > И в чем собственно великая проблема обновить прошивку?

    Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

     
     
  • 4.43, Sonnix (ok), 22:34, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования ... весь текст скрыт [показать]
     
  • 4.47, Аноним (-), 22:43, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    В openwrt есть режим сохранения настроек - Ну и если совсем уж прижало - можн... весь текст скрыт [показать]
     
  • 1.23, Аноним (-), 21:57, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    ЖУтко опасная. Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

    // b.

     
     
  • 2.32, Аноним (-), 22:11, 19/03/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    > Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

    Суть новости в том, что так должно оставаться и дальше.

     
     
  • 3.49, Аноним (-), 22:46, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Суть новости в том, что так должно оставаться и дальше.

    А зачем вам сетевые модули трекинга соединений "про запас"? Чтобы увеличить шансы на получение ручкой грабель в лоб?

     
  • 1.54, emg81 (ok), 23:26, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    $ zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set

    раз не нужно - то выключено. и нет проблем.

     
  • 1.73, анон (?), 06:46, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    # zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set
     
  • 1.75, arzeth (ok), 07:08, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m
     
  • 1.77, Адекват (ok), 08:11, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.
     
     
  • 2.82, Аноним (-), 09:16, 20/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что... весь текст скрыт [показать]
     
     
  • 3.83, Аноним (-), 09:46, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Использовать нормальную CMS - это тоже wrong way. True way - это собирать HTML вручную, причем игнорировать достижения WEB дизайна за последние 30 лет.
     
     
  • 4.84, arisu (ok), 09:52, 20/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > причем игнорировать достижения WEB дизайна

    вот это очень правильный способ. чем больше эти «достижения» игнорируются — тем лучше.

     
     
  • 5.95, Аноним (-), 21:32, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > вот это очень правильный способ. чем больше эти «достижения» игнорируются —
    > тем лучше.

    Будь не таким, как все! Борись с системой!

     
     
  • 6.98, arisu (ok), 21:42, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    (пожимает плечами) борись. разрешаю.
     
  • 2.96, Аноним (-), 21:34, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то, все так и есть за исключением iptables ... весь текст скрыт [показать]
     
  • 1.87, Нанобот (ok), 10:38, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Опасная удалённая уязвимость в ядре Linux

    удалённая - да, опасная - нет

     
     
  • 2.99, Аноним (-), 00:32, 21/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > удалённая - да, опасная - нет

    Кому и кобыла невеста. По линуксовым меркам, даже сабж уже событие. Потому что 99% обнаруживаемых там уязвимостей еще менее опасны на практике.

     
  • 1.88, Аноним (-), 10:46, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);

    :(

     
     
  • 2.91, vi (?), 14:38, 20/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Кто автор предыдущего вот этого - dh skb_header_pointer skb, dataoff, sizeof _... весь текст скрыт [показать]
     
     
  • 3.115, pavlinux (ok), 02:32, 23/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Оно так и было, с 2008 года, http git kernel org cgit linux kernel git torvald... весь текст скрыт [показать]
     
     
  • 4.116, AlexAT (ok), 12:16, 23/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    C 2008 года оно тупо никому не нужно было. LOL'd
     
  • 4.117, vi (?), 16:03, 23/03/2014 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Видать у парня клавиша минус продавлена, наверное много ... весь текст скрыт [показать]
     
  • 1.103, pavlinux (ok), 16:58, 21/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > iptables -t raw -I OUTPUT -p dccp -j NOTRACK

    Кстате, а чё не POSTROUTING?

    iptables -t raw -I POSTROUTING -p dccp -j NOTRACK

    Выходящие из FORWARD проскакивают OUTPUT мимо.  

     
     
  • 2.108, pavlinux (ok), 02:20, 23/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Хе... в raw нету же POSTROUTING

    ... а это идея ]:->

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor