https://www.opennet.ru/openforum/vsluhforumID3/91072.html Компания Canonical возобновила работу официального форума проекта Ubuntu и опубликовала (http://blog.canonical.com/2013/07/30/ubuntu-forums-are-back-up-and-a-post-mortem/) отчёт с результатами разбора инцидента (http://www.opennet.ru/opennews/art.shtml?num=37472), в результате которого злоумышленникам удалось получить контроль над параметрами регистрации 1.8 млн пользователей. Атака была совершена через упущения в системе безопасности продукта vBulletin, используемого для организации работы форума. Непосредственно системное окружение на базе Ubuntu и сервисы проекта скомпрометированы не были.<br><br><br><br>На начальной стадии атаки атакующим удалось получить доступ к аккаунту одного из модераторов форума, имеющего право на публикацию анонсов. Далее атакующие воспользовались особенностью настройки движка форума, по умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути допускающего совершение межсайтового скриптинга (XSS). Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватн https://www.opennet.ru/openforum/vsluhforumID3/91072.html#93 Sat, 03 Aug 2013 15:46:12 GMT тут взломали форум, а не сервер<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#92 Fri, 02 Aug 2013 18:59:35 GMT Виндовые сервера с вирусами? Легко. Сначала заводится админ - идиот с мышкой. Дальше продолжать?<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#91 Thu, 01 Aug 2013 22:47:35 GMT А почему интересно компания Canonical, обладающая пользовательской базой<br>&gt; 1.8 млн пользователей<br><br>доверила всё это дело vBulletin?<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#90 Thu, 01 Aug 2013 09:32:53 GMT &gt;Далее атакующие воспользовались особенностью настройки движка форума, по &gt;умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути &gt;допускающего совершение межсайтового скриптинга (XSS). <br><br>Возможность получить админские куки, тут PHP ещё не причем<br><br>&gt;Далее, используя возможность добавления обработчиков в панель управления, &gt;атакующие смогли организовать выполнение произвольного PHP-кода, что позволило &gt;установить Shell Kit и запускать любые команды на сервере с правами пользователя &gt;"www-data"<br><br>а такой финт возможен только с PHP<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#89 Thu, 01 Aug 2013 08:53:15 GMT &gt;с IPB взломы тоже не особо часты<br><br>Часты, часты.<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#88 Thu, 01 Aug 2013 07:12:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; до Delphi 7 по удобству редактора <br>&gt; редактора *чего*? если ты в дельфях занимаешься только формошлёпством, то зачем тогда <br>&gt; вообще дельфя было брать? тот же гвидобейсик с биндингами к Qt <br>&gt; и базам справится не хуже (если не лучше).<br>&gt; а если в софте таки есть какой-то код окромя формошлёпства, то layout <br>&gt; manager в Qt лучше, designer есть. да, не откроет по даблклацу <br>&gt; на кнопарике новосозданый обработчик; это настолько мелочь, что даже упоминать не <br>&gt; стоит. а автопривязывание слотов по именам есть, это избавляет от кучи <br>&gt; ручных connect'ов. заодно есть возможность использовать всякие разные библиотеки без судорожной <br>&gt; трансляции хидеров (а для c++ библиотек это задача и вовсе нетривиальная). <br><br>в начале было что про редактор кода, gui обычно мало времени отнимает, почти везде кроме notepad++. До редактора Qt не добрался, тоже писал, но в остальных не особо хорошо. ( часто нет банальных вещей, в VS2012 нет нормальных виртуальных пробелов с удалением в конце строк Ec https://www.opennet.ru/openforum/vsluhforumID3/91072.html#87 Thu, 01 Aug 2013 06:25:29 GMT Поэтому их и ломают, как и написано в этой нвости. А если бы не делали "дефейс", хо может еще год никто бы и не заметил. Сколько таких серверов взломано и никто и не знает.<br>Но вирусов нет да... Просто они неэффективны под данную задачу.<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#86 Thu, 01 Aug 2013 04:35:08 GMT &gt; Язык (PHP, Piston, C, 1C) нельзя опозорить в принципе. <br><br>Тем не менее, позиция "я не буду использовать этот язык, потому что его сообщество ведет себя крайне неадекватно", вполне оправдана.<br> https://www.opennet.ru/openforum/vsluhforumID3/91072.html#85 Thu, 01 Aug 2013 04:28:36 GMT &gt; В Сях <br>&gt; можно было выполнить любой код в любой куче, но никому даже <br>&gt; в голову не приходило это ставить ему в вину.<br><br>Почему же. Очень даже приходит. Уже буквально искричались о том, как в очередной нарвались на переполнения буфера, и нашли эксплуатирующий данную дырку эксплоит.<br><br>&gt; И только <br>&gt; (подозреваю - у несложившихся) появляются какие-то надуманные претензии к пыху и, <br>&gt; что сука, презабавно, в теме по уводу куки через джаваскрипт :))) <br><br>Не к пыху, а к программистам. Особое внимание обращаю на пост #78 - я бы лучше не сказал.<br><br>