LINUX.ORG.RU

Взломан сервер проекта Beryl


0

0

В начале сего года проект Beryl стал жертвой атаки, направленной на сервер MySQL. Проект понёс значительные потери. Расследование продолжается.

Атакующий использовал метод социального инженеринга для получения доступа к "безобидному" аккаунту, прав которого оказалось достаточно, чтобы удалить базы данных.

>>> Подробности

>The attacker did not use a proxy

Ндя Билли совсем оборзел, уже даже не прикрывается проксей:)))

Чего то не везет серверам берилла, то у них винт полетел, то базы потерли...

grokin
()

Ну ёлки-иголки, вечно у них что-нибудь ломается. Бэкапы делать не пробовали?

Sikon ★★★
()

Наконец-то нашелся разумный, социально-ответственный человек. Пожелаем ему успешных атак на KDE и GNOME.

anonymous
()

Пацаны, что такое Beryl, а то я все драйверы да драйверы под Linux пишу и, похоже, отстал от прогресса =)

anonymous
()

Во дерьмо!!!! СВОЛОЧИ! Я знаю это фанатеги Висты!

stalkerg ★★★★★
()
Ответ на: комментарий от kondor

> "Взломан Beryl" != "Взломан сайт проекта Beryl", imho :).

+1

А то я уже представил чебе чувака, дизасемблирующего берил (open source не в счет), пытаясь добиться отображения окошек в 4-м измерении :)

ser_bur ★★
()

Не в тему, но все же, может кто подскажет, как добиться от Java Swing приложений нормальной работы с 3д десктопом в линуксе? знаю это баг в яве, но ждать когда sun его исправят устал уже. может есть какой чудодейственный патч?

cornelis
()

ужасно. интересно, каким образом имея "безобидный аккаунт" можно потереть базы? руки оторвать таким админам :\

isden ★★★★★
()

Это не фанатеги свисты, это D. Raveman от зависти :D

З.Ы. кто бы ни был, но сцука мерзкая, Путина на таких не хватает...

anonymous
()

> Атакующий использовал метод социального инженеринга для получения доступа к "безобидному" аккаунту
> Проект понёс значительные потери

Потери:
1. Дропнутая БД - 1 шт.
2. Разбитое сердце - 1 шт.

r_asian ★☆☆
()
Ответ на: комментарий от isden

>ужасно. интересно, каким образом имея "безобидный аккаунт" можно >потереть базы? руки оторвать таким админам :\

>isden * (*) (05.01.2007 20:32:37)

НЕ АДМИНАМ - глупый - ПРОГРАММЕРАМ!!!

п.с. никогда не попадались приложения с дефектами безопасности, например "Битрикс". Когда мне его на сервер запихают - безопасность упадет на,,, . п.п.с. впрочем о чем я? с помощью моих коллег-криворуких вэб программеров раз 30 на дню с сервера спам лезет (им же самим, вышеупомянутым програмерам)

anonymous
()

Кривое, глючное поделие - поделом ему

anonymous
()
Ответ на: комментарий от cornelis

> Не в тему, но все же, может кто подскажет, как добиться от Java Swing приложений нормальной работы с 3д десктопом в линуксе? знаю это баг в яве, но ждать когда sun его исправят устал уже. может есть какой чудодейственный патч?

Пропиши переменную окружения AWT_TOOLKIT=MToolKit и перестань плакать. Иногда полезно читать bugzilla у соответствующих проектов.

> слова "Java", "приложений" и "нормальной работы" несовместимы . ;)

В биореактор, быдло.

EViL
()
Ответ на: комментарий от seif

>слова "Java", "приложений" и "нормальной работы" несовместимы . ;)

+1

DIMON ★★★
()

>Атакующий использовал метод социального инженеринга

гг, не удивлюсь если это Митник=)

soko1 ★★★★★
()
Ответ на: комментарий от My_quest

>А что, бэкапов они не делали?

Ну ты их совсем за ламеров считаешь. Делали конечно пару лет назад.

DIMON ★★★
()
Ответ на: комментарий от DIMON

> Пусть лучше умрет шизоид-извращенец, написавший жаба-интерфейс UTM_Admin

Мне не доводилось пользовать/видеть код UTM_Admin, но я не отрицаю, что на любом языке можно писать плохо.

PS: UTM это тот самый недобыдлобиллинг?

EViL
()

Бугога!

Резервные архивы ещё никто не отменял, что доказано этим случаем :)

Spectr ★★★
()
Ответ на: комментарий от EViL

>В биореактор, быдло.

Просто квинтэссенция ЛОРовской вежливости :)

marten
()
Ответ на: комментарий от EViL

>PS: UTM это тот самый недобыдлобиллинг?

Он самый :(

DIMON ★★★
()
Ответ на: комментарий от EViL

>Мне не доводилось пользовать/видеть код UTM_Admin, но я не отрицаю, что на любом языке можно писать плохо.

...и говорить вежливо.

>PS: UTM это тот самый недобыдлобиллинг?

ну, хорошего в нем мало, кроме сертификата :) Но много кто использует. Мы отказались (еще при тестах) когда ядро бил.системы стабильно падало при поиске абонента через этот самый java интерфейс, стоило маску поиска * задать. Может потом пофиксили, кто знает, но осадок, как говорится, остался

marten
()
Ответ на: комментарий от marten

>> Мне не доводилось пользовать/видеть код UTM_Admin, но я не отрицаю, что на любом языке можно писать плохо.

> ...и говорить вежливо.

Не всегда получается говорить вежливо и при этом хорошо писАть. :)

> Мы отказались (еще при тестах) когда ядро бил.системы стабильно падало при поиске абонента через этот самый java интерфейс, стоило маску поиска * задать. Может потом пофиксили, кто знает, но осадок, как говорится, остался

Хм... Может быть дело не в интерфейсе, а в ядре биллинга?

EViL
()
Ответ на: комментарий от Spacer

>> this attack appears to be isolated to the machine of a Compiz community member

> что бы это могло означать ....

Всё дело в том, что спецагенты Novell (David Raveman) решили похакать берил, ибо он получился лучше и красивее чем их говно-compiz.

EViL
()
Ответ на: комментарий от EViL

>Хм... Может быть дело не в интерфейсе, а в ядре биллинга?

Достаточно посмотреть на сам интерфейс и все будет ясно даже не разбираясь в коде :) У того кто его сляпал было очень тяжелое детство, чугунный ноутбук, которым его били по голове старшие товарищи, и вообще мозги остались в матрице. Я не знаю какую надо иметь извращенную логику, что бы создать такое неюзабельное нечто. 20 закладок, в каждой еще по 10 закладок, на которых еще туча чекбоксов и подменюшек. Для проведения рутинной операции надо пройти 9 кругов ада интерфейса. Мышь начинает дымится :) ИМХО изменение параметра через mysql> происходит в разы проще и быстрее :)

DIMON ★★★
()
Ответ на: комментарий от EViL

>Хм... Может быть дело не в интерфейсе, а в ядре биллинга?

Достаточно посмотреть на сам интерфейс и все будет ясно даже не разбираясь в коде :)
У того кто его сляпал было очень тяжелое детство, чугунный ноутбук, которым его били по голове старшие товарищи, и вообще мозги остались в матрице.
Я не знаю какую надо иметь извращенную логику, что бы создать такое неюзабельное нечто.
20 закладок, в каждой еще по 10 закладок, на которых еще туча чекбоксов и подменюшек. Для проведения рутинной операции надо пройти 9 кругов ада интерфейса. Мышь начинает дымится :) ИМХО изменение параметра через mysql> происходит в разы проще и быстрее :)

DIMON ★★★
()
Ответ на: комментарий от r_asian

> Потери:

> 1. Дропнутая БД - 1 шт.

> 2. Разбитое сердце - 1 шт.

А теперь смотрим по ссылке:

This attack removed most entries for the past several weeks and will cost countless hours in repair and recovery

Spinal
() автор топика
Ответ на: комментарий от anonymous

> НЕ АДМИНАМ - глупый - ПРОГРАММЕРАМ!!!

> п.с. никогда не попадались приложения с дефектами безопасности, например "Битрикс". Когда мне его на сервер запихают - безопасность упадет на,,, . п.п.с. впрочем о чем я? с помощью моих коллег-криворуких вэб программеров раз 30 на дню с сервера спам лезет (им же самим, вышеупомянутым програмерам)

в первую очередь именно админам, т.к. прямой задачей админа является такое конфигурирование системы, которое позволит непривелегилированным пользователям делать только то, что им по идее разрешено. и без отмазок на кривой программизм :) т.е. "вот твой домик, вот твое файло, и вот твой префикс для создания баз. делать что угодно ты можешь только со своими данными" етц.

isden ★★★★★
()
Ответ на: комментарий от EViL

> Всё дело в том, что спецагенты Novell (David Raveman) решили похакать берил,

Кто-то свечку держал? Откуда такая информация?

anonymous
()
Ответ на: комментарий от EViL

>Хм... Может быть дело не в интерфейсе, а в ядре биллинга?

Безусловно в ядре. Просто я привел пример, демонстрирующий качество проекта.

marten
()
Ответ на: комментарий от EViL

>Всё дело в том, что спецагенты Novell (David Raveman) решили похакать берил, ибо он получился лучше и красивее чем их говно-compiz.

вообще сомнительнее. берил с каждым релизом все хуже и хуже...

seif
()
Ответ на: комментарий от EViL

> Хм... Может быть дело не в интерфейсе, а в ядре биллинга?

И там и там глюков хватает. UTM_Admin работает с разной степенью глючности под win и под lin. Во втором варианте жить очень нелегко. Ядро биллинга имеет привычку потерять какую-нибудь услугу при автоматической смене тарифного плана или при начале нового расчетного периода.

anonymous
()

> Атакующий использовал метод социального инженеринга для получения доступа к "безобидному" аккаунту, прав которого оказалось достаточно, чтобы удалить базы данных.

Вот и выросло поколение, считающее рута рядовым пользователем. А все венды приучают ведь, что все что не система - то простой юзер.

Gharik
()
Ответ на: комментарий от EViL

> Мне не доводилось пользовать/видеть код UTM_Admin, но я не отрицаю, что на любом языке можно писать плохо.

Исправляются http://www.netup.ru/demo.php (скриншот внизу страницы :). Интерфейс очень красивый и удобный ...

anonymous
()

Всё-таки самое слабое место в любой системе безопасности - это пресловутый человеческий фактор, как ни посмотри..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

> Всё-таки самое слабое место в любой системе безопасности - это пресловутый человеческий фактор, как ни посмотри..

Правильно, эх, как хорошо было бы без человеков...

anonymous
()
Ответ на: комментарий от cornelis

>к сожалению AWT_TOOLKIT=MToolKit не пашет, по крайней мере с Intellij IDEA.

странно, мне с NetBeans помогло, спасибо доброму человеку...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.