- A hozzászóláshoz be kell jelentkezni
- 3860 megtekintés
Hozzászólások
5 honappal ezelott nyomtak meg. A ptrace buggal, amely marciusban latott napvilagot. MIvel az local root explit ket lehetseges verzio van:
1.) vagy belso ember volt
2.) megnyomtak, es utana jutottak root fiokhoz
A betorest nem most fedeztek fel, hanem korabban, es az elmult hetekben a fileok epseget ellenoriztek, az ellenorzoosszegek segitsegevel.
:|
- A hozzászóláshoz be kell jelentkezni
"Úgy tűnik, hogy a ftp.gnu.org-nak nem volt teljes mentése."
Volt, csak regi es mar lehet, h az is trojanos...
- A hozzászóláshoz be kell jelentkezni
hehe. regi mentes nem mentes. a trojanos meg plane
- A hozzászóláshoz be kell jelentkezni
jo mentes az az, amiben nincs trojan es lehetoleg minel frissebb.
ebben a kiveteles esetben lehet hogy a regi mentes jobb, mint a semmi, de mondjuk egy adatbazis mentesnel nem biztos hogy orulnek, ha mondjuk marciusi mentesem lenne.
Mindenesetre eleg trehanyan kezelnek egy ilyen fontossagu ftp szervert. Egy ilyen szerveren az lenne a minimum, hogy OS telepites utan telepitenek egy tripwire-t, vagy hasonlo checksum-olo programot, es mittom en cronbol ejjelente futtatjak. Az egybol kiszurja ha valtozik a file. Es nem egyenkent kell veggnezni. Ja es a checksumokat nem ott kellen tartani azon a szerveren. Az scp-t mar regen feltalatak...
Kicsit erdekes a bejelentes is. Azt mondjak, hogy nemsokara visszaallitjak a fileokat, de keresik a MISSING fileban levo checksumokat.
Egy kicsit az klasszikus Airplane filmre emlekeztet az egesz engem:
"...kedves utasaink, semmi gond nincs a repulogeppel nyugodjanak meg.... ooo, nincs veletlenul maguk kozott olyan, aki tud repulogepet vezetni?"
- A hozzászóláshoz be kell jelentkezni
Ennel egy hangyanyival egyszerubb ha a tripwire-t kompromittaljak.
- A hozzászóláshoz be kell jelentkezni
nem kell szuksegszeruen azon a gepen futnia tripwire binarisnak. futhat masik gepen is, nfs-en keresztul meg ellenorzi a fileokat.
- A hozzászóláshoz be kell jelentkezni
tukrozesek meg a mentesek is megvoltak vannak valamilyen allapotban. a legnagyobb baj, hogy 5 honappal ezelott nyomtak fel a szervert, es nem lehet tudni, hogy hany ircflood.c, ddos.c, vagy backdoor.c file kerult a gnu stuffokba. Ezert szinte majdnem egyeneket nekiallnak atnezni, es csak akkor teszik vissza a kerdeses fileokat, ha azok 1000% tisztak. Az ellenorzeshez a fieok checksum-at nezik (egy ellenorzoosszeg amelyet elozoleg MD5sum-mal keszitettek). A korabbi tiszta allapotrol keszult MD5sum-okat osszehasonlitjak a fileok mostani MD5sum-jaival, es ha nincs elteres, akkor jo a file.
Egyetlen kerdes merul fel. Mi van ha az MD5 fileokat is kompromitaltak? Honnan szereznek 5 honappal regebbi megbizhato sum-okat?
- A hozzászóláshoz be kell jelentkezni
Természetesen a tökéletes megoldás a Fibre Channel hurok másik gépre való bekötése, amely a cluster fájlrendszert RO felmountolja és folyamatosan ellenőrzi azt.
Csakhát kevés ilyen szabad fájlrendszer van (van egyáltalán?) és a Fibre Channel cuccok sem olcsók...
- A hozzászóláshoz be kell jelentkezni
A GNU ftpd megegyezik a wuftpd-vel?
- A hozzászóláshoz be kell jelentkezni
Úgy tudom, hogy a coda nem igazán több TB-nyi anyag effektív tárolására való, ahonnan másodpercenként esetenként több 10 MB-ot kell kivenni...
- A hozzászóláshoz be kell jelentkezni
Nem tudom miert kell ennyire *nyazni a dolgot meghogy barmok stb... ha egy microsoftos gepet tortek volna meg akkor is ilyen lenne a kommentarja, nemhiszem. Tudom ok nem penzert csinaljak stb stb de sztem ez nem valtoztat a dolgon, ki van rakva a gep a netre akkor valallni kell a kockazatot hogy felnyomjak, bugos volt megtortek, ha egy lakas ajtaja nyitva van akkor a betoro nemnezi kie a lakas, hatha meg olvasni sem tud :) a mentesrol meg annyit hogy nemtudom mennyi cucc volt a gepen de pl heti 1 ghostolas azert az jelentos adatmennyiseg, cd-ben (dvd-ben) vagy akar vinyoban merve is. Az adminrol meg csak annyit hogy sztem csinalta a dolgat, valami hiba volt a gepezetben es kihasznaltak, az hogy ki milyen ftpd-t hasznal az a sajat dontese....
- A hozzászóláshoz be kell jelentkezni
Vagy én nem értlek, vagy te nem olvastad el ennek a szálnak az elejét.
Ha arról beszélsz, hogy a checksumokat codán tárolnád, akkor utóbbi.
- A hozzászóláshoz be kell jelentkezni
az ellen, hogy valaki bemegy ssh-n keresztul, es lokalban megtori a gepet? Nem.
Szukebbre kell szabni a hozzaferessel rendelkezok listajat, es megszabni ki, mikor honna jelentkezhet be. RSA auth-ot hasznalni, esetleg azt password-del kombinalni.
- A hozzászóláshoz be kell jelentkezni
Gyerekek olvastatok az FSF-es fiú állítását? Szerinte nagy valószínűséggel belső ember volt (kérdés mit jelent "belső" embernek lenni). Azellen meg használhatsz bármit, ha nem válik az egész közösség teljesen paranoi-ássá, akkor vagy nagyon lassan halad a munka (sekkinek semmihez nincs joga és így egy-két embernek kell mindent megcsinálnia), vagy ugyanígy betörhetnek újra... Ilyen szinten már csak nagyon kis része a dolgoknak a technológia (keresni egy olyan exploit-ot ami még él az adott helyen és kihasználni), a nagyobb része emberi dolog... (Ilyenekkel szórakozni). Trükkökker egy alapvetően segítőkész programozói közegben nem lehetetlen egy suid-os bash-t szerezni magunknak (no persze azért nem a: no RMS lécci: chmod s+u /home/zsiraf/bash-ra gondolok, de valami hasonló elveken), azzal meg többnyire bármit meg lehet csinálni. (még a PGP secretkey-eket is meg lehet szerezni... :-(
Zsiráf
- A hozzászóláshoz be kell jelentkezni
Huuu A'rpi!
Mar ne haragudj, a RedHat/SuSe/Mandrake.../.../ mindent befordit a kernelbe?
Zsira'f
- A hozzászóláshoz be kell jelentkezni
ezeknek a moduloknak az elso dolga, hogy mast mutattatnak az lsmoddal...
- A hozzászóláshoz be kell jelentkezni