Что ни день, то новость о взломе. Как кстати лучше всего хранить пароли?

[Решето] WineHQ login database compromised. (комментарий)
Для PHP.

У меня ровно половина списка так заблокирована, а потом и меня заблокировало, хотя я заходил туда из Linux через Tor и у меня сложный пароль 0_o Меня не хотят разблокировать, потому что «просим сменить пароль. Хорошо, о, а вы так и не дали нам свой мобильный? Дайте», а я не даю. Старшеклассниц сколько хотел себе нашёл, и хватит, я сайт этот не люблю.

Эта дыра не у phpMyAdmin, а у админов сервера в голове.
99%, что дыркой был файл setup.php, который вообще с сервера надо сносить, даже не по ip лимитировать, а именно сносить после установки скрипта.

В Blowfish...

Что-то они обмельчали... Что дальше, взлом форумов альт линукс?

>Nokia Developer
Можно подробности?

Что ещё не взломали?

В голове.
//К.О.

Не взломали компы юзеров с закрытыми портами на Linux-роутерах.

> winehq.org

WINE
одноархитектурная запускала софта для враждебной ОС

Не нужно.

> А если злоумышленники поменяли эти емейлы?

В дампе хоть обменяйся, в реальной базе они не поменяют.

кто же будет дальше? %)

Для ARM и x86_64 тестируется

Не надо трогать генту! Мою прелесть...

Для ARM? Тогда ж оно уже не сможет называться (recursive-acronym (string->symbol «W») «Is» «Not» «Emulator»)

>На выбор: gentoo.org, debian.org?

бэээээ. голосую за ubuntu.com и centos.org

а вот генту и дебчик не надо трогать, они няши. к тому же деба ломали уже давно, если память не изменяет мне.

>Не надо трогать генту! Мою прелесть...

всесердечно и ультрадушевно поддерживаю.

дата: 29 августа 2011 г. 12:22
тема: Important information from the Nokia Developer website team

http://wl4.peer360.com/b/56X1kFsJFLMffLIHk63Y/main.asp

(там копия сообщения, которое пришло в теле письма)

Интересно, это будет поводом догадаться для многих о том, что ископаемые версии софта, даже из т.н. «стабильных» дистрибутивов, все равно способствуют уязвимости всей системы по сравнению с относительно свежими версиями?

Факты, Пекмоп, давай факты, что именно супер-стабильный софт стал причиной взлома?

Решето!Ждм продолжение списка взломаных ресурсов =)

Благодарю.

phpmyadmin скорее всего был поставлен руками из тарбола, причем тут версия софта?

На выбор: gentoo.org, debian.org?

Про debian.org не поверю....(

> Факты, Пекмоп, давай факты, что именно супер-стабильный софт стал причиной взлома?

Так они тебе и сказали. Отмажутся «человеческим фактором», как с кернел.орг, и пиши привет. Мне вон на днях хетцнеры прислали рассылку, что их тоже ломанули. Вообще, смахивает на полноценную войну против опенсорсных решений. Ответка от Сони?

> phpmyadmin скорее всего был поставлен руками из тарбола, причем тут версия софта?

всякое может быть.

Что-то никто не орал ,что ядро не нужно , когда взломали kernel.org ...

http://www.debian.org/News/2006/20060713

Debian Server restored after Compromise

July 13th, 2006

One core Debian server has been reinstalled after a compromise and services have been restored. On July 12th the host gluck.debian.org was compromised using a local root vulnerability in the Linux kernel. The intruder had access to the server using a compromised developer account.

http://www.debian.org/News/2003/20031121

Some Debian Project machines compromised

November 21st, 2003

This is a very unfortunate incident to report about. Some Debian servers were found to have been compromised in the last 24 hours.

Impossible is nothing ©

>Ответка от Сони?
У тебя странное восприятие, хотя все это наверняка отголоски тех событий.

Проблема в том, что веб дырявый и протухший, никто о безопасности не думает.
Ну а куча рекламы на ТВ (бла бла анонимумы сломали сони бла бла) привлекла к теме кучу школоты.
Вот и будет эта куча ломать всех подрят и палиться на этом.

Сложность «взлома» phpmyadmin равна 0, эксплоиты готовые лежат:
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-exec...
http://snipper.ru/view/103/phpmyadmin-33102-3431-session-serializer-arbitrary...

Заткнуть pma за авторизацию на фронт-энде - некошерно?

Мало ли зачем он там валялся и когда был залит.
На большинстве серваков реальная помойка обычно, поэтому и ломать не сложно.

Проблема в том, что веб дырявый и протухший, никто о безопасности не думает.

Вот тут согласен. Например, сайт электронного дневника школы, в которой учится один мой знакомый:

http://gymnasiya-2.shkola.mk.ua/

Сайт свёрстан и обслуживается небольшой местной конторкой, но такие косяки IMO непростительны:

http://gymnasiya-2.shkola.mk.ua/phpmyadmin/ChangeLog

В инет светится версия PMA, причём видно что достаточно старая, после её выхода было 6 PMASA, из них только одна минор %)

> Получение атакующим доступа к системе оценивается как маловероятное.

«Маловероятное» это очень скользкий термин. Лучше вообще ничего не заявлять пока инцидент полностью не расследован, а исходить из худшего варианта. Иначе если доступ все же был получен, то какая разница, что это было изначально маловероятно?

ChangeLog ни о чем не говорит, т.к например дебиановцы, вроде как не патчат его.

Ну и как раз у тех кто ставит этот скрипт из репозитория таких проблем нет.
Сначало в репах бунты, потом дебиана (не в курсе про центос) все технические папки закрыли авторизацией по дефолту.

А вот когда распаковывается тарбол - это диагноз, да и вообще pma на продакшене, это такое милое приглашение типа: пожалуйста слейте нашу базу.

в этом треде ты самый адекватный, серьезно

Вообще, смахивает на полноценную войну против опенсорсных решений. Ответка от Сони?

бери выше - против столмана!

Ну если б я не застал при запуске дневника в прошлом году версию PMA 2009-ого года, я бы промолчал :)

Не только PMA, есть много всяких другиз забавных вещей, о которых не знают или забывают :)

> Нашли тоже на чем навыки кулхацкера тренировать. Лучше бы что-то дельное взломали.

После собеседования мне дали тестовое задание... Ну я его и того... А что вы хотели? Чтобы я выбрал что-то поважнее?

>Не только PMA, есть много всяких другиз забавных вещей, о которых не знают или забывают :)
Но PMA это единственный скрипт который стоит на 4 из 5 серверов где есть PHP и MySQL :)

>подозреваю в заказчиках мегакорпорацию.

А то! Всем известно, что лично Баллмер руководит элитной зондер-группой хакеров, которая ночами не спит ломая красноглазые ресурсы. Все ради того, что бы новость потом на ЛОРе всякие Gordon-ы комментировали.

бага не в pma :)

(11962, 'x-pilot@xakep.ru', 'NH8zRQbkP1hcs', 'Oleg Kuznetsov', '', 1, NULL, 0),

xakep.ru

да это же ты сломал ваен

Ну блин - ну кому нафиг оно надо для взлома? Поломали бы лучше сайт оракла. Или мелкософта. Или яббла. Ну или какого-нибудь другого патентного тролля на худой конец.

zibert> enjoy your php

fixed

Эмулятором является QEMU в данном случае. К тому же WINE умеет запускать бинарники Win32, которые под ARM собраны. Уже проверено.

Почему тогда Apple ещё не взломали? Для них это сейчас гораздо более опасный конкурент.

> На выбор: gentoo.org, debian.org?

Дебиан ломать не будут, Генту - тем более. Слишком малоизвестны.
Может быть fsf.org или torvalds.ru?

> Как кстати лучше всего хранить пароли?

На бумажку записывать через шифровальный блокнот. А блокнот - выбросить на помойку.

Потому что Apple нельзя таким образом скомпрометировать, они смогут это замять — во-первых, безопасность для яблофанатиков не самое важное — во-вторых. А опенсорс славен как раз таки безопасностью, кроме того, умолчать о дыре в опенсорсе нельзя.

Похоже идет направленная борьба против open source IMHO