Как взломали ruby-lang.org

Re: Как взломали ruby-lang.org

Админ забыл пропатчить cvs pserver, ядро было непатченным... Ничего интересного, обыкновенный пионерский взлом.

tokza (24.07.2004 17:34:00)

Re: Как взломали ruby-lang.org

Какой язык, такой и сервер. perl и perl.org - рулят.

Re: Re: Как взломали ruby-lang.org

ну даёте - все ж одинаковым цвс пользуются, который на си :-)

o1o (24.07.2004 19:57:35)

Re: Как взломали ruby-lang.org

Sun-ch, намекни в чём суть учения, а то я чего-то не разобрал ;)
То ли о вреде разбиения цельных пакетов на мелкие пакетики, то ли о
недостатках знаменитой и беспорочной системы апгрейда имени Дебильяна...

annonymous (24.07.2004 20:12:44)

Re: Re: Как взломали ruby-lang.org

а намекну: взломали _линукс_, а не бздю.

Re: Re: Re: Как взломали ruby-lang.org

блин, ну что вы глупости говорите... использовали дырку в pserver - причём здесь линукс?
и с дебиана снифером пароль утащили - тоже линукс виноват?

o1o (24.07.2004 21:47:36)

Re: Re: Re: Как взломали ruby-lang.org

> а намекну: взломали _линукс_, а не бздю.

Ну, это же пошло... да и Sun-ch не опустится до такого маразма ;)

annonymous (24.07.2004 21:59:55)

Re: Re: Re: Re: Как взломали ruby-lang.org

А в чем мораль-то? То что все надо патчить? Так я это сам любому скажу.

Re: Re: Как взломали ruby-lang.org

Пионеры командуют парадом!! А такие админы вроде вас - сосут письку от нас!

Re: Как взломали ruby-lang.org

скажу по секрету, это один мой друг взломал... ставить надо нормальные системы.. NETBSD вот, например..

Re: Как взломали ruby-lang.org

не, ваще писанины и разборов на 5 страница, а всего-то эксплойт запустить и всё ;)

Re: Re: Как взломали ruby-lang.org

> NETBSD вот, например..

И как она защитилась бы, если бы админ опоздал на день обновить порт cvs?

annonymous (25.07.2004 1:25:21)

Re: Как взломали ruby-lang.org

Грамотно ребята работают. Во первых, вину за взлом почти свалили на Debian. Почти... Во вторых, честно написали, что делали. Типа, им теперь можно верить, у них там в цвс никаких странностей кроме ruby быть не должно. Жаль только, что взлом какой-то скучный. С другой стороны, сам анализ взлома вполне убедительный, - развернутый, если 12 шрифтом, то страниц на 10-15 может получиться, разве что без скриншотов. Такому надо учиться на случай если, не попусти всевышний, у себя что-нибудь подобное случиться, а начальство особо начальственное...

neru (25.07.2004 2:37:03)

Re: Как взломали ruby-lang.org

а при чем тут debian ? как всегда виноват криворукий админ, вон сервак под debian в инет смотрит и ничо...

1. (rsbac icf....)

2. и shell-ы раздаются (anarxi...)

так что не причем тут debian....

Sadistt0 (25.07.2004 9:21:45)

Re: Re: Re: Re: Как взломали ruby-lang.org

>Ну, это же пошло... да и Sun-ch не опустится до такого маразма ;)
факт - есть факт. у саныча других "моралей", кроме как "надо юзать бздю" не прослеживается.

Re: Re: Как взломали ruby-lang.org

Ну, скопернул, название сайтика подправил--и отчёт готов.(Можно ещё что-нибудь дописать...чтоб условия работы нужно улутшать...

Borys (25.07.2004 12:16:18)

Re: Re: Re: Как взломали ruby-lang.org

cvsup -g -L 2 /etc/cvsupfile > portsupgrade крон

Re: Re: Re: Как взломали ruby-lang.org

Это надо у Патрика спросить )

Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> А в чем мораль-то? То что все надо патчить? Так я это сам любому скажу.

неа... все и вовремя пропатчить невозможно. но между взломом и восстановлением прошло 10 дней :( Но! дальше чрута не ушли.

выполнение этих пунктов минимазируют потери и уменьшат время обнаружения вторжения.

1. надо по-максимуму ставить приложения в croot.

2. надо использовать host-based ids, типа tripwire, для оперативного оповещения админа.

А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Sergey.

Re: Re: Re: Re: Re: Re: Как взломали ruby-lang.org

>> А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Лучше поздно чем никогда. Нас миллионы. Авось между ебанных и просклизнем.

Re: Re: Re: Re: Re: Re: Как взломали ruby-lang.org

>> надо использовать host-based ids, типа tripwire,

ты видел такого админа который это не юзает? А может это и не админ был?

Re: Re: Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> ты видел такого админа который это не юзает? А может это и не админ был?

не надо ерничать. заметили-то не сразу, посмотри хронологию событий.

Sergey

Re: Re: Re: Как взломали ruby-lang.org

> а намекну: взломали _линукс_, а не бздю.

Вы неправы. Взломали дебиан. А это недосистема. Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот дебиан ломают раз в неделю (стейбл конечно же, ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко). А раз в две недели его ломают у самих *.debian.org. Если сломали дебиан, это ещё ничего не значит. Т.е. если ломают дебиан - это штатная ситуация, всё в норма.

Re: Re: Re: Re: Как взломали ruby-lang.org

Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно? Именно таких и ломают. И правильно делают, надо сказать... другим урок будет.

Да, по поводу ненормальности не прошёлся. Debian из всех ненормальных дистрибутивов - самый нормальный. Хотя бы потому, что там нет этих долбанных разгильдяйских X-утилит для конфигурирования, ради которых (только не говорите про обновления, которые вы ни фига не проплачиваете) вы и ставите "linux" и потом думаете, что это linux. В Debian'е, к его горю и к расхолаживанию егошных админов тулзы построены на ncurses. Тоже плохо, но всё же не так безнадёжно, на redhat-,yast и drake...

По поводу нормальности. Одним словом. Gentoo.

stark_lnx (26.07.2004 1:44:32)

Re: Re: Re: Re: Как взломали ruby-lang.org

> бо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко

вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

Угу, я и говорю - дебиан :)

Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно?

А почему должно быть смешно? Потому что на лоре мандраку считают попсовым дистрибутивом и кто-то сказал что его легче ломать? Так не читайте вы лора, т.к. тут такое иногда скажут... на неокрепший мозг это действует удручающе :) Mandrake, а особенно 10, по security даст фору тому же SUSE или Conectiva (однояйцевый близнец) на 10 очков вперед. Один msec чего стоит. В общем - не читайте вы советских газет за обедом, коли филтьровать пустопорожний треп не умеете.

Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> По поводу нормальности. Одним словом. Gentoo.

ну да. настолько засрать /etc не смог ещё никто...

o1o (26.07.2004 2:58:53)

Re: Re: Re: Re: Re: Re: Как взломали ruby-lang.org

я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, что что линукс используют а альтернативные ОС нет?

o1o (26.07.2004 2:59:50)

Re: Re: Re: Re: Re: Re: Re: Как взломали ruby-lang.org

> я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, > что что линукс используют а альтернативные ОС нет?

В том-то всё и дело. Если бы фряха бииздяха стояла хотябы на таком же количестве серверов, что стоит линух (ну или хотябы раза в два меньше), сломали бы фряху. Просто хакиры когда ломали, они не смогли сервер с публичным cvs под фрей найти.

Re: Как взломали ruby-lang.org

да пора уже открывать X freebsd Donation foundations чтобы фряху занесли в красную Книгу кибер природы..

взломали *Linux*

> Вы неправы. Взломали дебиан. А это недосистема.

Взломали *Linux*. Была использована дырка в ядре.

> Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот

И чем же это угребище RH "нормально", позвольте осведомиться? Почему всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

>ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко).

Во-первых, я таки не пойму, для чего Вам машина нужна -- чтоб работать или чтоб все время чего-то обновлять?

А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК. А красноглазые все еще совершают магический ритуал обновления красной шляпы или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

P.S.

Вы все еще обновляете? А мы уже рубим!

Dselect (26.07.2004 9:58:32)

ошибка в CVS?

А что это за ОСь такая шибко безопасная, что

1) из-за ошибки в одном сервисе можно поиметь всю систему,

2) переполнение буфера дает возможность выполнить *что угодно* ?

Dselect (26.07.2004 10:01:40)

Re: взломали *Linux*

> И чем же это угребище RH "нормально", позвольте осведомиться?

Например наличием execshield. А в mandrake пообще по-умолчанию grsec и стэк неисполняем. Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

> Вы все еще обновляете? А мы уже рубим!

Не вы рубите, а вас рубят. Это писец, дебиан бьет все рекорды. наверное только win85 дырявее...

Re: взломали *Linux*

> Взломали *Linux*. Была использована дырка в ядре.

В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом... Не то, что RedHat, где впринципе нельзя повысить привилегии через переполнение буфера. Ну да какой там, это же дебиан. В принципе ничего страшного, говорю, это нормальная для него ситуация.

Re: ошибка в CVS?

> А что это за ОСь такая шибко безопасная, что > 1) из-за ошибки в одном сервисе можно поиметь всю систему,

Эта ОС - дебиан. Нормальные дистрибуторы имеют 555 защит от этого (RH, SUSE, Mandrake)

> 2) переполнение буфера дает возможность выполнить *что угодно* ?

В дебиан - да. В RH, SUSE, Mandrake - нет.

execshield -- профанация

> Например наличием execshield.

Этот самый execshield -- полнейшая профанация. Защита от script kiddies. Хотите неисполняемый стек -- пользуйте нормальное железо, а не x86. На худой конец -- PaX.

> А в mandrake пообще по-умолчанию grsec и стэк неисполняем.

Опять таки, grsec -- убогие костыли. Хотите MAC -- пользуйте RSBAC или SELinux.

> Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

В случае с Debian крякер получил shell с помощью 3.1415зженого ssh key одного из разработчиков. Так что никакой PaX тут не поможет.

Dselect (26.07.2004 11:30:47)

Re: Re: взломали *Linux*

> В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом...

Пардон, а с какого бодуна его нужно патчить? Или что, изделие горячих финских парней настолько отстойно, что его нужно обязательно довести до окончательной формы напильником?

Dselect (26.07.2004 11:34:41)

Re: Re: Re: взломали *Linux*

> Пардон, а с какого бодуна его нужно патчить?

Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие? Ты про разделение труда слышал? :)

Re: execshield -- профанация

> Этот самый execshield -- полнейшая профанация. Опять таки, grsec -- убогие костыли.

Я конечно понимаю, что ты считаешь, что все $удаки, а ты один принц на белом коне. Ты можешь теоретизировать и выдавать мудрые, на твой взгляд, мысли сколько угодно. Но, как говориться, собака брешет, а караван идет. Т.е. дебиановцы что-то там гундят все из себя в *опу стабильные, а имеют их строго каждую пятницу. Причем на их же собственныж серверах *.debian.org. В баню эту недоподелку.

про разделение труда

> Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие?

Кому не жалко денег на оракел, купят Solaris, а не будут возиться с поделием финских пЫонеров...

P.S.

Вперед и с песней! Даешь патч на каждый чих!

Dselect (26.07.2004 14:40:36)

Re: про разделение труда

> Кому не жалко денег на оракел, купят Solaris

Откуда такая информация?

Re: взломали *Linux*

> Взломали *Linux*. Была использована дырка в ядре.

Не умеешь читать либо намерянно соврал. Покажи то место, где говорится
о взломе через дырку в ядре.

> всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

Плевать на RH, речь идёт о Debian. Все самые громкие взломы за
последнее время почему-то неизменно происходят именно на Debian...
Стоит задуматься.

> А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК.

Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)
Читай статью ещё раз внимательно, критик.

> или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве"
такая ситуация не могла произойти в принципе. Там пакеты цельные, и
если админ обновил cvs вовремя, то он обновился бы целиком, и взлома
не было бы. Вот такие интересные дела.

annonymous (26.07.2004 15:48:59)

сам поставил -- сам и обновляй!

> > Взломали *Linux*. Была использована дырка в ядре.

> Не умеешь читать либо намерянно соврал. Покажи то место, где говорится о взломе через дырку в ядре.

То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org, и там действительно использовали "ядерную" дырку...

> Все самые громкие взломы за последнее время почему-то неизменно происходят именно на Debian...

Примеры? Или это так, пустой треп?

> Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)

Какой-то [чм]удак решил, что он умнее dpkg и поставил софтину сам? Вот пусть САМ ее и обновляет.

> И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве" такая ситуация не могла произойти в принципе.

Это почему же? Что там, есть втроенная защита от дебилов, ставящих что попадя в /usr/local (или еще куда-нибудь).

> Там пакеты цельные, и если админ обновил cvs вовремя, то он обновился бы целиком, и взлома не было бы. Вот такие интересные дела.

1) Как может package manager обновить то, что ставилось без его участия? (Да и с какого бодуна он станет лезть туда, куда не просят?)

2) Что Вы имеете в виду под загадочной фразой "цельные пакеты"?

P.S.

А причина взлома, как всегда -- ламерство. Вместо того, чтоб пользовать RSBAC | SELinux, люди городят всякие chroot'-ы... :(

Dselect (26.07.2004 16:41:10)

Re: Re: про разделение труда

> > Кому не жалко денег на оракел, купят Solaris

> Откуда такая информация?

От глазок, своих собственных.

Dselect (26.07.2004 16:42:47)

Re: Re: Re: про разделение труда

> От глазок, своих собственных.

Куплен официально RHEL AS 3, и оракл прекрасно под ним живет на двух зионах и 4 гигах оперативки. На кой хер нужен этот солярис?

Re: Re: Как взломали ruby-lang.org

А какой ип сервака что под инет ?

Re: Re: Re: Как взломали ruby-lang.org

> А какой ип сервака что под инет ?

194.109.137.218

Re: сам поставил -- сам и обновляй!

> То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org

Ау, смотрим заголовок треда и не летаем в облаках:
"Как взломали ruby-lang.org"

> Примеры? Или это так, пустой треп?

Глянь в архив ЛОРа за последние полгода. Я не говорю, что это
авторитетный источник, просто все самые громкие взломы тут обсуждались.
Взломы очень известных сайтов, включая сам дебиан.орг.

> Это почему же? Что там, есть втроенная защита от дебилов

Есть... дибилы отваливают на этапе инсталляции ;)

annonymous (26.07.2004 18:21:29)

как взломали vasya.pupkin.com

> Ау, смотрим заголовок треда и не летаем в облаках: "Как взломали ruby-lang.org"

Ага, давайте еще узнаем, как взломали pupkin.muhosransk.net

> Взломы очень известных сайтов, включая сам дебиан.орг.

По-моему, было 2 или 3 таких случая, и везде пользовали дырки в ядре:

gnu.org -- ptrace exploit

debian.org -- do_brk exploit

Ах, да, еще этого гм... чудака Arpi ломали, который держал CVS, homepage, mailing list на potato (!), за 3 года не удосужился обновиться, шлакофил гребаный...

Dselect (26.07.2004 18:54:06)