Админ забыл пропатчить cvs pserver, ядро было непатченным... Ничего интересного, обыкновенный пионерский взлом.

Какой язык, такой и сервер. perl и perl.org - рулят.

ну даёте - все ж одинаковым цвс пользуются, который на си :-)

Sun-ch, намекни в чём суть учения, а то я чего-то не разобрал ;)
То ли о вреде разбиения цельных пакетов на мелкие пакетики, то ли о
недостатках знаменитой и беспорочной системы апгрейда имени Дебильяна...

а намекну: взломали _линукс_, а не бздю.

блин, ну что вы глупости говорите... использовали дырку в pserver - причём здесь линукс?
и с дебиана снифером пароль утащили - тоже линукс виноват?

> а намекну: взломали _линукс_, а не бздю.

Ну, это же пошло... да и Sun-ch не опустится до такого маразма ;)

А в чем мораль-то? То что все надо патчить? Так я это сам любому скажу.

Пионеры командуют парадом!! А такие админы вроде вас - сосут письку от нас!

скажу по секрету, это один мой друг взломал... ставить надо нормальные системы.. NETBSD вот, например..

не, ваще писанины и разборов на 5 страница, а всего-то эксплойт запустить и всё ;)

> NETBSD вот, например..

И как она защитилась бы, если бы админ опоздал на день обновить порт cvs?

Грамотно ребята работают. Во первых, вину за взлом почти свалили на Debian. Почти... Во вторых, честно написали, что делали. Типа, им теперь можно верить, у них там в цвс никаких странностей кроме ruby быть не должно. Жаль только, что взлом какой-то скучный. С другой стороны, сам анализ взлома вполне убедительный, - развернутый, если 12 шрифтом, то страниц на 10-15 может получиться, разве что без скриншотов. Такому надо учиться на случай если, не попусти всевышний, у себя что-нибудь подобное случиться, а начальство особо начальственное...

а при чем тут debian ? как всегда виноват криворукий админ, вон сервак под debian в инет смотрит и ничо...

1. (rsbac icf....)

2. и shell-ы раздаются (anarxi...)

так что не причем тут debian....

>Ну, это же пошло... да и Sun-ch не опустится до такого маразма ;)
факт - есть факт. у саныча других "моралей", кроме как "надо юзать бздю" не прослеживается.

Ну, скопернул, название сайтика подправил--и отчёт готов.(Можно ещё что-нибудь дописать...чтоб условия работы нужно улутшать...

cvsup -g -L 2 /etc/cvsupfile > portsupgrade крон

Это надо у Патрика спросить )

> А в чем мораль-то? То что все надо патчить? Так я это сам любому скажу.

неа... все и вовремя пропатчить невозможно. но между взломом и восстановлением прошло 10 дней :( Но! дальше чрута не ушли.

выполнение этих пунктов минимазируют потери и уменьшат время обнаружения вторжения.

1. надо по-максимуму ставить приложения в croot.

2. надо использовать host-based ids, типа tripwire, для оперативного оповещения админа.

А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Sergey.

>> А патчить - само-собой, но патчи, все же, выходят позже, чем обнаружат уязвимость.

Лучше поздно чем никогда. Нас миллионы. Авось между ебанных и просклизнем.

>> надо использовать host-based ids, типа tripwire,

ты видел такого админа который это не юзает? А может это и не админ был?

> ты видел такого админа который это не юзает? А может это и не админ был?

не надо ерничать. заметили-то не сразу, посмотри хронологию событий.

Sergey

> а намекну: взломали _линукс_, а не бздю.

Вы неправы. Взломали дебиан. А это недосистема. Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот дебиан ломают раз в неделю (стейбл конечно же, ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко). А раз в две недели его ломают у самих *.debian.org. Если сломали дебиан, это ещё ничего не значит. Т.е. если ломают дебиан - это штатная ситуация, всё в норма.

Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно? Именно таких и ломают. И правильно делают, надо сказать... другим урок будет.

Да, по поводу ненормальности не прошёлся. Debian из всех ненормальных дистрибутивов - самый нормальный. Хотя бы потому, что там нет этих долбанных разгильдяйских X-утилит для конфигурирования, ради которых (только не говорите про обновления, которые вы ни фига не проплачиваете) вы и ставите "linux" и потом думаете, что это linux. В Debian'е, к его горю и к расхолаживанию егошных админов тулзы построены на ncurses. Тоже плохо, но всё же не так безнадёжно, на redhat-,yast и drake...

По поводу нормальности. Одним словом. Gentoo.

> бо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко

вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

> вот здесь ты не прав толстозадые ленивые жирные увольни-админы любят MustDie ;-)

Угу, я и говорю - дебиан :)

> Ай молодца! - "Нормальный Linux (Mandrake, SUSE,RH)". Самому не смешно?

А почему должно быть смешно? Потому что на лоре мандраку считают попсовым дистрибутивом и кто-то сказал что его легче ломать? Так не читайте вы лора, т.к. тут такое иногда скажут... на неокрепший мозг это действует удручающе :) Mandrake, а особенно 10, по security даст фору тому же SUSE или Conectiva (однояйцевый близнец) на 10 очков вперед. Один msec чего стоит. В общем - не читайте вы советских газет за обедом, коли филтьровать пустопорожний треп не умеете.

> По поводу нормальности. Одним словом. Gentoo.

ну да. настолько засрать /etc не смог ещё никто...

я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, что что линукс используют а альтернативные ОС нет?

> я вообще не понимаю, каким образом ошибка в цвс связана с линуксом, может тем, > что что линукс используют а альтернативные ОС нет?

В том-то всё и дело. Если бы фряха бииздяха стояла хотябы на таком же количестве серверов, что стоит линух (ну или хотябы раза в два меньше), сломали бы фряху. Просто хакиры когда ломали, они не смогли сервер с публичным cvs под фрей найти.

да пора уже открывать X freebsd Donation foundations чтобы фряху занесли в красную Книгу кибер природы..

взломали *Linux*

> Вы неправы. Взломали дебиан. А это недосистема.

Взломали *Linux*. Была использована дырка в ядре.

> Нормальный Linux (Mandrake, SUSE,RH) не сломали бы. А это... Хоссподи, этот

И чем же это угребище RH "нормально", позвольте осведомиться? Почему всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

>ибо дебиан любят толстозадые ленивые жирные увольни-админы за то, что обновлять ничего не надо, а если и надо, то редко).

Во-первых, я таки не пойму, для чего Вам машина нужна -- чтоб работать или чтоб все время чего-то обновлять?

А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК. А красноглазые все еще совершают магический ритуал обновления красной шляпы или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

P.S.

Вы все еще обновляете? А мы уже рубим!

ошибка в CVS?

А что это за ОСь такая шибко безопасная, что

1) из-за ошибки в одном сервисе можно поиметь всю систему,

2) переполнение буфера дает возможность выполнить *что угодно* ?

> И чем же это угребище RH "нормально", позвольте осведомиться?

Например наличием execshield. А в mandrake пообще по-умолчанию grsec и стэк неисполняем. Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

> Вы все еще обновляете? А мы уже рубим!

Не вы рубите, а вас рубят. Это писец, дебиан бьет все рекорды. наверное только win85 дырявее...

> Взломали *Linux*. Была использована дырка в ядре.

В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом... Не то, что RedHat, где впринципе нельзя повысить привилегии через переполнение буфера. Ну да какой там, это же дебиан. В принципе ничего страшного, говорю, это нормальная для него ситуация.

> А что это за ОСь такая шибко безопасная, что > 1) из-за ошибки в одном сервисе можно поиметь всю систему,

Эта ОС - дебиан. Нормальные дистрибуторы имеют 555 защит от этого (RH, SUSE, Mandrake)

> 2) переполнение буфера дает возможность выполнить *что угодно* ?

В дебиан - да. В RH, SUSE, Mandrake - нет.

execshield — профанация

> Например наличием execshield.

Этот самый execshield -- полнейшая профанация. Защита от script kiddies. Хотите неисполняемый стек -- пользуйте нормальное железо, а не x86. На худой конец -- PaX.

> А в mandrake пообще по-умолчанию grsec и стэк неисполняем.

Опять таки, grsec -- убогие костыли. Хотите MAC -- пользуйте RSBAC или SELinux.

> Так что при переполнении буфера того же cvs сервера хакер получил бы аварийное завершение кривой аппликухи, а не root shell.

В случае с Debian крякер получил shell с помощью 3.1415зженого ssh key одного из разработчиков. Так что никакой PaX тут не поможет.

> В том-то всё и дело, что некоторые дистрибуторы распи**яи не патчат ядро нужным образом...

Пардон, а с какого бодуна его нужно патчить? Или что, изделие горячих финских парней настолько отстойно, что его нужно обязательно довести до окончательной формы напильником?

> Пардон, а с какого бодуна его нужно патчить?

Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие? Ты про разделение труда слышал? :)

> Этот самый execshield -- полнейшая профанация. Опять таки, grsec -- убогие костыли.

Я конечно понимаю, что ты считаешь, что все $удаки, а ты один принц на белом коне. Ты можешь теоретизировать и выдавать мудрые, на твой взгляд, мысли сколько угодно. Но, как говориться, собака брешет, а караван идет. Т.е. дебиановцы что-то там гундят все из себя в *опу стабильные, а имеют их строго каждую пятницу. Причем на их же собственныж серверах *.debian.org. В баню эту недоподелку.

про разделение труда

> Ой, а ты не знал, что для роутеров и публичных cvs серверов смотрящих очком в инет, нужно одни патчи ставить, а на сервер с оракелом в DMZ другие?

Кому не жалко денег на оракел, купят Solaris, а не будут возиться с поделием финских пЫонеров...

P.S.

Вперед и с песней! Даешь патч на каждый чих!

> Кому не жалко денег на оракел, купят Solaris

Откуда такая информация?

> Взломали *Linux*. Была использована дырка в ядре.

Не умеешь читать либо намерянно соврал. Покажи то место, где говорится
о взломе через дырку в ядре.

> всякие там slapper'-ы разводятся не где-нибудь, а под этим самым RH?

Плевать на RH, речь идёт о Debian. Все самые громкие взломы за
последнее время почему-то неизменно происходят именно на Debian...
Стоит задуматься.

> А во-вторых, этот самый ленивый админ сказал apt-get update && apt-get upgrade -- и все ОК.

Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)
Читай статью ещё раз внимательно, критик.

> или еще какого-то убожества (в котором система управления софтом так и осталась на уровне каменного века)

И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве"
такая ситуация не могла произойти в принципе. Там пакеты цельные, и
если админ обновил cvs вовремя, то он обновился бы целиком, и взлома
не было бы. Вот такие интересные дела.

сам поставил — сам и обновляй!

> > Взломали *Linux*. Была использована дырка в ядре.

> Не умеешь читать либо намерянно соврал. Покажи то место, где говорится о взломе через дырку в ядре.

То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org, и там действительно использовали "ядерную" дырку...

> Все самые громкие взломы за последнее время почему-то неизменно происходят именно на Debian...

Примеры? Или это так, пустой треп?

> Какой-такой окей-мокей? Сломана машинка как раз после твоего окея ;)

Какой-то [чм]удак решил, что он умнее dpkg и поставил софтину сам? Вот пусть САМ ее и обновляет.

> И кстати, об убожествах... Нравится тебе это или нет, но в "убожестве" такая ситуация не могла произойти в принципе.

Это почему же? Что там, есть втроенная защита от дебилов, ставящих что попадя в /usr/local (или еще куда-нибудь).

> Там пакеты цельные, и если админ обновил cvs вовремя, то он обновился бы целиком, и взлома не было бы. Вот такие интересные дела.

1) Как может package manager обновить то, что ставилось без его участия? (Да и с какого бодуна он станет лезть туда, куда не просят?)

2) Что Вы имеете в виду под загадочной фразой "цельные пакеты"?

P.S.

А причина взлома, как всегда -- ламерство. Вместо того, чтоб пользовать RSBAC | SELinux, люди городят всякие chroot'-ы... :(

> > Кому не жалко денег на оракел, купят Solaris

> Откуда такая информация?

От глазок, своих собственных.

> От глазок, своих собственных.

Куплен официально RHEL AS 3, и оракл прекрасно под ним живет на двух зионах и 4 гигах оперативки. На кой хер нужен этот солярис?

А какой ип сервака что под инет ?

> А какой ип сервака что под инет ?

194.109.137.218

> То ли я чего-то напутал, то ли Вы... Речь шла о взломе debian.org

Ау, смотрим заголовок треда и не летаем в облаках:
"Как взломали ruby-lang.org"

> Примеры? Или это так, пустой треп?

Глянь в архив ЛОРа за последние полгода. Я не говорю, что это
авторитетный источник, просто все самые громкие взломы тут обсуждались.
Взломы очень известных сайтов, включая сам дебиан.орг.

> Это почему же? Что там, есть втроенная защита от дебилов

Есть... дибилы отваливают на этапе инсталляции ;)

как взломали vasya.pupkin.com

> Ау, смотрим заголовок треда и не летаем в облаках: "Как взломали ruby-lang.org"

Ага, давайте еще узнаем, как взломали pupkin.muhosransk.net

> Взломы очень известных сайтов, включая сам дебиан.орг.

По-моему, было 2 или 3 таких случая, и везде пользовали дырки в ядре:

gnu.org -- ptrace exploit

debian.org -- do_brk exploit

Ах, да, еще этого гм... чудака Arpi ломали, который держал CVS, homepage, mailing list на potato (!), за 3 года не удосужился обновиться, шлакофил гребаный...