Здравствуйте, Vladimir Khatzkevich, Вы писали:
VK>
VK>«Лаборатория Касперского» обнаружила нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster), лечит их и устанавливает заплатку для Windows.
Шла Windows по дороге..
вдруг видит — несётся ей навстречу страшный червь..
она упала в обморок..
а когда проснулась, то увидела свои испачканные порванные трусики, и записку
"Windows, я тебя взломал, ты больше не девочка"
после чего побрела она дальше..
вдруг видит — несётся ей навстречу другой страшный червь..
она опять упала в обморок..
а когда проснулась, то увидела записку:
"Трусики постирали и зашили, а тебя пропатчили все вместе хором..
так что теперь ты снова девочка..
Касперский и его команда"
V>что то там плутония про вирусы безобидные говорил.. V>что типа вреда нет.. V>читаем:
V>http://zdnet.ru/?ID=305498
Я знаю это еще с первой версии собига. Я писал уже, что собиг живет на тачке и я с ним играюсь.
Я знаю, что он ставит на тачку проги. Я писал уже что червь может только дуру вовне открыть. Более сам он ничего не делает. Есть другие черви — они воруют пароли, куки, списки мыльников и тд.
V>ужас.. цифры то какие страшные.. сколько там говоришь на h-zone регестрируют то?
А сколько фактов подмены страницы было из 3 этих случаев?
V>Широко известен случай, когда Microsoft Service Pack 6 для Windows NT вывел из строя тысячи серверов
То-то я смотрю, что после того случая Миксрософт вовсе развалилась.
V>Как всё просто с заплатками от МС.. они все в одном месте, и ничего не нужно ни бьюлдить, ни настраивать.. V>всего то приходится бэкапит всю систему, а после патча долго её тестировать.. V>а потом в случае чего долго перед клиентами извиняться..
Re[9]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Именно в дефолтовой ломается легко. В той дефолтовой, что есть у меня, около 10 непатченых уязвимостей в общей сумме. PE>Патчи нужно утигивать дополнительно, билдить, конфигурить и тд.
ага, у меня тоже Win2K непатченный стоит.. сколько там уязвимостей то?
сколько паков ставить нужно?
читаем: http://zdnet.ru/?ID=303932
Худшее, что может сделать компания, чтобы выдержать следующую атаку Slammer-подобного вируса, это заниматься обновлением операционных систем и приложений при выходе каждой поправки от Microsoft, говорят эксперты
у.. как всё запущено то..
что то там плутония про вирусы безобидные говорил..
что типа вреда нет..
читаем:
Эксперт по антивирусам утверждает, что Sobig — дело рук не script kiddies, а высококвалифицированных преступников, желающих получить контроль над персональными компьютерами.
Последние данные компании Symantec, которая использует обширную сеть обнаружения вторжений для регистрации интернет-адресов инфицированных Windows-ПК и серверов, показывают, что с понедельника прибежищем зараженных компьютеров стали 380 тыс. адресов
ужас.. цифры то какие страшные.. сколько там говоришь на h-zone регестрируют то?
Широко известен случай, когда Microsoft Service Pack 6 для Windows NT вывел из строя тысячи серверов
Как всё просто с заплатками от МС.. они все в одном месте, и ничего не нужно ни бьюлдить, ни настраивать..
всего то приходится бэкапит всю систему, а после патча долго её тестировать..
а потом в случае чего долго перед клиентами извиняться..
«Лаборатория Касперского» обнаружила нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster), лечит их и устанавливает заплатку для Windows.
Здравствуйте, DOOM, Вы писали:
DOO>Нет msblast основан именно на дырочке, очень ТУПОЙ дырочке(что ж еще ждать от мелкософта), а если msblast всего лишь перезагружает машину, то он очень гуманен, поскольку, используя этот баг можно получить shell удаленной машины с правами системы...
Вот когда ты напишешь систему такого же размера как винда и хотябы такого же качества... короче тогда и поговорим.
... << RSDN@Home 1.1 alpha 1 >>
Пусть это будет просто:
просто, как только можно,
но не проще.
(C) А. Эйнштейн
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, iZEN, Вы писали:
ZEN>>Знаете ли, здесь уже попахивает атакой на саму архитектуру (RPC) и принципы, а не на какую-то дырочку. Заплатками не отделаешься просто так. С этого момента масштаб вирусной активности будет расти "поперёк" обычного прогнозирования, то есть ортогонально, — это плохо для самой МС и эвристических анализаторов сторонних писателей антивирусов. В первую очередь пострадают пользователи и их сети. ZEN>>Антивирусы должны эволюционировать как можно скорее.
DOO>Нет msblast основан именно на дырочке, очень ТУПОЙ дырочке(что ж еще ждать от мелкософта), а если msblast всего лишь перезагружает машину, то он очень гуманен, поскольку, используя этот баг можно получить shell удаленной машины с правами системы...
А не кажется ли вам, уважаемые, что такие вот дырочки типа "переполнение буфера" — прямое следствие ущербности языка программирования C (и далее — C++), на котором написано подавляющее количество промышленных систем (Windows, Apache, IIS, UNIX) и который не контролирует поведение строк и подобных низкоуровневых конструкций (выход за пределы массива, например).
И всё из-за упрощенческо-наплевательской концепции: "это должны обеспечивать библиотеки, но не язык". (Я к тому, что система, написанная на Паскале/Java в подобных случаях оказалась бы неподверженной таким ошибкам программирования).
Не флейма ради...
Re[11]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
V>>что то там плутония про вирусы безобидные говорил.. V>>что типа вреда нет.. V>>читаем:
V>>http://zdnet.ru/?ID=305498
PE>Я знаю это еще с первой версии собига. Я писал уже, что собиг живет на тачке и я с ним играюсь. PE>Я знаю, что он ставит на тачку проги. Я писал уже что червь может только дуру вовне открыть. Более сам он ничего не делает. Есть другие черви — они воруют пароли, куки, списки мыльников и тд.
) Супер.... я с ним играюсь.... с глистом... фот они — апологеты виндоувы..
черви — это безобидные создания )
V>>ужас.. цифры то какие страшные.. сколько там говоришь на h-zone регестрируют то? PE>А сколько фактов подмены страницы было из 3 этих случаев?
зачем мою фразу потёр..
там про сотони тысяч а не про 3 говорилось..
Здравствуйте, vvaizh, Вы писали:
PE>>Хотелось бы отметить PE>>[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root
PE>>Вы думаете все кинулись патчить это ? Нет. Хостинг, где я обитаю, не спешит патчиться. Самому его чтоль хакнуть, что пропатчили ?
V>ага... ты попробуй попробуй.. V>и вообще непонятно как связано то что я написал с твоей фразой.. V>какую такую ftp-головную страницу там меняют?
Здравствуйте, iZEN, Вы писали:
ZEN>А не кажется ли вам, господа, что msblast — это прикрытие более изощрённой атаки на Win32-платформу, в частности, на архитектуру Win-RPC?
А не кажется ли вам, iZEN, что MS написан майкрософтом для того, чтобы все быстренько проапдейтили RPC ?
Как раз и перезагрузка раз в 20 минут — напоминание, что тянуть с Windows Update не стоит
Здравствуйте, Plutonia Experiment, Вы писали:
PE>На прошлой неделе еще можно было этот вирь выкачать в исходниках. Его не в Микрософте писали. PE>Но в любом случае челы лояльно к винде относятся.
Да я понимаю. Это так, просто "версия" альтернативная iZEN-овской
Здравствуйте, Vladimir Khatzkevich, Вы писали:
VK>
VK>«Лаборатория Касперского» обнаружила нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster), лечит их и устанавливает заплатку для Windows.
Здравствуйте, Dimentiy, Вы писали:
D>Здравствуйте, iZEN, Вы писали:
ZEN>>А не кажется ли вам, господа, что msblast — это прикрытие более изощрённой атаки на Win32-платформу, в частности, на архитектуру Win-RPC?
D>А не кажется ли вам, iZEN, что MS написан майкрософтом для того, чтобы все быстренько проапдейтили RPC ? D>Как раз и перезагрузка раз в 20 минут — напоминание, что тянуть с Windows Update не стоит
У меня не было самопроизвольных перезагрузок.
Знаете ли, здесь уже попахивает атакой на саму архитектуру (RPC) и принципы, а не на какую-то дырочку. Заплатками не отделаешься просто так. С этого момента масштаб вирусной активности будет расти "поперёк" обычного прогнозирования, то есть ортогонально, — это плохо для самой МС и эвристических анализаторов сторонних писателей антивирусов. В первую очередь пострадают пользователи и их сети.
Антивирусы должны эволюционировать как можно скорее.
Re[3]: Антивирусы должны эволюционировать быстрее.
ZEN>Знаете ли, здесь уже попахивает атакой на саму архитектуру (RPC) и принципы, а не на какую-то дырочку. Заплатками не отделаешься просто так. С этого момента масштаб вирусной активности будет расти "поперёк" обычного прогнозирования, то есть ортогонально, — это плохо для самой МС и эвристических анализаторов сторонних писателей антивирусов. В первую очередь пострадают пользователи и их сети. ZEN>Антивирусы должны эволюционировать как можно скорее.
Нет msblast основан именно на дырочке, очень ТУПОЙ дырочке(что ж еще ждать от мелкософта), а если msblast всего лишь перезагружает машину, то он очень гуманен, поскольку, используя этот баг можно получить shell удаленной машины с правами системы...
Здравствуйте, iZEN, Вы писали:
ZEN>А не кажется ли вам, господа, что msblast — это прикрытие более изощрённой атаки на Win32-платформу, в частности, на архитектуру Win-RPC?
Патч для RPC был выпущен до вируса. Более того — почти уверен что вирус написали, прочитав описание ошибки при выкладывании патча. Так что никакой изощренности тут нет, просто очередной раз наказали админов за головотяпство.
Здравствуйте, AndrewVK, Вы писали:
ZEN>>А не кажется ли вам, господа, что msblast — это прикрытие более изощрённой атаки на Win32-платформу, в частности, на архитектуру Win-RPC?
AVK>Патч для RPC был выпущен до вируса. Более того — почти уверен что вирус написали, прочитав описание ошибки при выкладывании патча. Так что никакой изощренности тут нет, просто очередной раз наказали админов за головотяпство.
Если точнее, то сначала вышел эксплойт от какойто конторы, потом Миксрософт подсуетился и выпустил патч под этот эксплойт, и тут же написали вирус другие челы по этому же эксплойту. Как обычно — никто ничего не патчит, потому вирус и распространился.
Re[5]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, WolfHound, Вы писали:
WH>Здравствуйте, DOOM, Вы писали:
DOO>>Нет msblast основан именно на дырочке, очень ТУПОЙ дырочке(что ж еще ждать от мелкософта), а если msblast всего лишь перезагружает машину, то он очень гуманен, поскольку, используя этот баг можно получить shell удаленной машины с правами системы... WH>Вот когда ты напишешь систему такого же размера как винда и хотябы такого же качества... короче тогда и поговорим.
Давате я лучше уж скаже в чем дырочка:
У одной функции есть параметр char * ДЛИНУ которого не проверяют и считают не более 20 символов, дальше понятно, что делают всякие нехорошие люди.
В *nix'ах таких дыр почему-то на порядок меньше
Re[6]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, DOOM, Вы писали:
DOO>Давате я лучше уж скаже в чем дырочка: DOO>У одной функции есть параметр char * ДЛИНУ которого не проверяют и считают не более 20 символов, дальше понятно, что делают всякие нехорошие люди.
DOO>В *nix'ах таких дыр почему-то на порядок меньше
Да ну ? Вчера Линукс лидировал 7 к 1 по количеству взломов (подмена головной страницы).
Здравствуйте, iZEN, Вы писали:
ZEN>А не кажется ли вам, уважаемые, что такие вот дырочки типа "переполнение буфера" — прямое следствие ущербности языка программирования C (и далее — C++), на котором написано подавляющее количество промышленных систем (Windows, Apache, IIS, UNIX) и который не контролирует поведение строк и подобных низкоуровневых конструкций (выход за пределы массива, например).
Честно говоря не кажется... Ты же не называешь ущербными ножи на кухне, которыми с одной стороны все пользуются, а с другой при случае можно и порезаться. или зарезаться
П.С. человеческий фактор... вот где корень...
Re[7]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Да ну ? Вчера Линукс лидировал 7 к 1 по количеству взломов (подмена головной страницы). PE>Подробности на zone-h
Plutonia написал(-а) в Thu, 28 Aug 2003 07:50:12 GMT:
PE> Да ну ? Вчера Линукс лидировал 7 к 1 по количеству взломов (подмена PE> головной страницы).
PE> Подробности на zone-h
А у нас позавчера не смотря на все файрволы, рассылку предупреждений пользователям и доступность патчей, все таки появился в сети msblast. Из-за значительного возрастания трафика работа сети была практически блокирована. Пострадало ~550 хостов. Почувствуй разницу...
А то, что сайты под управлением Linux+Apache ломают чаще, так это от того, что такое решение очень часто используется на площадках начального уровня, где экономят на всем, по этому администрируют это обычно низкоквалифицированные люди, активную начинку пишут школьники-десятиклассники, прочитавшие накануне что-нибудь типа "php за 15 минут" или "html для дегенератов". Все это ясным образом сказывается на защищенности системы. Сломать один только Linux+Apache даже в дефолтовой инсталяции не так просто, как это сделать, когда там появляются всякие бесплатные форумы, гостебуки и прочая хрень сомнительного происхождения и качества, а на файлы сайта выдано прав больше, чем нужно.
Posted via RSDN NNTP Server 1.7 beta
Re[8]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, mekanik, Вы писали:
M>А у нас позавчера не смотря на все файрволы, рассылку предупреждений пользователям и доступность патчей, все таки появился в сети msblast. Из-за значительного возрастания трафика работа сети была практически блокирована. Пострадало ~550 хостов. Почувствуй разницу...
Разницу чувствуешь — тебе разили окно камнем, или чел пришел в квартиру чз окно и отымел твою девченку или просто нас..л по центру комнаты ?
Пострадоло 550 хостов из-за внешних причин — сеть перестала функционировать. А совсем другое дело, когда на 1800 сайтах побывали вандылы и поменяли страницы.
M>А то, что сайты под управлением Linux+Apache ломают чаще, так это от того, что такое решение очень часто используется на площадках начального уровня, где экономят на всем, по этому администрируют это обычно низкоквалифицированные люди, активную начинку пишут школьники-десятиклассники, прочитавшие накануне что-нибудь типа "php за 15 минут" или "html для дегенератов". Все это ясным образом сказывается на защищенности системы. Сломать один только Linux+Apache даже в дефолтовой инсталяции не так просто, как это сделать, когда там появляются всякие бесплатные форумы, гостебуки и прочая хрень сомнительного происхождения и качества, а на файлы сайта выдано прав больше, чем нужно.
Именно в дефолтовой ломается легко. В той дефолтовой, что есть у меня, около 10 непатченых уязвимостей в общей сумме.
Патчи нужно утигивать дополнительно, билдить, конфигурить и тд.
Re[9]: Антивирусы должны эволюционировать быстрее.
M>>А у нас позавчера не смотря на все файрволы, рассылку предупреждений пользователям и доступность патчей, все таки появился в сети msblast. Из-за значительного возрастания трафика работа сети была практически блокирована. Пострадало ~550 хостов. Почувствуй разницу... PE>Разницу чувствуешь — тебе разили окно камнем, или чел пришел в квартиру чз окно и отымел твою девченку или просто нас..л по центру комнаты ? PE>Пострадоло 550 хостов из-за внешних причин — сеть перестала функционировать. А совсем другое дело, когда на 1800 сайтах побывали вандылы и поменяли страницы.
осталось посмотреть на девчёнку Плутония, которую он наверное разместил в голом
виде (чтобы можно было надругаться) на своей домашней страничке (причём сразу на головной)..
смотрим в профайл:
about:blank
....
облом..
Плутония, ты увлекаешься аналогиями.. они у тебя мягко говоря хромают..
никто конфиденциальную информауию (а по нормальному девчёнки — это конфеденциально)
на головной странице не размещает.. и ты в том числе.. так что думай лучше..
Plutonia написал(-а) в Thu, 28 Aug 2003 08:50:19 GMT:
[Sorry, skipped]
M>> А то, что сайты под управлением Linux+Apache ломают чаще, так это от M>> того, что такое решение очень часто используется на площадках M>> начального уровня, где экономят на всем, по этому администрируют это M>> обычно низкоквалифицированные люди, активную начинку пишут M>> школьники-десятиклассники, прочитавшие накануне что-нибудь типа "php за M>> 15 минут" или "html для дегенератов". Все это ясным образом сказывается M>> на защищенности системы. Сломать один только Linux+Apache даже в M>> дефолтовой инсталяции не так просто, как это сделать, когда там M>> появляются всякие бесплатные форумы, гостебуки и прочая хрень M>> сомнительного происхождения и качества, а на файлы сайта выдано прав M>> больше, чем нужно.
PE> Именно в дефолтовой ломается легко. В той дефолтовой, что есть у меня, PE> около 10 непатченых уязвимостей в общей сумме.
Только сколько этих уязвимостей реально доступны в ДЕФОЛТОВОЙ инсталяции?
Возьмем, например, changes with Apache 2.0.47
*) SECURITY [CAN-2003-0192]: Fixed a bug whereby certain sequences
of per-directory renegotiations and the SSLCipherSuite directive
being used to upgrade from a weak ciphersuite to a strong one
could result in the weak ciphersuite being used in place of the
strong one. [Ben Laurie]
mod_ssl по умолчанию отключен.
*) SECURITY [CAN-2003-0253]: Fixed a bug in prefork MPM causing
temporary denial of service when accept() on a rarely accessed port
returns certain errors. Reported by Saheed Akhtar
<S.Akhtar@talis.com>. [Jeff Trawick]
Временно выводит из строя апач, доступа к системе не дает. Более точного описания проблемы я не нашел, так что сказать можно ли это воспроизвести на конфигурации по умолчанию я не могу.
*) SECURITY [CAN-2003-0254]: Fixed a bug in ftp proxy causing denial
of service when target host is IPv6 but proxy server can't create
IPv6 socket. Fixed by the reporter. [Yoshioka Tsuneo
tsuneo.yoshioka@f-secure.com]
Поддержки IPv6 в дефолтовой конфигурации нет.
*) SECURITY [VU#379828] Prevent the server from crashing when entering
infinite loops. The new LimitInternalRecursion directive configures
limits of subsequent internal redirects and nested subrequests, after
which the request will be aborted. PR 19753 (and probably others).
[William Rowe, Jeff Trawick, Andre Malo]
Это тоже в дефолтовой конфигурации не происходит.
Posted via RSDN NNTP Server 1.7 beta
Re[10]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, vvaizh, Вы писали:
V>осталось посмотреть на девчёнку Плутония, которую он наверное разместил в голом V>виде (чтобы можно было надругаться) на своей домашней страничке (причём сразу на головной).. V>смотрим в профайл:
V>about:blank V>.... V>облом.. V>Плутония, ты увлекаешься аналогиями.. они у тебя мягко говоря хромают.. V>никто конфиденциальную информауию (а по нормальному девчёнки — это конфеденциально) V>на головной странице не размещает.. и ты в том числе.. так что думай лучше..
Т.е. хакеру можно головную страницу менять ? А в соседнем фолдере он ничего посмотреть не может ?
А если ты узнал пароли администратора, то можно пользоваться только для смены страницы в фолдере /vhost/usr/http ?
Re[10]: Антивирусы должны эволюционировать быстрее.
И ты привел все уязвимости апача ? Ничего не забыл, только четыре штукИ ?
M>[Sorry, skipped]
M>>> А то, что сайты под управлением Linux+Apache ломают чаще, так это от M>>> того, что такое решение очень часто используется на площадках M>>> начального уровня, где экономят на всем, по этому администрируют это M>>> обычно низкоквалифицированные люди, активную начинку пишут M>>> школьники-десятиклассники, прочитавшие накануне что-нибудь типа "php за M>>> 15 минут" или "html для дегенератов". Все это ясным образом сказывается M>>> на защищенности системы. Сломать один только Linux+Apache даже в M>>> дефолтовой инсталяции не так просто, как это сделать, когда там M>>> появляются всякие бесплатные форумы, гостебуки и прочая хрень M>>> сомнительного происхождения и качества, а на файлы сайта выдано прав M>>> больше, чем нужно.
PE>> Именно в дефолтовой ломается легко. В той дефолтовой, что есть у меня, PE>> около 10 непатченых уязвимостей в общей сумме.
M>Только сколько этих уязвимостей реально доступны в ДЕФОЛТОВОЙ инсталяции?
M>Возьмем, например, changes with Apache 2.0.47
M> *) SECURITY [CAN-2003-0192]: Fixed a bug whereby certain sequences M> of per-directory renegotiations and the SSLCipherSuite directive M> being used to upgrade from a weak ciphersuite to a strong one M> could result in the weak ciphersuite being used in place of the M> strong one. [Ben Laurie]
M>mod_ssl по умолчанию отключен.
M> *) SECURITY [CAN-2003-0253]: Fixed a bug in prefork MPM causing M> temporary denial of service when accept() on a rarely accessed port M> returns certain errors. Reported by Saheed Akhtar M> <S.Akhtar@talis.com>. [Jeff Trawick]
M>Временно выводит из строя апач, доступа к системе не дает. Более точного описания проблемы я не нашел, так что сказать можно ли это воспроизвести на конфигурации по умолчанию я не могу.
M> *) SECURITY [CAN-2003-0254]: Fixed a bug in ftp proxy causing denial M> of service when target host is IPv6 but proxy server can't create M> IPv6 socket. Fixed by the reporter. [Yoshioka Tsuneo M> tsuneo.yoshioka@f-secure.com]
M>Поддержки IPv6 в дефолтовой конфигурации нет.
M> *) SECURITY [VU#379828] Prevent the server from crashing when entering M> infinite loops. The new LimitInternalRecursion directive configures M> limits of subsequent internal redirects and nested subrequests, after M> which the request will be aborted. PR 19753 (and probably others). M> [William Rowe, Jeff Trawick, Andre Malo]
M>Это тоже в дефолтовой конфигурации не происходит.
Re[11]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
V>>осталось посмотреть на девчёнку Плутония, которую он наверное разместил в голом V>>виде (чтобы можно было надругаться) на своей домашней страничке (причём сразу на головной).. V>>смотрим в профайл:
V>>about:blank V>>.... V>>облом.. V>>Плутония, ты увлекаешься аналогиями.. они у тебя мягко говоря хромают.. V>>никто конфиденциальную информауию (а по нормальному девчёнки — это конфеденциально) V>>на головной странице не размещает.. и ты в том числе.. так что думай лучше..
PE>Т.е. хакеру можно головную страницу менять ? А в соседнем фолдере он ничего посмотреть не может ?
ну вообще то именно так это всё обычно и пишется..
я уже говорил, что апач пускается от имени специфичным пользователем, с довольно ограниченными правами в системе
PE>А если ты узнал пароли администратора, то можно пользоваться только для смены страницы в фолдере /vhost/usr/http ?
видишь ли Плутония, для того что бы сменить головную страницу очень редко обязательно знать пароль администратора..
Plutonia написал(-а) в Thu, 28 Aug 2003 09:23:04 GMT:
PE> И ты привел все уязвимости апача ? Ничего не забыл, только четыре штукИ?
Нет, я привел только закрытые в последней версии. На полноту охвата не претендовал. У тебя есть контрпример? Критическая уязвимость, не закрытая в последней версии апача, воспользоваться которой можно в конфигурации по умолчанию?
зы: и почему здесь за оверквотинг не бьют по рукам или другим частям тела?..
Posted via RSDN NNTP Server 1.7 beta
Re[6]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, DOOM, Вы писали:
DOO>Давате я лучше уж скаже в чем дырочка: DOO>У одной функции есть параметр char * ДЛИНУ которого не проверяют и считают не более 20 символов, дальше понятно, что делают всякие нехорошие люди.
DOO>В *nix'ах таких дыр почему-то на порядок меньше
Да? А как ты считал? По-моему, это любимый вид атаки на *nix-ы. В Линуксах постоянно такие дырки вылавливают, стоит только, например, на www.debian.org зайти и полюбоваться на последние уязвимости (~50% — переполнение буффера).
А тут — из-за одной дырки столько шума...
Re[12]: Антивирусы должны эволюционировать быстрее.
PE>>Т.е. хакеру можно головную страницу менять ? А в соседнем фолдере он ничего посмотреть не может ? V>ну вообще то именно так это всё обычно и пишется.. V>я уже говорил, что апач пускается от имени специфичным пользователем, с довольно ограниченными правами в системе
Не "пускается от имени специфичным пользователем", а "следует запускать". Это разные вещи. Сечешь ?
PE>>А если ты узнал пароли администратора, то можно пользоваться только для смены страницы в фолдере /vhost/usr/http ? V>видишь ли Плутония, для того что бы сменить головную страницу очень редко обязательно знать пароль администратора..
Я знаю это. Что дальше ?
Как на счет массовых взломов, когда ломались все сайты на одном IP ?
Re[12]: Антивирусы должны эволюционировать быстрее.
PE>>Я знаю это еще с первой версии собига. Я писал уже, что собиг живет на тачке и я с ним играюсь. PE>>Я знаю, что он ставит на тачку проги. Я писал уже что червь может только дуру вовне открыть. Более сам он ничего не делает. Есть другие черви — они воруют пароли, куки, списки мыльников и тд.
V>) Супер.... я с ним играюсь.... с глистом... фот они — апологеты виндоувы.. V>черви — это безобидные создания )
Ну да. Еще и разные версии есть.
V>>>ужас.. цифры то какие страшные.. сколько там говоришь на h-zone регестрируют то? PE>>А сколько фактов подмены страницы было из 3 этих случаев? V>зачем мою фразу потёр..
Последние данные компании Symantec, которая использует обширную сеть обнаружения вторжений для регистрации интернет-адресов инфицированных Windows-ПК и серверов, показывают, что с понедельника прибежищем зараженных компьютеров стали 380 тыс. адресов
V>там про сотони тысяч а не про 3 говорилось..
3 — это описка явная. Давай, приведи пример, на скольки из 380 случаев были подмены страницы.
V>>>Широко известен случай, когда Microsoft Service Pack 6 для Windows NT вывел из строя тысячи серверов
PE>>То-то я смотрю, что после того случая Миксрософт вовсе развалилась.
V>ещё нет.. пока что только объявила что "период экстенсивного роста закончился"..
Сервис пак 6й давно вышел. А она только что объявила, что период роста закончился. При чем здесс сервис пак ?
V>классная у тебя кстати последняя отмаза на все аргументы.. V>типа
V>"всё это конечно так, но ведь микрософт то всё ещё жив? V>почему? да потому что всё что ты говоришь — фигня.."
Ессесно.
Re[13]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
PE>>>Т.е. хакеру можно головную страницу менять ? А в соседнем фолдере он ничего посмотреть не может ? V>>ну вообще то именно так это всё обычно и пишется.. V>>я уже говорил, что апач пускается от имени специфичным пользователем, с довольно ограниченными правами в системе
PE>Не "пускается от имени специфичным пользователем", а "следует запускать". Это разные вещи. Сечешь ?
ага, и точно так же секу, что "паролю администратора следует быть тяжелоподбираемым"...
не "должен быть" а "следует"..
сечёшь?
про кривизну рук н аэтом топике уже раз 10 упомянали, чего на неё кивать то?
PE>>>А если ты узнал пароли администратора, то можно пользоваться только для смены страницы в фолдере /vhost/usr/http ? V>>видишь ли Плутония, для того что бы сменить головную страницу очень редко обязательно знать пароль администратора.. PE>Я знаю это. Что дальше ? PE>Как на счет массовых взломов, когда ломались все сайты на одном IP ?
ну а тут что такого? ты думаешь для этого админовский пароль обязательно должен быть?
вообше соображаешь, как делается "много сайтов на рдном IP"?
причём тут админовский пароль я тебя спрашиваю?
V>>>>ужас.. цифры то какие страшные.. сколько там говоришь на h-zone регестрируют то? PE>>>А сколько фактов подмены страницы было из 3 этих случаев? V>>зачем мою фразу потёр.. PE>Последние данные компании Symantec, которая использует обширную сеть обнаружения вторжений для регистрации интернет-адресов инфицированных Windows-ПК и серверов, показывают, что с понедельника прибежищем зараженных компьютеров стали 380 тыс. адресов V>>там про сотони тысяч а не про 3 говорилось.. PE>3 — это описка явная. Давай, приведи пример, на скольки из 380 случаев были подмены страницы.
а зачем?
знаешь, разговор на что походит?
я тебе:
в X-губернии за неделю изнасиловали 10000 девушек..
ты мне:
ну и что.. ты давай приведи пример, сколько из них ещё к тому же при этом обозвали, назвав "*"-дью..
что ты хочешь этим сказать?
V>>>>вот тут МС думает как жит дальше: V>>>>http://www.zdnet.ru/?ID=305367 V>>>>интересная цитата: V>>>>
V>>>>Широко известен случай, когда Microsoft Service Pack 6 для Windows NT вывел из строя тысячи серверов
PE>>>То-то я смотрю, что после того случая Миксрософт вовсе развалилась. V>>ещё нет.. пока что только объявила что "период экстенсивного роста закончился".. PE>Сервис пак 6й давно вышел. А она только что объявила, что период роста закончился. При чем здесс сервис пак ?
а при чём тут что он апосле этого не развалилась?
V>>классная у тебя кстати последняя отмаза на все аргументы.. V>>типа V>>"всё это конечно так, но ведь микрософт то всё ещё жив? V>>почему? да потому что всё что ты говоришь — фигня.." PE>Ессесно. дык и Бен Ладен до сих пор жив.. может мне уже бежать себе скорее обрезание делать?
Здравствуйте, vvaizh, Вы писали:
V>а зачем? V>знаешь, разговор на что походит? V>я тебе:
V>в X-губернии за неделю изнасиловали 10000 девушек.. V>ты мне: V>ну и что.. ты давай приведи пример, сколько из них ещё к тому же при этом обозвали, назвав "*"-дью..
Скорее наоборот — 10000 обозвали и побили, но ни одной не изнасиловали.
Присутствие червя на тачке != факт (взлома == насилия). Это факт наличия незапертых дверей.
А вот страничка подмененная == факт (взлома == насилие). Это факт того, что ктото воспользовался дверью, чтобы нагадить в доме.
V>>>классная у тебя кстати последняя отмаза на все аргументы.. V>>>типа V>>>"всё это конечно так, но ведь микрософт то всё ещё жив? V>>>почему? да потому что всё что ты говоришь — фигня.." PE>>Ессесно. V> дык и Бен Ладен до сих пор жив.. может мне уже бежать себе скорее обрезание делать?
Откуда такие данные ? Ссылки на достоверные источники давай.
Re[15]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
V>>а зачем? V>>знаешь, разговор на что походит? V>>я тебе:
V>>в X-губернии за неделю изнасиловали 10000 девушек.. V>>ты мне: V>>ну и что.. ты давай приведи пример, сколько из них ещё к тому же при этом обозвали, назвав "*"-дью..
PE>Скорее наоборот — 10000 обозвали и побили, но ни одной не изнасиловали.
ну как это как это..
червь предполагает обязательно исполнение кода на взорманной стороне..
а замена страницы нет...
имхо замена как раз безобиднее..
PE>Присутствие червя на тачке != факт (взлома == насилия). Это факт наличия незапертых дверей.
ага, и того, что червь кому то сообщил об этом
а уж побывал там кто то или нет, должна видимо полиция заниматься..
PE>А вот страничка подмененная == факт (взлома == насилие). Это факт того, что ктото воспользовался дверью, чтобы нагадить в доме.
да нет, ошибаешься.. это факт того, что кто то засунул какую то гадость в скважину,
или проще обоссал угол дома, а за дверь пройти не смог
никакого проникновения внутрь и не было..
надпись он на двери поменял.. а об дверь зубы обломал..
V>>>>классная у тебя кстати последняя отмаза на все аргументы.. V>>>>типа V>>>>"всё это конечно так, но ведь микрософт то всё ещё жив? V>>>>почему? да потому что всё что ты говоришь — фигня.." PE>>>Ессесно. V>> дык и Бен Ладен до сих пор жив.. может мне уже бежать себе скорее обрезание делать? PE>Откуда такие данные ? Ссылки на достоверные источники давай.
Про что ? про то что Бен Ладен пока жив?
амеры не далее месяца назад такое заявляли..
куда уж достовернее..
ты лучше обломись, пока я ссылку искать не стал..
Plutonia написал(-а) в Thu, 28 Aug 2003 11:26:34 GMT:
PE> Присутствие червя на тачке != факт (взлома == насилия). Это факт PE> наличия незапертых дверей.
Да, из твоей системы делают проходной двор (используют для организации ddos на третье лицо или еще каким образом), по тихоньку выносят имущество (воруют пароли/контакт-листы/адресные книги...) или просто сносят все нафиг (возможно, для того, чтобы замести следы от первых двух пунктов), но это, конечно, является чем угодно, но только не несанкционированным доступом ака взломом. :/
Posted via RSDN NNTP Server 1.7 beta
Re[16]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, vvaizh, Вы писали:
PE>>Скорее наоборот — 10000 обозвали и побили, но ни одной не изнасиловали.
V>ну как это как это.. V>червь предполагает обязательно исполнение кода на взорманной стороне.. V>а замена страницы нет... V>имхо замена как раз безобиднее..
Факт замены — факт персонального присутствия на тачке хакера. В случае с червем присутствует только червь.
Червь, например собиг, сам по себе мало опасен. Опасен тот, кто собирает результаты работы червя.
PE>>Присутствие червя на тачке != факт (взлома == насилия). Это факт наличия незапертых дверей. V>ага, и того, что червь кому то сообщил об этом V>а уж побывал там кто то или нет, должна видимо полиция заниматься.. V>или проще обоссал угол дома, а за дверь пройти не смог V>никакого проникновения внутрь и не было.. V>надпись он на двери поменял.. а об дверь зубы обломал..
Расскажи о случаях смены страницы без доступа к внутренней информации.
V>Про что ? про то что Бен Ладен пока жив? V>амеры не далее месяца назад такое заявляли.. V>куда уж достовернее.. V>ты лучше обломись, пока я ссылку искать не стал..
Нет, я лучше подожду.
Re[17]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
PE>>>Скорее наоборот — 10000 обозвали и побили, но ни одной не изнасиловали.
V>>ну как это как это.. V>>червь предполагает обязательно исполнение кода на взорманной стороне.. V>>а замена страницы нет... V>>имхо замена как раз безобиднее..
PE>Факт замены — факт персонального присутствия на тачке хакера.
Да ничего подобного..
я чувствую ты не посмотрел ничего про WebDAV..
кроме того — это факт присутствия под непонятно каким пользователем,
что тоже далеко не всегда страшно..
PE>В случае с червем присутствует только червь. PE>Червь, например собиг, сам по себе мало опасен. Опасен тот, кто собирает результаты работы червя. уфффф. успокоил... т.е. машину ещё не трахнули.. её просто раком поставили..
а она стоит и ждёт того, кто же наконец все результаты собрал..
PE>>>Присутствие червя на тачке != факт (взлома == насилия). Это факт наличия незапертых дверей. V>>ага, и того, что червь кому то сообщил об этом V>>а уж побывал там кто то или нет, должна видимо полиция заниматься.. V>>или проще обоссал угол дома, а за дверь пройти не смог V>>никакого проникновения внутрь и не было.. V>>надпись он на двери поменял.. а об дверь зубы обломал.. PE>Расскажи о случаях смены страницы без доступа к внутренней информации.
ну я сказал например, что нас тоже ломали..
никакой информации не свистнули (а она слава богу была.. )
V>>Про что ? про то что Бен Ладен пока жив? V>>амеры не далее месяца назад такое заявляли.. V>>куда уж достовернее.. V>>ты лучше обломись, пока я ссылку искать не стал.. PE>Нет, я лучше подожду.
Ага.. а я подожду что с МС дальше будет..
V>ну как это как это.. V>червь предполагает обязательно исполнение кода на взорманной стороне.. V>а замена страницы нет... V>имхо замена как раз безобиднее..
Хотелось бы отметить
[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root
Вы думаете все кинулись патчить это ? Нет. Хостинг, где я обитаю, не спешит патчиться. Самому его чтоль хакнуть, что пропатчили ?
Re[17]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
V>>ну как это как это.. V>>червь предполагает обязательно исполнение кода на взорманной стороне.. V>>а замена страницы нет... V>>имхо замена как раз безобиднее..
PE>Хотелось бы отметить PE>[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root
PE>Вы думаете все кинулись патчить это ? Нет. Хостинг, где я обитаю, не спешит патчиться. Самому его чтоль хакнуть, что пропатчили ?
ага... ты попробуй попробуй..
и вообще непонятно как связано то что я написал с твоей фразой..
какую такую ftp-головную страницу там меняют?
Здравствуйте, Plutonia Experiment, Вы писали:
PE>Здравствуйте, vvaizh, Вы писали:
PE>>>Хотелось бы отметить PE>>>[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root
PE>>>Вы думаете все кинулись патчить это ? Нет. Хостинг, где я обитаю, не спешит патчиться. Самому его чтоль хакнуть, что пропатчили ?
V>>ага... ты попробуй попробуй.. V>>и вообще непонятно как связано то что я написал с твоей фразой.. V>>какую такую ftp-головную страницу там меняют?
PE>Ты на бронепоезде ?
ага.. ты меня на него выкинул.. потерев фразу вверху..
в которой я описываю, что для замены страниц необязательно рутовый пароль знать..
PE>>>[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root PE>"ftp-головную" — это у тебя температура поднялас. Сходи пописяй чтоли.
а я думал у тебя..
Здравствуйте, vvaizh, Вы писали:
PE>>>>Хотелось бы отметить PE>>>>[31.07.2003] DSA-357 wu-ftpd — удалённое присвоение привилегий root
PE>>>>Вы думаете все кинулись патчить это ? Нет. Хостинг, где я обитаю, не спешит патчиться. Самому его чтоль хакнуть, что пропатчили ?
V>>>ага... ты попробуй попробуй.. V>>>и вообще непонятно как связано то что я написал с твоей фразой.. V>>>какую такую ftp-головную страницу там меняют?
PE>>Ты на бронепоезде ?
V>ага.. ты меня на него выкинул.. потерев фразу вверху.. V>в которой я описываю, что для замены страниц необязательно рутовый пароль знать..
И из этого следует, что знаю рутовый пароль, странички менять нельзя ?
Масачусетский университет ломанули чз эту дыру.
Re[21]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>И из этого следует, что знаю рутовый пароль, странички менять нельзя ?
Нет, из этого следует что "замена головной страницы" не обязательно предполагает "знание рутового пароля"..
PE>Масачусетский университет ломанули чз эту дыру.
Ну вот.. из таких случаев и нужно собирать статистику "взломов"
Потому что большая часть остальных "взломов" наверняка была произведена более безобидными способами
Здравствуйте, AndrewVK, Вы писали:
AVK>Патч для RPC был выпущен до вируса. Более того — почти уверен что вирус написали, прочитав описание ошибки при выкладывании патча. Так что никакой изощренности тут нет, просто очередной раз наказали админов за головотяпство.
Это кстати становится нездоровой традицией. Mssql-ый червь тоже был написан по мативам МСДН-а.
... << RSDN@Home 1.1 beta 1 >>
Есть логика намерений и логика обстоятельств, последняя всегда сильнее.
Re[8]: Антивирусы должны эволюционировать быстрее.
Здравствуйте, mekanik, Вы писали:
M>А то, что сайты под управлением Linux+Apache ломают чаще, так это от того, что такое решение очень часто используется на площадках начального уровня, где экономят на всем, по этому администрируют это обычно низкоквалифицированные люди, активную начинку пишут школьники-десятиклассники, прочитавшие накануне что-нибудь типа "php за 15 минут" или "html для дегенератов".
Предлагаю задуматься над таким фактом: Windows в качестве серверной платформы очень часто выбирают из-за простоты инсталляции и конфигурирования, а Линукс только последнее время стало можно поставить без чтения кучи манов.
Здравствуйте, iZEN, Вы писали:
ZEN>А не кажется ли вам, уважаемые, что такие вот дырочки типа "переполнение буфера" — прямое следствие ущербности языка программирования C (и далее — C++), на котором написано подавляющее количество промышленных систем (Windows, Apache, IIS, UNIX) и который не контролирует поведение строк и подобных низкоуровневых конструкций (выход за пределы массива, например).
Нет, не кажется. Ибо если сейчас такое ищут в реализации вызовов API, то будут искать ровно те же самые дырки в реализации JVM. Аналогия прямая.
Здравствуйте, DOOM, Вы писали:
DOO>Нет msblast основан именно на дырочке, очень ТУПОЙ дырочке(что ж еще ждать от мелкософта), а если msblast всего лишь перезагружает машину, то он очень гуманен, поскольку, используя этот баг можно получить shell удаленной машины с правами системы...
Если бы одни люди не делали ошибок, другие люди не имели бы работы. Подумай об этом на досуге... Возможно именно ошибки других людей кормят и тебя...
З.Ы.: Сложно оценить ТУПОСТЬ ошибки или ввести какие-нибудь критерии тупости ошибки. Всегда найдется человек который может сказать что эта ошибка тупая, однако это не значит что так оно и есть. ОЧЕНЬ сложно сделать ОЧЕНЬ крупный проект без ошибок( могу даже сказать больше НЕВОЗМОЖНО). Учитывай, пожалуйста, этот факт прежде чем говорить такие вещи.
Здравствуйте, Plutonia Experiment, Вы писали:
PE>На прошлой неделе еще можно было этот вирь выкачать в исходниках. Его не в Микрософте писали. PE>Но в любом случае челы лояльно к винде относятся.
А реально ли исходники скачать сейчас? Я бы очень хотел посмотреть на них.
Заренее благодарен.
В первую очередь пострадают пользователи и их сети.
