https://www.opennet.me/openforum/vsluhforumID3/67938.html Разработчики популярного свободного IRC-сервера UnrealIRCd (http://www.unrealircd.com) опубликовали уведомление (http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt), в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку. <br><br><br>Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией.<br><br><br>Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более...<br><br>URL: http://seclist https://www.opennet.me/openforum/vsluhforumID3/67938.html#152 Fri, 18 Jun 2010 12:05:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;так, когда оно им удобно. Круто, так держать. <br>&gt;&gt;<br>&gt;&gt;Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про <br>&gt;&gt;фичи я молчу, пусть хотя бы шелл даёт. <br>&gt;<br>&gt;А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный <br>&gt;только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной <br>&gt;аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно <br>&gt;этот конкретно взятый SSH, то это не поможет, но вот от <br>&gt;подобного сетевого шума и расхода 30% CPU на криптографию спасёт. <br><br>Заодно замечу, что злосчастные 30% CPU я наблюдал только при снятии дампа по-живому, на далеко не самой быстрой машине. А вот сетевой шум я вообще не замечаю, даже на домашнем роутере (P-III, провайдер с более-менее честными 100 Мбит/с, прямая и обратная DNS-записи присутствуют, доменное имя и IP-адреса в инете засвечены, работает не первый год).<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#151 Fri, 18 Jun 2010 08:17:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;же машине сракерствуют. <br>&gt;&gt;<br>&gt;&gt;&gt;Это уже даже не user'ство, это, простите, натуральное ламерство. <br>&gt;&gt;<br>&gt;&gt;Да, конечно, желание нормального дизайна протокола и демона которое хоть как-то лимитирует <br>&gt;&gt;автоматизированное оптовое дергание тяжелых ремотных процедур ... бздуны теперь называют вот <br>&gt;&gt;так, когда оно им удобно. Круто, так держать. <br>&gt;<br>&gt;Покажите, как надо. Хотя бы пример программного продукта, не менее секурного. Про <br>&gt;фичи я молчу, пусть хотя бы шелл даёт. <br><br>А как вариант - прикрутить к протоколу начальный пароль (открытым текстом), предназначенный только лишь для получения доступа к процедуре полномасштабной, тяжёлой но безопасной аунтентификации для входа в систему. Конечно, если ботнет хочет досить именно этот конкретно взятый SSH, то это не поможет, но вот от подобного сетевого шума и расхода 30% CPU на криптографию спасёт.<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#150 Thu, 17 Jun 2010 19:18:30 GMT &gt; Информация о наличии проблемной версии в <br>&gt; репозиториях других дистрибутивов отсутствует, <br><br>В SuSE такого даже нет...<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#149 Thu, 17 Jun 2010 15:29:12 GMT &gt;правильно сказал, у лузерских :D <br><br>Они такие и должны быть у сетевых сервисов, иначе потом "в случае аварии" - от асфальта не отскребешься.<br><br>&gt;если на твоем сервере любую фс может перемонтировать любой лузер, то им <br>&gt;даже удачи желать не нужно. <br><br>угу, и вообще - сетевые сервисы желательно изолировать как можно ядренее. Так, на случай аварии. Они с внешним миром взаимодействуют. Он заведомо непредсказуем и может быть враждебен. Если не хочется как авторы анреала полгода троянцев раздавать с своего сервака - приходится .<br><br>&gt;зы: да пока шпага не требуется. <br><br>Ну тут обычно два вида вооружений - шпаги Д`Артаньяна и дубинки троллей :)<br><br>&gt;а своей можешь махать, она мне как видишь не мешает. :D <br><br>Да у меня вроде нет комплекса Д`Артаньяна, вот насчет второго я как-то менее уверен :)<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#148 Thu, 17 Jun 2010 14:26:56 GMT &gt;&gt;Слили в одном треде, <br>&gt;<br>&gt;Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко <br>&gt;пойдете с вашим легендарным качеством. <br><br>Проблемы только у вас, судя по всему. По крайней мере вы единственный, кто страдает.<br><br>&gt;&gt;пытаетесь доказать тот же свой бред в другом? <br>&gt;<br>&gt;Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны <br>&gt;постоянно забывают. Если все позакрывать фаером как вы советовали с sshd <br>&gt;- так даже анрыл с трояном будет неуязвим, пожалуй.<br><br>Бред, даже комментировать не хочу.<br><br>&gt; Если его порткноком огородить от левых товарисчей :)<br><br>Про port knocking и прочий security by obscurity было говорено уже не раз. Вы так ни разу и не соизволили ни признать свой слив, ни ответить по существу.<br><br>&gt;&gt;где вы так до сих пор мне и не ответили. <br>&gt;<br>&gt;Да там срача сильно много, при том понимаю бы если по существу, <br>&gt;а не просто обиженные визги и обсуждение оппонентов. <br><br>Вам были приведены конкретные технические причины, почему sshd не может отъедать м https://www.opennet.me/openforum/vsluhforumID3/67938.html#147 Thu, 17 Jun 2010 11:36:39 GMT &gt;Слили в одном треде, <br><br>Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется? Так держать, далеко пойдете с вашим легендарным качеством. <br><br>&gt;пытаетесь доказать тот же свой бред в другом? <br><br>Всего лишь провожу аналогии. Двойные стандарты то не рулят, о чем бздуны постоянно забывают. Если все позакрывать фаером как вы советовали с sshd - так даже анрыл с трояном будет неуязвим, пожалуй. Если его порткноком огородить от левых товарисчей :)<br><br>&gt;где вы так до сих пор мне и не ответили. <br><br>Да там срача сильно много, при том понимаю бы если по существу, а не просто обиженные визги и обсуждение оппонентов.<br><br>&gt;&gt;Прикопаться ко всем можно. Что-то вам не понравилось когда я наподдал за <br>&gt;&gt;наболевшее постоянно приводимому вами в пример sshd :P.<br>&gt;Не понравилось, что вы явно не понимали, о чём говорите. <br><br>Зато я вполне понимаю о чем я говорю - о том что если демона просто и без всяких задних мыслей вывесить в интернет без соплей и скотча, он начнет некисло кушать проц за счет обслуживания "сетево https://www.opennet.me/openforum/vsluhforumID3/67938.html#146 Thu, 17 Jun 2010 10:27:45 GMT &gt;еще раз, для одаренных - вопрос стоял не сколько уходит времени на <br>&gt;устранение (что отдельный разговор), а сколько дыра существует вообще. <br>&gt;и, кстати, не факт что она не эксплуатировалась. <br><br>Про то, что МС пренебрегает тестированием - для меня очевидный факт.<br><br>В свое время получил во время разработки странный результат, проявлявшийся в падении RPCSS при отправке не совсем корректно сформированного пакета RPC. Немножко анализа показало, что существует дыра, и вполне вероятно, эксплоитабельна.<br><br>Отправил уведомление MS с описанием вероятной дыры. Получил сообщение автоответчика, и стал ждать "живого" ответа. Прошел месяц. Два. Я забил. И вспомнил уже позже - когда через год появился Blast, который эксплуатировал эту самую дыру в RPC.<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#143 Wed, 16 Jun 2010 16:11:40 GMT правильно сказал, у лузерских :D<br>если на твоем сервере любую фс может перемонтировать любой лузер, то им даже удачи желать не нужно.<br><br>зы:<br>да пока шпага не требуется. а своей можешь махать, она мне как видишь не мешает. :D<br> https://www.opennet.me/openforum/vsluhforumID3/67938.html#142 Wed, 16 Jun 2010 14:10:11 GMT Очевидно, это одно из самых точных замечаний, из всего срача, написанного выше.<br>