The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом"  +/
Сообщение от opennews (??), 04-Сен-18, 19:18 
Чешский исследователь безопасности Владимир Смитка (Vladimír Smitka) провёл сканирование около 320 млн доменов и выявил (https://lynt.cz/blog/global-scan-exposed-git), что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотр выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать из для поиска уязвимостей), а также пароли и ключи доступа к СУБД, API и облачным сервисам.


Сканирование всех доменов в сети заняло около 4 недель, после чего исследователь попытался предупредить владельцев сайтов на которых зафиксирована отдача каталога ".git", организовав рассылку по email.
Адреса электронной почты были взяты из файла /.git/logs/HEAD. Из 390 тысяч сайтов удалось определить emаil для 290 тысяч, из которых 90 тысяч email оказались уникальными. После отправки предупреждения 18 тысяч адресов оказались уже не действующими. В ответ на рассылку было получено почти 2000 писем с благодарностями, 30 сообщений о ложном срабатывании, два письма от спамеров и одна угроза с намерением пожаловаться в полицию.

Изучение содержимого каталога ".git" показало, что 96% (186205  из выборки в 194000) сайтов содержат код на языке PHP и по 1% на Node.js (2394), Java (1742), Ruby (1199) и Python (1499). Код на Perl был найден в 504 случаях. 42 тысяча сайтов работают под управлением Ubuntu, 12906 - Debian, 9350 - CentOS, 3204 - Windows Server, 378 - RHEL, 216 - FreeBSD, 170 - Fedora, 152 - Gentoo, 50 - SUSE. Среди систем управления контентом лидирует WordPress  - 41139 сайтов, Drupal - 2256, Joomla - 1615, Typo3 - 1258, Bitrix  - 330.


URL: https://lynt.cz/blog/global-scan-exposed-git
Новость: https://www.opennet.dev/opennews/art.shtml?num=49225

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +10 +/
Сообщение от Аноним (1), 04-Сен-18, 19:18 
Во всем виноват git? При SVN такого не было!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +4 +/
Сообщение от anonn (?), 04-Сен-18, 19:38 
было же
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +20 +/
Сообщение от Владимирemail (??), 04-Сен-18, 19:41 
Отродясь такого не было и вот опять же, ну.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

146. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от ыпр (?), 12-Сен-18, 19:39 
сколько раз за сегодня эту фразу уже слышал =)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от Дуплик (ok), 04-Сен-18, 19:57 
При SVN было хуже в несколько раз:

https://habr.com/post/70330/

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

104. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от ano (??), 05-Сен-18, 11:14 
моя сорказм ни панемать
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

141. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от КО (?), 11-Сен-18, 13:07 
С каких пор 3 тысячи в несколько раз хуже 390 тысяч?

Хотя я не понимаю напоркуа там вообще версионка?
Например для Java. Они что весь гит в war засовывают при сборке?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –3 +/
Сообщение от пох (?), 04-Сен-18, 20:19 
конечно, не было:
<Directory ~ "/(\.svn|RCS|CVS)/">
    Satisfy All
    Order allow,deny
    Deny from all
</Directory>
сразу следом за ~ "^\.ht" и ",v$"
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Ilya Indigo (ok), 04-Сен-18, 21:14 
Всё ещё проше!
<Directory ~ "^\.">
    Require all denied
</Directory>
<Files ~ "^\.">
    Require all denied
</Files>

P.S. А вообще нефиг в DOCUMENT_ROOT что-попало сувать, аля вордпресс!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

136. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (136), 08-Сен-18, 08:19 
Не самое худшее. Дурпал куда противнее.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (44), 04-Сен-18, 21:58 
Доооо. И нгинкс фронтендом.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

89. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от пох (?), 05-Сен-18, 09:56 
не, это анахронизм же. "Во времена svn", когда *писали* такие конфиги, nginx был версии 0.чтототам, его как фронтенд использовали только редкие птицы.

а сейчас-то да, nginx frontend, как я, по твоему, скачал этот конфиг? ;-)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

51. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (-), 04-Сен-18, 22:18 
Я как ламо люблю собирать всякую фигню из git - доставляет удовольствие, греет ЧСВ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

91. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (91), 05-Сен-18, 10:12 
хостинг во всём виноват. Он должен был блокировать доступ к .git
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

108. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (108), 05-Сен-18, 13:43 
На хостинг надейся, а сам не плошай.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

7. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от Аноним (7), 04-Сен-18, 19:47 
> 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP

«Но похапе тут нипричом! Это погромисты плохие!»

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +12 +/
Сообщение от A.Stahl (ok), 04-Сен-18, 20:05 
Кто-то забыл служебную информацию от системы контроля версий: виноват ПХП.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +7 +/
Сообщение от Аноним (25), 04-Сен-18, 20:39 
Это просто показывает, что среди лопухов, выставляющих .git в общий доступ, пыхеры составляют подавляющее большинство.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Crazy Alex (ok), 04-Сен-18, 20:55 
Как и среди остальных сайтов
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +4 +/
Сообщение от anonymous (??), 04-Сен-18, 21:15 
Типичная ошибка выжившего. Сколько там сайтов не на похапэ?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

34. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Gemorroj (ok), 04-Сен-18, 21:17 
это показывает настоящую популярность языка, а не нахайпленное инфомесиво.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (36), 04-Сен-18, 21:19 
А ничего что подавляющие большинство сайтов на php
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

55. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Maxim (??), 04-Сен-18, 22:56 
Ну да 96% с дырами, и 83% в среднем по миру.

https://w3techs.com/technologies/details/pl-php/all/all

Манки-кодеры.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

109. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (108), 05-Сен-18, 13:44 
Ну хоть ты не такой.

Скорее покажи примеры своего кода, а мы поучимся.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

58. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от бедный буратино (ok), 04-Сен-18, 23:15 
у меня в корне лежит .hg, только ты его не вытащишь

потому что модель *что вижу, то и пою* из всего хоть сколько нибудь популярного есть только в php. и это источник 1000 неочевидных ошибок - избежишь одной, так нарвёшься на другую. 390 тыщ нарвались именно на эту

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

77. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от qrKot (?), 05-Сен-18, 08:13 
Расшаренный наружу .git к php ортогонален, он в принципе не может быть ошибкой php, хотя бы потому, что .git наружу в этом случае отдает не php, а apache или nginx.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

135. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от anonimous (?), 06-Сен-18, 19:39 
Проблема здесь не в самом git, а в php-программистах, которые часто не программисты, а говнокодеры, из-за низкого порога вхождения языка. На других языках с более высоким порогом вхождения таких дилетантов по идее должно быть поменьше.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от нах (?), 05-Сен-18, 09:23 
то есть сайт у тебя отдается напрямую через неэффективный, гнилой и дырявый python wsgi? Включая картинки и видеофайлы (впрочем, до видео у вас цивилизация, кажется, еще не дошла) Садись, коноплев, это пять, гордись дальше.

возможно, когда и если ты переедешь с дальнего востока куда-то, где не adsl 7мегабит является последним достижением цивилизации, и тебе доверят сайт не с полутора посетителями в час - ты узнаешь, почему остальные так не делают, совершенно независимо от того, какой именно "application service" тормозит на той стороне proxy_pass.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

124. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (124), 05-Сен-18, 23:32 
Как бе нормальная практика - это когда приложение может само выдать все свои ресурсы, перехват статики в обход proxy_pass делается уже как оптимизация
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

130. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от нах (?), 06-Сен-18, 10:34 
ну вот да, охрененная ж нормальная практика - видеоролик в пять гигабайт отдавать через приложение. Нет, что вы, это ж жабка, какой мультикаст, вы о чем... Причем мы ни о sendfile не слышали, ни о других оптимизациях - "приложение" же ж, ему не надо. Вот сейчас чо-та заранее ржу с такого проекта. Или там - сотню мелких css/js, по коннект/exec на каждый (фронтенд-то использует keepalive, и может даже http2, а "приложение" нет), и merge приложение, кстати, не умеет.

нормальная практика ровно в обратном - отдавать статику тем, что приспособлено к отдаче статики, а  заниматься "оптимизациями" вида "подставь тут ему ведерко с кэшем, потому что добраться до файлов напрямую мы не можем, а потом как-то еще научись этот кэш синхронизировать методом угадава" только когда приложение уже и с динамикой плохо справляется.

А ваша - не "нормальная", а "распространенная", потому что разработчики по другому не обучены, и других у нас не делают.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

71. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +5 +/
Сообщение от Sfinx (ok), 05-Сен-18, 06:12 
пхп всегда виноват, потому что гладиолус
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +16 +/
Сообщение от Аноним (8), 04-Сен-18, 19:48 
Accidentally open source.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –2 +/
Сообщение от anonymous (??), 04-Сен-18, 19:48 
SUSE совсем загнулась.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

147. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (147), 01-Окт-18, 02:47 
Статистика лишь показывает то, что у нубов популярна убунта и дебиан, а не реальную популярность этих дистров.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –3 +/
Сообщение от Аноним (10), 04-Сен-18, 19:55 
Апача же запрещает по-умолчанию доступ к файлам начинающимся с точки, значит во всем виноваты другие неправильно настроенные веб-серверы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (14), 04-Сен-18, 20:06 
> Апача же запрещает по-умолчанию доступ к файлам начинающимся с точки, значит во
> всем виноваты другие неправильно настроенные веб-серверы.

.git это не файл, а каталог.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от soarin (ok), 04-Сен-18, 20:10 
> In keeping with Unix philosophy, Unix systems treat directories as a type of file.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от A.Stahl (ok), 04-Сен-18, 20:08 
В каждой новости про релиз Апача обязательно найдётся несколько человек вопрошающие а зачем нужен Апач если есть офигенно-бежественно-колбасный что-то там (Блин, каждые пару недель про него новости тут как спам, а название вылетело).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

42. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +5 +/
Сообщение от koblin (ok), 04-Сен-18, 21:44 
IIS?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от имя (?), 04-Сен-18, 20:15 
По-умолчанию запрещает он только доступ к .ht*. Ты, вероятно, путаешь с дефолтом IndexIgnore: http://httpd.apache.org/docs/2.2/mod/mod_autoindex.html#inde...
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от Необъективный_ (ok), 04-Сен-18, 20:52 
Действительно, зачем переходить по ссылкам на оригинал статьи, если можно сразу написать комментарий?..
https://lynt.cz/media/blog/git-scan/git-http-servers.png
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

59. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (59), 04-Сен-18, 23:18 
> доступ к файлам начинающимся с точки

а к каталогам?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (21), 04-Сен-18, 20:21 
> Изучение содержимого каталога ".git" показало, что 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP

Объяснение: сайты на других языках не держат код в DocumentRoot, поскольку это не требуется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (22), 04-Сен-18, 20:27 
Типа Application Server держат файлы в руте...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Gemorroj (ok), 04-Сен-18, 21:18 
так и на пхп не требуется.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (1), 04-Сен-18, 20:28 
> и по 1% на Node.js (2394)

Нода из коробки вообще ничего не показывает наружу, как эти 1% ухитрились прострелить себе ногу? static от корня завели? Из php-мира мигрировали со своими привычками?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

100. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Админ (?), 05-Сен-18, 10:55 
Фронтенд поставил, для той же самой статики.
Да, от корня - я ничего не понимаю в твоей ноде и не могу переложить статику куда-то еще.

все, побежал - тут, говорят, с джангой такая же фигня на двух соседних серверах

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от тигар (ok), 04-Сен-18, 20:33 
тупые девопсики виноваты, 146%
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +4 +/
Сообщение от Аноним (26), 04-Сен-18, 20:44 
ну так деплойчик же удобненький, гитпулл и гатоооова, можно смузи пить
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

57. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от user (??), 04-Сен-18, 23:14 
Даже если неосилятор rsync, ну положи ты сайт в какой-нибудь www/index.html.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

67. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от user (??), 05-Сен-18, 01:42 
Писать html руками - это удобненько только девопсикам, которые на всём готовом.
А если сгенерённые коммитить - это мёржить задолбаешься.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –2 +/
Сообщение от Аноним (27), 04-Сен-18, 20:45 
Если бы админы были виндузятниками, то они бы этого не допустили. Потому что для ОС Windows файлы и каталоги, начинающиеся с точки, не являются скрытыми. Но админы использовали Linux, вот и не заметили их
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (94), 05-Сен-18, 10:17 
Существо, которое поднимает сайт на Linux и не знает о скрытых файлах - это не админ, а ламер.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от Необъективный_ (ok), 04-Сен-18, 20:47 
Очень уж короткая новость получилась и результаты исследования из статьи надерганы рандомно. Например, если не зацикливаться на абсолютном количестве сайтов на php, а посмотреть на график "Programming Languages by marketshare", то выводы у читателя будут совсем другие. Ну и в целом статья интересно написана. Рекомендую всем перейти по ссылке из новости и прочитать ее. Если есть время и желание, конечно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от DerRoteBaron (?), 04-Сен-18, 20:48 
Сервера на федоре?
Как бы я не любил федору на десктопе, для сервера это очень своеобразный выбор
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от фёдор (?), 04-Сен-18, 21:24 
ну то есть убунта на сервере вас уже совсем не смущает?

(странно, где же gentoo? Не детектится, что-ли?)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (39), 04-Сен-18, 21:33 
Гитом умеем пользоваться :)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

49. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от DerRoteBaron (?), 04-Сен-18, 22:07 
У убунты LTS-ветка к концу первого года с релиза становится более-менее стабильной и пригодной для использования, а потом ещё 4 года поддерживается, так что тут не всё так страшно.
К тому же для большинства людей (и большой части быдлокодеров тоже) Linux === Ubuntu, а серверная ОС, это либо (прости Господи) Windows Server, либо Linux (т.е. убунта), следовательно запустят они сервер на убунте.

А у Федоры и со стабилизацией пакетов похуже (в том числе из-за rolling-ядра), и релизы надо менять не реже раза в год.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –2 +/
Сообщение от анонимный психотерапевт (?), 04-Сен-18, 22:28 
>> К тому же для большинства людей (и большой части быдлокодеров тоже)

Молодец! Как всегда поделил людей на быдло и небыдло!
Сам-то ты из какого лагеря, ась?

Сам ответишь или постесняешься?

А..ты же барон!!! Я сразу и не заметил! Исчезаю!

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

80. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (80), 05-Сен-18, 08:39 
запустят убунту в окружении windows server :-)
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

85. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (85), 05-Сен-18, 09:27 
Gentoo - 152. Написано же.
И да, как бы я не любил этот дистрибутив - для production server - это крайне своеобразный выбор.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

70. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от turbo2001 (ok), 05-Сен-18, 04:40 
А что не так с федорой? У меня все сервера на федоре, нарадоваться не могу.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

78. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +5 +/
Сообщение от qrKot (?), 05-Сен-18, 08:16 
Слабоумие и отвага, например.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

82. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Gemorroj (ok), 05-Сен-18, 08:56 
а как часто обновляешь?
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

114. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от turbo2001 (ok), 05-Сен-18, 16:01 
Каждый день, обожаю обновления.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

38. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от Аноним (38), 04-Сен-18, 21:32 
1С-Битрикс в десятке!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

137. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Анонимemail (137), 09-Сен-18, 07:43 
Ага, плакать надо
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +8 +/
Сообщение от ОнАнон (?), 04-Сен-18, 21:40 
Я крайне удивлен, что лишь один ответ был с угрозой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от htower (ok), 05-Сен-18, 06:34 
Коля, звони в полицию!!!1111
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Штунц (?), 04-Сен-18, 21:47 
Я так понимаю, что следует папку .git размещать уровнем выше чем корневую Apache? Т.е. чтобы та была подпапкой репозитория. Верно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (47), 04-Сен-18, 22:06 
В одной директории с index
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от angra (ok), 04-Сен-18, 23:04 
Вообще-то git умеет разделять голый репозиторий и собственно рабочую директорию.
Вот только по умолчанию они в одной директории, а из использующих git очень мало тех, кто знает его дальше пятиминутного введения. Результат предсказуем.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

138. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Анонимemail (137), 09-Сен-18, 07:45 
Нет, нужно просто не давать доступ к .git
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (45), 04-Сен-18, 22:03 
>некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать их для поиска уязвимостей)

это реклама "безопасности" через неясность?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от Аноним (47), 04-Сен-18, 22:05 
Это все враньё.
Пыхеры не пользуются гитом - они редактируют либо сразу на серваке, либо заливают через ftp
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Василий (??), 04-Сен-18, 23:41 
Кстати, кроме шуток. Был в чатике одной довольно модной ныне cms, многие чуваки, да, пользуются ftp и все прочее делают как 15 лет назад, что такое права доступа толком не знают и далее по списку.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

95. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (91), 05-Сен-18, 10:18 
через ftp отдаются права доступа и их можно менять.
И как если не через ftp?
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

142. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от КО (?), 11-Сен-18, 13:14 
scp?
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

69. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от user (??), 05-Сен-18, 01:45 
>заливают через ftp

Ну а что делать, если хостер не умеет rsync? Не заливать же через веб-морду врукопашную по одному файлу.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

93. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (91), 05-Сен-18, 10:17 
через sftp наверное.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

143. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от КО (?), 11-Сен-18, 13:16 
Что мешает сделать нормальную сборку с одним архивом и ее деплоить?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

74. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 07:22 
вывсеврети!
Вчера аутсорсер столкнулся у нас с неодолимыми проблемами - не сумел выложить свой "продукт" на наш сервер, патамушта, барабанная дробь... git clone user@host у него ниработаит!

(ну да, ssh наружу закрыт, даже с хоста в dmz, нам рассадник червей не нужен. Вообще-то специально для них открыт веб, но "пользующиеся гитом", видимо, еще не успели прочитать про варианты, отличные от ssh)

будем делать ставки, получу я содержимое http://этахрень/.git/config с первой попытки, когда они все же победят выкладку?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

79. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от qrKot (?), 05-Сен-18, 08:34 
Чот не совсем понял, он не смог ВЫЛОЖИТЬ продукт на ваш сервер, или ЗАБРАТЬ продукт с вашего сервера? Потому что в случае http-транспорта он может его только забрать оттуда. Да и git clone ровно на то же намекает. Тем более, что вы сами олени, вместо нормальной ссылки на репозиторий http://domain.name/yourproject.git отдали человеку какую-то хрень. git clone http://domain.name/yourproject.git как раз сработает совершенно "прозрачно" для пользователя, он даже не заметит, что это не по ssh.

Дело в том, что на сервере может быть несколько больше одного урла, и при host=gitserver100500 урла может быть вполне себе http://git.myawesome.org. Т.е. вы человеку дали логин/пароль, что в подавляющем числе случаев означает ssh-доступ, сами ssh-доступ отключили, а потом злорадствуете? У меня для вас плохие новости!

Или вы его в ssh пустили на сервер, с которого исходящие ssh-соединения запрещены? Типа так?

>> ну да, ssh наружу закрыт, даже с хоста в dmz, нам рассадник червей не нужен

В целях борьбы с червями, однако, как правило, запрещают доступ по ssh извне, а не наружу. Иначе это называется "пусть у нас будет рассадник червей, главное - соседям не навредить". Похвально, конечно, но "слабоумие и отвага".

>> будем делать ставки, получу я содержимое http://этахрень/.git/config с первой попытки, когда они все же победят выкладку?

Прикол в том, что если вы git по http открыли, вы получите, как раз доступ к конфигу. Доступ к репе по ssh - это "показать папочку как есть наружу, со всеми вложениями". Иначе работать не будет.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

86. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от пох (?), 05-Сен-18, 09:32 
выложить. У него-то на этот сервер есть доступ по ssh (не нам же за его животными лоток выносить). А обратно ему никто вообще-то и не обещал (поскольку он и не просил ;)

> Прикол в том, что если вы git по http открыли

о, вы достойны работать у этого аутсорсера (кстати, ему пригодился бы админ). Разница между доступом к repository для деплоя (раз уж не продуманы более приличные варианты, впрочем, это немодно, continious development/delivery наше всьо) - возможно, не кому попало, и возможно, не по голому http даже (хотя ни нам, ни провайдеру нафиг не нужен неуловимый джо, а вот ssh-то я бы и не стал использовать, слишком много умеет лишнего) и оставленным без присмотра клоном уже в задеплоенном проекте вам, очевидно, неведома?

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

98. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (94), 05-Сен-18, 10:32 
> Да и git clone ровно на то же намекает.

лолшто?
С другой стороны, может оно и хорошо, что вы не понимаете, как заливается сайт через git: есть вероятность, что вы случайно выбрали безопасный для ваших "продуктов" вариант. Хотя вот о качестве "продукта" думать даже как-то не хочется, с такими-то познаниями.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

96. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (91), 05-Сен-18, 10:20 
можно через git через https загружать. https никто в здравом уме блокировать не будет.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

102. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от пох (?), 05-Сен-18, 11:08 
не, нельзя. Во-первых, таки заблокирован (этим конкретно я разрешил, предвидя, хм, ньюансы, но они, как видите, меня перехитрили), во-вторых чтобы раздавать git через https уже не хватит наспех прочитанной первой страницы https://git-scm.com/book/ru/v1/Git-%D0%BD%D0&... - надо дочитать хотя бы до пятой и еще и уметь в апач.

(и да, у него вся документация такая вот отвратительная - пять страниц про ssh, одна про git server с восхвалением ненужного протокола и ровно ноль про то, что если нужен нормальный доступ с аутентификацией, то добро пожаловать в мир gogs/gitea/gitlabCE - которые не-админ хрен настроит нормально. Патамушта Линус, шлите ваши патчи в рассылку!)

А hg вы не умеете. :-(

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

105. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от user (??), 05-Сен-18, 11:16 
>в здравом уме

"Эх, бросить бы всё и уехать в Урюпинск..."

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

50. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (-), 04-Сен-18, 22:16 
>  378 - RHEL

А вот и мифическая рука RHEL вам. Где-то в глубокой опе на порядок за Windows.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 07:23 
или они умеют настраивать свои сайты.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

81. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от qrKot (?), 05-Сен-18, 08:39 
Они конкретно умеют, согласен. Или, погодите! 378 - примерно правдоподобная цифра для хост-площадок компании уровня RH! Может быть, это они сами и не умеют? А остальные - просто не пользуются)
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

87. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 09:47 
я, конечно, свечку не держал, но что-то мне подсказывает, что за rh (учитывая что именно покупают - и это не голый сервер rhel с поддержкой "мы о тебе не помним") платят как раз те, у кого давно уже не плоская инфраструктура, и даже если ты найдешь на фронтенде какой-то .git, то в нем окажется статика, которую имеет смысл держать непосредственно на фронтенде - ну получишь ты из этого гита прошлую версию логотипа, молодец, возьми с полки пирожок. Но скорее всего и статика просто кэшируется, а берется откуда-то, где нет никакого .git

а бэкэнд скорее всего вообще веб-сервера не содержит, и даже если туда как-то ухитришься передать запрос, он содержимое .git попытается выполнить, расстроится и упадет (ничего страшного, докер переподнимет, оно всегда падает).

А еще, в rhel, вы будете смеяться, по сей день нет nginx в дистрибутиве.
https://access.redhat.com/solutions/158763

ентер прайс, все дела... с другой стороны, если ты на самом деле продаешь выхлоп веб-сервера - nginx у тебя, скорее всего, самособранный. И может быть даже самопатченный. Независимо от дистрибутива.


Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

97. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (91), 05-Сен-18, 10:28 
у них есть в redhat software collection. За отдельные деньги конечно же.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

99. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 10:41 
ну этож отстойник для неосиляторов самим собрать - с тем же успехом можно использовать epel, если уж к nginx repo душа не лежит или про него забыли рассказать. Или даже с большим-  судя по частоте секьюрити-рассылки по продуктам из этой "коллекции", присмотра за ней нет никакого.

кстати, apache-itk, по-моему, тоже там же только.

типичному покупателю видимо, либо уже-не-надо, либо у него "приложения".

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

54. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (54), 04-Сен-18, 22:36 
Где он взял столько доменов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (62), 04-Сен-18, 23:52 
alexa
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

92. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от пох (?), 05-Сен-18, 10:15 
не угадали.

So, I used DNS log from the OpenData Rapid 7 project.  This was a 3.5TB text file in JSON format, which shows the individual queries:

{"timestamp":"1530259463","name":"<domain>","type":"<a/cname/mx/..>","value":"<ip>"}

Linux offers lots of handy Gzip tools (zcat,...), so processing such a large volume of data wasn't a big problem.

There was a huge amount of various domains and subdomains on the list and it was necessary to reduce them and select only the "interesting" domains. I only filtered A queries on second-level domains of selected TLDs (generic, European + eu, other major states, popular new TLDs: top, xyz, etc.). That's how I got the list with more than 230 million domains.

https://opendata.rapid7.com/ - качайте на здоровье.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

60. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (60), 04-Сен-18, 23:24 
уфф, мне писем от него не приходило :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Vladim237r Smitka (?), 05-Сен-18, 07:24 
ваш почтовый сервер считает почту из чехии - спамом.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от pda (?), 05-Сен-18, 01:12 
Сказочные программисты. Зачем их только с локалхоста выпустили?..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Около 390 тысяч сайтов оставили открытыми каталоги .git..."  +1 +/
Сообщение от arisu (ok), 05-Сен-18, 06:56 
лежит себе, никому не мешает, люди пользуются… нет, обязательно найдётся вот такой вот «исследователь безопасности», который всё испортит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от Аноним (85), 05-Сен-18, 09:23 
Я один не понимаю, откуда на сайтах, написанных на Java вообще взялась папка .git  в корне? Проект же собирается отдельно и потом деплоится. Я могу понять на скриптовых языках такое - зашел, git pull - и всё, деплой обновления завершен. На Java такое не прокатит. Разве только если шаблоны отдельно хранить и обновлять как скриптовые сайты... Но к ним веб сервер доступ иметь не должен. Значит остаются только ресурсы - картинки и js либы, которые зачем-то хранятся в git, но при этом деплоятся отдельно от кода?

Кто-то может поделиться опытом? Как у вас проект организован так, чтобы .git вообще попал в область видимости веб сервера?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

129. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от нах (?), 06-Сен-18, 10:22 
> Кто-то может поделиться опытом? Как у вас проект организован так, чтобы .git вообще попал в
> область видимости веб сервера?

ты хочешь статику отдавать томкэтом? Нет? Ну, вот...

Ничего такого ужасного-ценного для кульхацкеров в том гите не будет, оно и так все либо доступно в вебе, либо было недавно, но таки да, неаккуратненько.

Смешнее получается, когда и жабаблоб лежит себе ниже docroot, хотя никаким веб-сервером обрабатываться не должен, и его, при некотором энтузиазме, можно добыть как octet-stream. Но уговаривать разработчиков поменять пути - долго, дорого, неприятностей себе на жопу. Приходится работать из того матеръяла, что они навалили.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

144. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от КО (?), 11-Сен-18, 13:19 
>Ничего такого ужасного-ценного для кульхацкеров в том гите не будет,

Сколько человек думают, что удалив файл с настройками (читай паролями) они сделали его недоступным?
При условии что можно по версионке восстановить что было до того?

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

145. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от КО (?), 11-Сен-18, 13:24 
>ты хочешь статику отдавать томкэтом? Нет? Ну, вот...

Ммм. А тот же war унзипнуть по scp на сервер с nginx/apache религия не позволяет?
В одном скрипте деплоя можно же.

Хотя если http сервером рулит другой человек, ему наверно сложно.

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

88. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –2 +/
Сообщение от Нанобот (ok), 05-Сен-18, 09:48 
>по недосмотру выставили в публичное пространство без ограничения доступа

интересно, каким образом чешский исследователь безопасности Владимир Смитка определил, что выставили именно по недосмотру, а не сознательно, потому что людям нечего скрывать? наверно он серьёзный иксперт, раз смог это определить, сидя на диване в своей чехии...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от user (??), 05-Сен-18, 11:19 
>потому что людям нечего скрывать

https://ru.wikipedia.org/wiki/Honeypot

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

123. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от SubGun (ok), 05-Сен-18, 23:32 
Я же надеюсь это сарказм? Иначе сразу в цитатник "потому что людям нечего скрывать".
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

90. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 10:11 
на самом деле не плачьте, фанаты редкоупоминаемых дистрибутивов - есть и у вас .git, просто скан был неаккуратный - глянул я в этот apps.json:
|"CentOS": {
      "cats": [
        28
      ],
      "headers": {
        "Server": "CentOS",
        "X-Powered-By": "CentOS"
      },
      "icon": "CentOS.png",
      "website": "http://centos.org"
},

как-то вот так оно делает. Смотрим ближайший кривонастроенный центос:

GET /.git/config  HTTP/1.0

HTTP/1.1 404 Not Found
Server: nginx/1.14.0
Date: Wed, 05 Sep 2018 06:48:53 GMT
Content-Type: text/html
Content-Length: 169
Connection: close

ну и чего бы мы тут угадали? Количество сузей и центосов, по сей день использующих фронтендом апач?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –2 +/
Сообщение от iZEN (ok), 05-Сен-18, 11:06 
Давно пора ввести вход в Интернет "по паспортам" для всех - чтобы не шлялись просто так по чужим ресурсам без авторизации и личного токена, не оставляя следов кроме IP-адреса, с которого произошёл вход. IP-адрес можно подменить, зайти с любого публично, а личный токен для входа в Интернет - вряд ли. Так службам безопасности легче выявлять нарушителей закона о неправомерном доступе к оставленной по каким-то причинам незащищённой информации и персональным данным.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

103. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от товарищ майор (?), 05-Сен-18, 11:11 
погоди, как это подменить? Мы ж паспорта и так всех заставили проверять?

и этих...публичных, тоже.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

127. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (-), 06-Сен-18, 08:57 
Если бы не быть знакомым с тобой, то можно было бы подумать, что это лихая шутка.
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

140. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (-), 11-Сен-18, 03:38 
>  а личный токен для входа в Интернет - вряд ли

А что этому помешает, интересно? Или ты думаешь, что хомяки токен будут содержать безопаснее чем свои хламежные роутеры и дырявый софт?

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

110. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от Аноним (110), 05-Сен-18, 13:56 
впихивайте в разные места


map $query_string  $block {
        default         0;
     "~*[a-zA-Z0-9_]=(\.\.//?)+" 1;
     "~*[a-zA-Z0-9_]=/([a-z0-9_.]//?)+" 1;
     "~*\=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}" 1;
     "~*(\.\./|%2e%2e%2f|%2e%2e/|\.\.%2f|%2e\.%2f|%2e\./|\.%2e%2f|\.%2e/)" 1;
     "~*ftp\:" 1;
     "~*\=\|w\|" 1;
     "~*^(.*)/self/(.*)$" 1;
     "~*^(.*)cPath=http://(.*)$" 1;
     "~*(\<|%3C).*script.*(\>|%3E)" 1;
     "~*(<|%3C)([^s]*s)+cript.*(>|%3E)" 1;
     "~*(\<|%3C).*embed.*(\>|%3E)" 1;
     "~*(<|%3C)([^e]*e)+mbed.*(>|%3E)" 1;
     "~*(\<|%3C).*object.*(\>|%3E)" 1;
     "~*(<|%3C)([^o]*o)+bject.*(>|%3E)" 1;
     "~*(\<|%3C).*iframe.*(\>|%3E)" 1;
     "~*(<|%3C)([^i]*i)+frame.*(>|%3E)" 1;
     "~*base64_encode.*\(.*\)" 1;
     "~*base64_(en|de)code[^(]*\([^)]*\)" 1;
     "~GLOBALS(=|\[|\%[0-9A-Z]{0,2})" 1;
     "~_REQUEST(=|\[|\%[0-9A-Z]{0,2})" 1;
     "~*^.*(\(|\)|<|>|%3c|%3e).*" 1;
     "~*^.*(\x00|\x04|\x08|\x0d|\x1b|\x20|\x3c|\x3e|\x7f).*" 1;
     "~(NULL|OUTFILE|LOAD_FILE)" 1;
     "~*(\.{1,}/)+(motd|etc|bin)" 1;
     "~*(localhost|loopback|127\.0\.0\.1)" 1;
     "~*(<|>|’|%0A|%0D|%27|%3C|%3E|%00|%22)" 1;
     "~*concat[^\(]*\(" 1;
     "~*union([^s]*s)+elect" 1;
     "~*union([^a]*a)+ll([^s]*s)+elect" 1;
     "~*\-[sdcr].*(allow_url_include|allow_url_fopen|safe_mode|disable_functions|auto_prepend_file)" 1;
     "~*(;|<|>|’|\"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|md5|benchmark|encode)" 1;
     "~*(sp_executesql)" 1;
}


  location ~ /\.(?!well-known).* {
            deny all;
            access_log off;
            log_not_found off;
        }

    if ($block) {
                # SQL injection - reset conn
                    return 444;
        }

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

113. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 15:27 
дружище, погугли mod_security и не позорься, занимаясь бесполезной неэффективной фигней.
(когда нагуглишь рекламу третьей версии и о том как nginx прекрасно с ней совместим - найди на их сайте запись вебинара, прослушай первые 30 секунд где представляется ведущий (второй) - закрой нахрен, и сделай выводы - правильные)

и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки - а никакого ненужного вялоновна - в помине нет.

и да, "впихивайте в разные места" - прекрасный совет, реально отражающий степень вменяемости структуры конфигов nginx. Тут и необходимость (в отличие от апача, кстати) дублировать вторую половину в каждом виртхосте, и возможность ненароком прооверрайдить ее, потому что regex-locations матчатся сверху-вниз до первого попадания, а не longest-match...

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

116. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (110), 05-Сен-18, 17:09 
вот ещё всякой хренью заниматься ставя всякие модули (и тратя моё время на чтение доков) когда проблема топика решается за 20 сек. И ничего бесполезного там нет. Имя валидного локейшена с точки? Ну так поправь на .git явно и всё. Пихайте в разные места сказано, конечно ,не для идиотов..лол
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

118. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 05-Сен-18, 18:00 
и действительно, вот еще всякой хренью заниматься, доки какие-то там читать - надо скорей бежать изобретать свой квадратноколесный велосипед.

> И ничего бесполезного там нет.

для тебя - может быть (правда, оно совершенно не относится к проблеме .git), для большинства окружающих - совершенно ненужно и вредно. Предлагая какие-то свои наколенные разработки для всеобщего обозрения - стоит иногда убедиться, что мир не придумал давным-давно решения получше и не заточенного под твой единственный-неповторимый сервер.


Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

119. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +2 +/
Сообщение от Аноним (110), 05-Сен-18, 18:26 
Ты идиот что-ли?  Решать проблему запрета одного локейшена с точками mod_security?
Тебя уволить пора за профнепригодность
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

121. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +3 +/
Сообщение от пох (?), 05-Сен-18, 18:46 
да-да, гораздо правильней решать эту проблему простыней анонимовых регекспов.

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

120. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (110), 05-Сен-18, 18:31 
И да - для остальных глупых недоадминов типа тебя - этот "велосипед" описан в основной документации nginx (когда нагуглишь расскажешь всем)
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

128. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от cutlass (?), 06-Сен-18, 09:51 
>и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки

Я аж прям насторожился. А зачем тебе локейшины, начинающиеся с точки?

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

131. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от пох (?), 06-Сен-18, 13:34 
>>и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки
> Я аж прям насторожился. А зачем тебе локейшины, начинающиеся с точки?

да как-то так исторически сложилось для технических адресов и механизмов - набирать удобно, по телефону диктовать легко, ни с чем внутри сайта (где механика может быть чужая) не пересечется, мамкины какеры ничего кроме /status не знают - дополнительный уровень защиты от перебора - уж всяко лучше чем навязщий в зубах /admin у не-будем-пальцем-показывать.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

125. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +1 +/
Сообщение от SubGun (ok), 05-Сен-18, 23:36 
Многа непанятных букаф. Но выглядит завораживающе.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

132. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 06-Сен-18, 13:39 
> Многа непанятных букаф. Но выглядит завораживающе.

говорят же вам - товарищ переизобрел mod_security, с опозданием на пятнадцать лет и криво.
Погуглите, может вам и пригодится - определенный смысл в подобных проверках есть, но, разумеется, не настолько примитивных, и обновлять правила надо постоянно, потому что весь их смысл в защите от zero day в чужом кривом коде.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

133. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (110), 06-Сен-18, 14:53 
Дык в чём-годно zero-day может быть - а очередное автообновление правил и под монастырь подвести может
Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

134. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от пох (?), 06-Сен-18, 17:34 
> Дык в чём-годно zero-day может быть - а очередное автообновление правил и под монастырь подвести
> может

может, конечно, вон, даже меганз отметилась - но сравни, что более вероятно - удачный (попавший в твою версию, твою операционку, твою систему и твои другие слои защиты) remote exec через подсунутый апдейт строчек для фильтра, или звонок в пять утра субботы "у нас на сайте вот такенный $!й стоит!" потому что ты забухал в пятницу на пятнадцать минут раньше, чем всплыла очередная дыра во врот-прессе или еще хз чем, прекрасно блокируемая стандартным паттерном?

И хочется ли тебе знать всю эту кучу муры про баги вротпрессов и жумл вообще, если ты ни разу не их разработчик?

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

115. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  –1 +/
Сообщение от Аноним (110), 05-Сен-18, 17:09 
вот ещё всякой хренью заниматься ставя всякие модули (и тратя моё время на чтение доков) когда проблема топика решается за 20 сек. И ничего бесполезного там нет. Имя валидного локейшена с точки? Ну так поправь на .git явно и всё. Пихайте в разные места сказано, конечно ,не для идиотов..лол
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

139. "Около 390 тысяч сайтов оставили открытыми каталоги .git с ко..."  +/
Сообщение от Аноним (-), 11-Сен-18, 03:31 
> Адреса электронной почты были взяты из файла

Кажется спамеры пополнят свои базы...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру