LXAdmin pwned

Tegnap ejjel irtam egy cikket, de valamiert meg nem jelent meg. Trey biztosan nem ert ra foglalkozni vele. Mondjuk akit erint, mar biztosan tud rola. Azert irom ide, mert napokkal kesobb a hir mar nem hir, es szerintem nagyon tanulsagos a tortenet. -- szerk.: megjelent, nyilvan turelmetlen voltam.

Az LXAdmin/Kloxo/HyperVM nevu, VPS (virtual private server) szolgaltatoknak szant, centralizalt domain/virtualhost-kezelo szoftverben a milw0rm egyik security szakertoje 2 tucat brutalis sebezhetoseget talalt. Mivel a vendor 2 heten at nem reagalt erdemben, igy a mult heten a milw0rm nyilvanossagra hozta a reszleteket:

http://www.milw0rm.com/exploits/8880

Ennek kovetkezteben bedolt kb. 100.000 virtualis domain a VAServ nevu brit VPS szolgaltatonal, miutan a hackerek fileszinten toroltek az adatokat szamos hostrol:

http://www.theregister.co.uk/2009/06/08/webhost_attack/

Az LXLabs nem tudott mit lepni az ugyben, a support forumban nem adtak valaszt a kerdesekre. A fejleszto ceg tulajdonosa es vezetoje, a magat Antikrisztusnak tarto, de amugy sokak altal brillians programozokent tisztelt, 32 eves K. T. Ligesh ongyilkos lett. Valoszinuleg ez az esemeny volt a kozvetlen inditeka:

http://www.theregister.co.uk/2009/06/09/lxlabs_funder_death/

Erosen ajanlott az LXLabs termekek hasznalatanak a mielobbi leallitasa.
Ami erdekes, hogy a VAServ domainjein kivul egyelore mashonnan nem erkezett hir tamadasrol. Erre ezt talaltam az alabbi forumban: "It looks like vaserv was hacked due to the owners lack of password security first and then hypervm used to contact the vps's from within his systems."

LXLabs forum, "Multiple Security Issues in hyperVM/Kloxo":

http://forum.lxlabs.com/index.php?t=msg&th=12317

( bsh | 2009. 06. 10., sze – 19:25 )

hú, azért ezek elég súlyos hibák :O

----------------------------------
feel the beat - it's everywhere!

( tomsolo | 2009. 06. 10., sze – 19:51 )

ISSUE #3 - default passwords

omg

No rainbow, no sugar

Ilyen öngyilkolós fajtára? Elképzelem, ahogy ülnek egy indiai ms irodában a programozók, egyszer csak elkezd kiabálni az egyik, hogy "Elfelejtettem felszabadítani a memóriát a LoadModule.c file 812. sora után, most megöngyilkolom magam!", odamegy az iroda egyik falához, ahol egy acélcsövön névre szóló kötelek lógnak, megkeresi a sajátját és szépen felakasztja magát. Este a műszak végén az utolsó emberkének meg szépen le kell vagdosnia a halottakat és le kell hordania a hátsó bejárathoz, ahol már vár a hullaszállító.

És akkor ezért adták ki ilyen soká a Vistát, mert a sok programmer állandóan csak felakasztotta magát, nem haladt a munka. Aztán végül elfogyott a munkaerő és kénytelenek voltak így kiadni. Gondolom azóta nem indiaiakat foglalkoztatnak.