В web-панели управления хостингом VestaCP (http://vestacp.com/), распространяемой (https://github.com/serghey-rodin/vesta) под лицензией GPLv3, выявлена (https://www.digitalocean.com/community/questions/how-do-i-de...) критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена (https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=2...) в выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Всем пользователям VestaCP рекомендуется срочно установить обновление.
Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети появились (https://forum.vestacp.com/viewtopic.php?f=10&t=16556) массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh или создания новых заданий в cron. Для временно защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.
Судя по внесённым изменениям (https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11d...) проблема вызвана передачей поступающих из вне аргументов в командой строке без предварительного экранирования символов. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных (https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11d...) мест (https://github.com/serghey-rodin/vesta/blob/b2e75d89b763cc82...), в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.
URL: https://www.digitalocean.com/community/questions/how-do-i-de...
Новость: https://www.opennet.me/opennews/art.shtml?num=48416
А я предупреждал, что вас эти php-панели до добра не доведут. Ну, вот, пожалуйста! Наслаждайтесь :)
Угу, нужно переписать на Форт. Когда много писалось на Форт, то не было таких проблем. Вот.
Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не будет :-)
тут даже форта не нужно, пхп-макаки даже от современного rust-а быстро скиснут, и пойдут искать другую работу
я не люблю когда язык сложный (rust, scala), но одно в них хорошо -- фильтруют дураков
>но одно в них хорошо -- фильтруют дуракови правда, умный человек не станет с этим связываться
И пойдёт себе спокойно водить такси среди таких же умных людей.
А вам в голову не приходило, что на такси сбить человека насмерть можно, а на пхп нет. Лучше ли, если он пойдет водить такси, или фуру, или станет депутатом городской думы ?
Скоро таксисты без работы останутся со всеми вашими ИИ и теслами
Ну а Теслы периодически будут направлять своих водителей в отбойники.
> Ну а Теслы периодически будут направлять своих водителей в отбойники.Но скорее всего намного реже живых водителей. Которые со всем этим прекрасно справляются.
Автопилот не набухается и не уснет за рулем. И скоростной режим не будет превышать. И залихватские маневры "хочу всех обогнать!" на занятой трассе с подрезаниями и провокациями выписывать не будет. И понтоваться какой он крутой, входя в поворот с дрифтом, мстить резкими торможениями и проч - тоже. Блондинки смогут до упора наводить марафет и трындеть по мобилке без ущерба для безопасности движения.
Поэтому если у водил забрать руль - на дорогах на самом деле станет гораздо безопаснее. Чисто статистически. Да, кто-то будет въезжать в отбойник. Но после отладки технологий это будет в 10 раз реже чем въезжают в отбойники здесь и сейчас. Инженеры давно усвоили что самое ненадежное звено любой системы - это человек.
>> Ну а Теслы периодически будут направлять своих водителей в отбойники.
> Но скорее всего намного реже живых водителей. Которые со всем этим прекрасноабстрактных в сферовакууме - да.
> Автопилот не набухается и не уснет за рулем. И скоростной режим не
мне больше интересно, сумеет ли он поймать машину с лопнувшим передним колесом. И сумеет ли уйти от смертельной аварии при встрече с такой машиной со встречки, в несмертельную, перестроившись кому-то в бок.
> Поэтому если у водил забрать руль - на дорогах на самом деле
> станет гораздо безопаснее. Чисто статистически.но при этом в отбойник ты приедешь. А если тебя везет трезвый, незадолбанный и умелый водитель (и ты можешь его выбирать) - то вряд ли. В случае с современной теслой выбор за тобой, а вот если победит твоя точка зрения - можно будет выбрать только цвет кожи в салоне. Зато бебебебебзопастно!
> въезжают в отбойники здесь и сейчас. Инженеры давно усвоили что самое
> ненадежное звено любой системы - это человек.успешные ручные посадки и стыковки потерявших управление космических аппаратов (плюс одно возвращение с неудачного выхода на лунную орбиту) - смеются над этими инженеграми. Надеюсь, не надо объяснять, как тестируется софт и сколько резервирования закладывалось со времен первых полетов в оборудование в космической отрасли?
> абстрактных в сферовакууме - да.Чисто статистически люди виноваты в большинстве транспортных происшествий на всем что ездит, плавает и летает. А натурные эксперименты когда живых операторов, диспетчеров и проч заменяли автоматикой - улучшали статистику.
> мне больше интересно, сумеет ли он поймать машину с лопнувшим передним колесом.
> И сумеет ли уйти от смертельной аварии при встрече с такой
> машиной со встречки, в несмертельную, перестроившись кому-то в бок.Если задаться целью - почему нет? Это для тебя лопание и потеря управляемости - моментально. А для процессоров УЙМА времени чтобы заметить проблему и парировать. Например, инициировать крутое но корректное аварийное торможение, с реалтаймным модулированием тормозных усилий по всем колесам и подруливанием, поддерживая траекторию, с фидбэком по датчикам. Типа апгрейда ABS, чтоли. Так что для начала не будет вылета на встречку, например.
Кстати, каким бы шумахером ты ни был, ты не сможешь дать разные усилия на разные тормозные колодки при первом намеке на проблему. У тебя нет такой многозадачности и элементов управления.
> но при этом в отбойник ты приедешь.
Живые водители приезжают в отбойники чаще и больше. И на встречке чаще оказываются потому что "думал что обгоню". Но не успел, а там фура. И несут Шумахера на кладбище. Не менее резвые Шумахеры думают что проскочат перед поездом. Российский вариант - топить 150+ км/ч по неизвестной дороге. Шумахер умирает даже не успев понять что произошло.
> А если тебя везет трезвый, незадолбанный и умелый водитель (и ты можешь его выбирать) - то
> вряд ли. В случае с современной теслой выбор за тобой,Ты видел мувик от Маска? Он показал как видит городскую транспортную систему. Я считаю что у него есть пойнт. Чисто технически.
> цвет кожи в салоне. Зато бебебебебзопастно!
Это не "моя точка зрения". Это "пути эволюции технологий". Есть ряд предпосылок, проблем и направлений развития технологий. И когда люди пробуют так и сяк и какие-то варианты работают лучше, ими начинают пользоваться.
> успешные ручные посадки и стыковки потерявших управление космических аппаратов (плюс одно
> возвращение с неудачного выхода на лунную орбиту) - смеются над этими инженеграми.Однако когда надо летать каждый день, никому не надо геройство. Надо миллионы рейсов из A в B без происшествий. Желательно просто, быстро и дешево. Это верно и для большинства иных поездок. Поэтому авиаторы уже обвесились компьютерами и автоматикой и еще и близко не закончили процессы. Эйрбас уже может иметь свое мнение и имеет право оверрайдить ввод пилота. Автоматические системы поездов опять же имеют приоритет над решениями машиниста когда вопрос касается торможения. В конечном итоге поезда все чаще пускают и совсем без машинистов.
А герой может на раз оказаться подсудимым. Как те пилоты, выключившие исправный двигатель и севшие по частям на шоссе. Пилотирование у них конечно крутое для ситуации, за что их и посчитали героями. Но герои резко задаунгрейдились, когда стало понятно что они по запаре выключили НЕ ТОТ двигатель...
> Надеюсь, не надо объяснять, как тестируется софт и сколько резервирования
> закладывалось со времен первых полетов в оборудование в космической отрасли?Это штучные мероприятия - другая специфика. У них не было миллиона вылетов к луне, чтобы набрать статистику о проблемах. В этом случае может потребоваться импровизировать по ходу пьесы.
Но это булшит для автомобилей, самолетов, поездов и кораблей. Для космоса такие методики станут актуальны, когда космос станет столь же ширпотребной частью жизни. Если на Марс будет летать 50 рейсов в день, никому не надо будет геройство. Надо чтобы привезли недорого и без приключений из места отправления в место назначения. И там компьютеры возьмут свое.
Ты ж должен понимать что штучные эксперименты одно, а эксплуатация в промышленных масштабах иное. Когда автомобилей миллионы, приходится писать ПДД, делать инфраструктуру и проч - это уже не "штучные эксперименты". И все пришло к моменту когда инфраструктуру кажется пора переосмыслить. Я думаю что это будет умное дорожное полотно, транспондеры и бортовые компьютеры. И чуть ли не запрет движения если ты не понимаешь вещание полотна и не можешь следовать им.
> Чисто статистически люди виноваты в большинстве транспортных происшествийпока они за рулем - они и будут виноваты. Уберешь - будет виновата автоматика. А снизится ли число происшествий с тяжелыми последствиями- ой, не факт.
> Однако когда надо летать каждый день, никому не надо геройство. Надо миллионы рейсов из A в B
> без происшествий.и их выполняют живые пилоты, а не автоматы. Хотя рейсов именно миллионы, и, в принципе, системы последнего поколения в хорошую безветренную и без вертикального перемешивания погоду вполне могут посадить самолет (причем при нулевой видимости) вообще без вмешательства пилота (а взлетают и вовсе одной кнопкой - то есть если выставить конфигурацию по инструкции, и просто нажать TOGA - оно реально само взлетит, правда, низэнько). Причем зверушка эта - дорогая, вредная, ее без конца надо натаскивать, доучивать и переучивать, следить чтоб была выспатая и протрезветь успела - а результат вон в Алжире опять грохнулся.
Но даже Маску что-то не приходит в голову их "автоматизировать" и утилизировать, хотя автопилот изобретен шестьдесят лет назад, отбойников нет, правила движения - гаишник повесится с тоски, на каждый чих и пук отдельная инструкция, как его производить, отдельно в штатной ситуации и десятке нештатных, никаких "залипающих педалей газа", как у тойеты - индусу просто регламенты не дали бы использовать левый датчик. (к тому же у Боинга еще и своя софтовая разработка такая, что компьютерная индустрия нервно курит в сортире)Ан, хрена там...
> Эйрбас уже может иметь свое мнение и имеет право оверрайдить ввод пилота.
под Нижним уже дооверрайдились - "убежал стабилизатор" (это именно автоматика охренела, а затраханные пилоты вероятнее всего просто не успели среагировать. Понятно, приличные компании добавили в тренажерную практику еще стомиллионный пункт, но вот поможет ли оно кому-то - большой вопрос.)
> Это штучные мероприятия - другая специфика. У них не было миллиона вылетов к луне, чтобы
> набрать статистику о проблемах.да, но и "водитель" эту баранку не на тренажере держал в руках в первый и, чаще всего - последний раз в жизни, единицы летали командирами хотя бы дважды. С такой подготовкой ты даже самому лояльному гаишнику на права не сдашь. При этом каждый раз, когда экипажу вообще оставляли такую возможность - он справлялся, в космoнавтике нет, насколько я знаю, потерь из-за ошибки пилота (оператора - были), патамушта очень страшно.
Для самых юных, которые не застали, и старых, которых уже подводит память, сообщаю, на рубеже веков самым популярным языком тогдашних веб девелоперов был Perl. Да, тот самый, который сейчас большинство не осиливает. Никакой фильтрации дураков при этом не наблюдалось и близко, уровень большей части кода был настолько низким, что современный код на пыхе, включая сабж, на этом фоне кажется шедевром. Так что рассказы про порог вхождения и фильтрацию дураков это от незнания истории и непонимания простой мысли - чтобы писать на языке, его вовсе не обязательно осваивать полностью.
Я настолько стар (я супер стар!), что помню всё, поэтому Perl против Forth это как английская письменность супротив китайской.
и чем же форт так страшен/силен? перекладываешь на стек данные и делаешь вызов для их обработки, обычный язык, но постфисной записью.
Далеко не обычный. Он своей логикой большинство всегда пугал. Как кто-то сказал "форт выворачивает мозг". Я же не просто так с китайской письменностью сравнил. Механизм определения слов и их строй где-то похожи на принципы формирования иероглифов.
В любом случае, неосиляторов в сравнении с тем же Perl будет на пару порядков больше.
Кстати, желающие могут посмотреть на код in the wild в загрузчике FreeBSD (файлы .4th)
Причём тут китайцы ? Обычная польская запись как в мк-62
Я понял, что вы не поняли.
Тут лучше вспомнить программируемые МК-61 и МК-52. Они в базовом использовании посложнее форта будут, так как нельзя нормально определять функции/термы и стек ограничен. Тем не менее их осваивали все. Для молодого мозга это вопрос пары дней.
> Тем не менее их осваивали все. Для молодого мозга это вопрос пары дней.Это на самом деле обычный ассемблер. Просто кривой, первобытный и потому весьма угребищный, как и вся архитектура процессоров МК-*. Даже ассемблистов это задолбало и они таки нагородили себе макроассемблеров со всяким пижонством. Где можно больше программировать и меньше бороться с искусственными трудностями интерфейса и проч. А с появлением более крупных систем и разных процессорных архитектур так и вовсе K&R си придумали, который попер большинство ассемблеров. Потому что позволяет почти все системные трюки, но без таких мучений. Да еще кроссплатформенно, если это таки не очень системное.
Ну как напишешь компилятор С для МК-61, так возвращайся. Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в то же количество байт, а потом уже рассказывать об угребищности. Не забудь сравнить стоимость и компактность персоналки и программируемого калькулятора 30 лет назад.
> Ну как напишешь компилятор С для МК-61, так возвращайся.Там компилятор нужен мозгам того кто это непотребное гвоно разрабатывал и смел выпускать в такие даты на календаре.
Просто для понимания, у меня валяется железка с датой выпуска как МК61, который у меня тоже где-то валяется. Только внутрях Z80, чтоли. RAM, ROM, LCD 16х2 строки текста, на легендарном HD44780, кста (чип до сих пор в ходу). И это лишь немного больше того МК61. ROM монитор даже встроенный. Хоть програмизм там и вообще побочное занятие, для дебага.
В чем отличие? Эта хня на Z80 - полноценный промышленный контроллер. Пока вы страдали дорчивом с убогим 1-битным процом и его куцей памятью, запад уже переводил свою промышленность на новые рельсы. И мир менялся.
> Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в
> то же количество байт, а потом уже рассказывать об угребищности.Очередное спервадобейся. Весьма пресное. А это все зачем? И что докажет? Убогая скорость вычислений 1-битной хни с тактовой в килогерцы от этого не повысится. Куцая память от этого не позволит сильно больше. Траходромный способ ввода программы эффективнее не станет. И общая польза этого артефакта - чуть выше логарифмической линейки, пардон.
С чисто практической точки зрения я лучше 32-битный МК попрограмлю. В фигне с тетрадную клеточку размером ресурсов больше чем у спекки, можно жесткий реалтайм изобразить и порулить наносекундами, померять все физические величины аналогом, перекинуться данными с другими по цифровым шинам и проч. И это намного полезнее и актуальнее чем др0ч с оптимизацией под убогую память убогой системы.
> Не забудь сравнить стоимость и компактность персоналки и программируемого калькулятора
> 30 лет назад.У меня так валяется вполне компактная штука на z80. Сколько она стоила тогда я без понятия, но МК61 тоже по меркам советских зарплат дешевизной никак не отличался. И если мерять в юнитах типа "зарплата инженера за месяц" как мне кажется может получиться очень похожая величина.
Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и это травмировало нежную психику?
> Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и этоу него в детстве был z80. А у тебя не было, хиххи, неудачник.
> Ничего себе сколько ненависти. Тебя что в детстве МК-61 покусал и это
> травмировало нежную психику?Он просто его не освоил.
> Там компилятор нужен мозгам того кто это непотребное гвоно разрабатывал и смел
> выпускать в такие даты на календаре.э...если что, это сейчас был наезд на фирму HP.
То, с чего был содран Бз-38 и предыдущий, 2какой-то (насчет того, были ли 61/52 содраны с каких-то более других моделей хепе или это собственное развитие 38го - не в курсе, но схемных отличий там минимум, индикатор и кнопки поменялись) - дальний предок
https://en.wikipedia.org/wiki/HP_35s (там поройтесь в ссылках - найдете более старые модели, с которых оно и было содрано).hp15c все еще можно купить новые, а клоны и по сей день выпускаются китайцами.
>> Ну или хотя бы попробуй портировать несколько программ с него на x86 уложившись в
>> то же количество байт, а потом уже рассказывать об угребищности.
> Очередное спервадобейся. Весьма пресное. А это все зачем? И что докажет? Убогаячтоб работало с той же скоростью ;-)
> тогда я без понятия, но МК61 тоже по меркам советских зарплат
> дешевизной никак не отличался. И если мерять в юнитах типа "зарплатаего еще и купить просто так было нельзя. То есть зарплата у тебя может и была, а в магазине можно было лососнуть тyнца совершенно даром. Советское ценообразование было совершенно оторванным от реальности. Но оригинал стоил где-то $150. Тех еще, по 65копеек. То есть по нынешним меркам в районе $800-1200, ну, инженер мог себе позволить, поголодав недельку-две.
калькуляторы с недо-фортом, если что, хепе тоже выпускала.
А нормальные выпускала тогда и выпускает по сей день - Ti. Без уродской обратной записи, еще тогда. Современный на Lua программируется ;-) Но, как обычно, советская промышленность для сдирания выбрала что похуже.
> Никакой фильтрации дураков при этом не наблюдалосьнаблюдалось: дураки писали код с уязвимостями сами, а "умные" получали дыру в CGI.pm из правильно оформленного репозитория, разумеется, напрочь изолированного от системных методов управления пакетами и, соответственно, автоматических апдейтов (правда, авторы перла тут не очень виноваты, они пытались. Авторы go и пихона уже и не пытаются, "давайте ставить все в $HOME")
Кстати да. Раньше скрипты копировали и прикручивали фекально-дендральным методом, и сечас та же самая ситуация.
> Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не
> будет :-)нынешние программисты обломаются гораздо раньше, поэтому как пользовали мы "панели", написанные на пехепе, так и дальше будем. Впрочем, нет, пехепе тоже немодно, надо непременно написать свой (дырявый) вебсервер на сях, как у (нрзб) ispmgr.
И как же вызываются системные приложения и скрипты из фреймворков на других языках? Не у ж то ритуалами и окуриванием?
Во-первых, не обязательно дёргать именно приложение - во всех языках, которые я знаю, предусмотрен способ дёрнуть внешнюю либу на С. Если такой либы нет - можно залезть в исходники этого "системного приложения", скопипастить соответствующий фрагмент кода (мы же тут все опенсорсники, верно?), скомпилить его как либу и дёргать за пимпочки как душа пожелает.
Во-вторых, есть такие понятия, как санитизация и defang (не знаю русского эквивалента, может, кто-нибудь подскажет), суть которых в том, чтобы при вызове системного приложения (в shell) ему передавались только такие переменные, какие оно должно получить, а не те, которые хакер с другого конца глобуса завернул в запрос. Например, в Erlang вызов внешней программы считается вполне кошерным (и даже предпочтительным с точки зрения безопасности) способом использования стороннего кода. Только эту программу пишет сам Erlang-разработчик с использованием включённых в Erlang сишных либ для обмена данными между ней и ErlangVM, и если что-то во входных данных не так, как ожидается - внешняя программа крашится, связанная с ней нить EVM пристреливается и респавнится, запуская новый инстанс внешней программы. Пойди, взломай.
>>скопипастить соответствующий фрагмент кодаЯ уверен, что ты не просто стреляешь себе в ногу. Ты на обрез садиться пытаешься.
>>>скопипастить соответствующий фрагмент кода
> Я уверен, что ты не просто стреляешь себе в ногу. Ты на
> обрез садиться пытаешься.тут больше похоже - на ядерную ракету. Причем до выстрела дело не дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться или травануться горючим - не один раз.
Поставленная задача при этом заключается в том, чтобы прибить скворечник.
> тут больше похоже - на ядерную ракету. Причем до выстрела дело не
> дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться
> или травануться горючим - не один раз.
> Поставленная задача при этом заключается в том, чтобы прибить скворечник.Ну, допустим, надо прибить скворечник, а молотка нет. Ядерная ракета осматривается со всех сторон, ввиду неустранимого несходства с молотком оставляется в покое, после чего из ЗИПа достаётся молоток и используется по назначению.
> Я уверенТы ошибся.
> И как же вызываются системные приложения и скрипты из фреймворков на других языках? Не у ж то ритуалами и окуриванием?Ну например в perl функция system позволяет задать аргументы в отдельных параметрах. То есть первый аргумент это имя скрипта, все последующие это его параметры. И вот уже волшебным образом нет никаких проблем с экранированием, так как разборка команды шеллом не производится вообще. Но можно конечно и как в php собрать комманду в одну строку из кусков и скормить как одно целое. Perl не запрещает стрелять себе в ногу, лишь предоставляет способы этого не делать.
Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках не накосячить. А если этого не делать - всяк напорешься - ну ушел от шелла при разборе system-а, а что если ты system-ом шелловский скрипт вызвал, и уже он не думая передаст твои неэкранированные параметры куда-то ещё?
> Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках не накосячить.Согласен, но вопрос то был про другое.
> ну ушел от шелла при разборе system-а, а что если ты system-ом шелловский скрипт вызвал, и уже он не думая передаст твои неэкранированные параметры куда-то ещё?
То это будут уже проблемы автора шелловского скрипта :)
Еще один говоритель. А на чем писать, чтобы было железобетонно безопасно, ты не говорил тогда же? А про руки, которые пишут, ты не говорил? А сам сколько написал массового, но такого, что не взломали? Лично свою систему управления домашним роутером можно не вспоминать, она всегда безопасна, потому что никому не нужна.
она же на bash
И не говори. Ведь дыры есть только в ПохаПэ.
А так везде все супер.
> аутентификация организована через вызов shell-скриптаНадо же! а я думал таких идиотов уже в природе нет — типа все вымерли. помню ещё в PSA такою дрянь выкашивали
> таких идиотов уже в природе нет — типа все вымерлиУ них респавн рейт высокий.
>проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символовБоже, веб-макак жизнь ничему не учит.
Панелька-то хорошая, надеюсь прокашляется
> Панелька-то хорошая, надеюсь прокашляетсянадеюсь, нет
по моему опыту, безопасные программы пишутся с оглядкой на безопасность с самого начала, потом "прокашляться" не получится, только переписыват с нуля
Как она может быть хорошей, если она на php? А потом вот такие новости.
Макаки остаются макаками независимо от ЯП. А пых "виноват" лишь тем что у него порог вхождения низкий. Ну а что, на питоне в bitmessage посадили фееричную дыру с eval внешних данных. Да даже энтерпрайзные жабисты с апач спрутом наломали дров, так что мало не показалось.Конечно бывает так что ЯП очень сильно помогает прострелу пяток, как тут в примере с шеллскриптами и экранированием. Но это больше всего характерно для ЯП и протоколов повернутых на тексте и поэтому потенциально неустойчивых к пичканию их тем что текстом не является или специально подогнанным текстом, который целенаправленно рушит изначально задуманную структуру чтобы извлечь из новой трактовки внешних данных какую-то пользу.
Шелл-скрипты — лидер на рынке выстрелов в ногу.
> Шелл-скрипты — лидер на рынке выстрелов в ногу.Вообще-то не шелл, а неумение думать [о последствиях]. Например, в данном разе явно не думали, что проблема вообще-то в обработке недоверенных входных данных :-(
PS: *беспечной обработке, разумеется.
> Вообще-то не шелл, а неумение думать [о последствиях].оно, обычно, сочетается. Почему? Потому что мне вполне хватило одного раза, на заре карьеры, потрахаться с кодом сайта, написанным на shell, это упражнение на расстановку кавычек я еще долго вспоминал с позывами на проблев.
люди, которые умеют думать, выберут инструмент, более подходящий для такой задачи.
С кавычками там конечно перебор.
"в данном разе" - интересный оборот.
Это что-то типа украинского "у цьому разі"?
У цьому випадку
Судя по changeset-у, там не столько шелл или пхп, сколько головной мозг. Они пароли передавали из PHP в шелл-скрипты через временный файл в /tmp. В плейнтексте.
вообще-то это лучший способ из имеющихся и вполне безопасный (если не запутаться с mkstemp).
Предложите другой, если пароли нам нужны для валидации в чем-то (то есть нужен именно пароль, а не его хэш).
Псевдотерминалы не предлагайте, это сразу нах... с пляжа без панамки.
> то есть нужен именно пароль, а не его хэшТак посмотри на патчи. Там именно что хэша более чем достаточно.
> Шелл-скрипты — лидер на рынке выстрелов в ногу.Ружьё — лидер на рынке выстрелов в ногу.
Кэп набегает.
Ты не Кэп, ты Генерал Фэйлор. Из ружья стрелять себе в ногу не особо то удобно. Вот пистолет - это да...
У меня так один сервер сгорел, даже бекапа не было. Я идиот.
Второй чуть сегодня потерял... Придется отказываться от недопанели, что они там еще найдут я не знаю.
А с братом-то что ?
Жив, пишу с него.
> Жив, пишу с него.А, так это ты тот исследователь который сканер мозга хакнул? Ну и как mind sharing? Доставляет?
v-list-sys-vesta-autoupdate
Enabled
>под лицензией GPLv3Ясно, понятно.
web-панели управления - это зло; консоль, только консоль
В консоли же shell - и, как запостили выше, он стреляет по ногам
> web-панели управления - это зло; консоль, только консольбздынь, звонок в три часа ночи выходного дня - мы только что придумали новый домен и уже оплатили - заведи новый сайт! (вариант "только что вышел на работу новый девелопер из Бангалора, у него уже утро и ему нужен ftp логин")
Нет, никаких доплат за сверхурочную работу - у тех кто использует панели, звонить великому админчегу не требуется, пользователь может выполнить нужные ему действия сам. А фанат консолей пусть пашет бесплатно.
На такие случаи, ничего не мешает написать свой функционал.
> На такие случаи, ничего не мешает написать свой функционал.этот функционал в законченном виде и называется "панель управления виртуальным хостингом".
Как напишете - приходите, посмотрим. Вдруг свершится чудо и получится лучше чем cpanel.хотя без понимания задачи - это вряд ли. А оно (судя по стертым роботом-$@том комментам) даже не на зачаточном уровне, так что даже и vesta не выйдет.
> На такие случаи, ничего не мешает написать свой функционал.А с чего ты взял что там глупых багов будет меньше чем в сабже? Ты мягко говоря не похож на эксперта по безопасности компьютерных систем, для начала.
Меня мягко говоря, не волнует, похож я на кого-то или нет.
Сам троян написан на плюсах. Оригинал тушки создан в 2015.
На virustotal его имена типа "Linux.DDoS.Xor.4"
libudev.so имеет размер -- 625611
порождаемые им потомки -- 625622, имеют рандомные имена в 10 символов
Руками прибивается легко. Не сопротивляется сильно.
Главное постараться прибить сразу все экземпляры.
>Руками прибивается легко. Не сопротивляется сильно.Главное постараться прибить сразу все экземпляры.
Вообще-то это антивирус делать должен.
> libudev.so имеет размер -- 625611Его что, дельфисты писали?!
...Должен конечно.
Я одного прибитого вируса пол-года проверял всяческими антивирусами.
Никто не признавался.
> VestaCP, распространяемой под лицензией GPLv3GPL v3, этим все сказано..
> Для временно защиты от атаки можно отключить панель
> ("service vesta stop") или закрыть доступ к сетевому порту 8083, который
> по умолчанию используется в VestaCP для доступа к API и
> аутентификации.Я вот как-то не понял, эта самая панель тоже хвостом в Ынет торчит, как и веб-сервер? (плохо разбираюсь в этом). За OpenVPN затолкать её вообще никак нельзя?
Можно, но это будет неудобно использовать. И подавляющая часть пользователей выбирает удобство, а не безопасность.
> Можно, но это будет неудобно использовать.это будет вообще никак неможно использовать - кто вам сказал что пользователю разрешено ставить какой-то еще "openvpn" на то, с чего он пользуется? (кстати, оно по сей день требует админа чтобы настроить маршрутизацию, или все же научилось как-то само?)
> И подавляющая часть пользователей выбирает удобство,
> а не безопасность.openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да и написан довольно странными людьми.
(и для пользователя, что характерно, тоже - а следить за ними некому обычно)
одна видимость безопасности, да и та за счет эффекта неуловимого джо.
> openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да
> и написан довольно странными людьми.
> (и для пользователя, что характерно, тоже - а следить за ними некому
> обычно)
> одна видимость безопасности, да и та за счет эффекта неуловимого джо.Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).ssh умеет l2 туннели, за все время существования не припомню никаких намеков на дыры, но кроссплатформенность так себе.
> ssh умеет l2 туннели, за все время существования не припомню никаких намеков
> на дыры, но кроссплатформенность так себе.что, так опоздали родиться, что и remote root в sshd "не припомните"?
"так себе" у него производительность (как и у любого tcp-туннеля) - а с кросс-платформенностью все в порядке.только вот к юзеру в мухосранск сами поедете туннели настраивать.
> что, так опоздали родиться, что и remote root в sshd "не припомните"?Вспомни еще как в 91 останкино штурмовал.
> "так себе" у него производительность (как и у любого tcp-туннеля) - а
> с кросс-платформенностью все в порядке.Ну покажи хоть один роутер который из каробки умеет, или под андроид что-то приличное
> только вот к юзеру в мухосранск сами поедете туннели настраивать.
Чувак, ну предложи что-то получше, а я тебе расскажу куда с этим сходить
Поприличней Cisco VPN client, но он закрыт и не бесплатен.
> Поприличней Cisco VPN client, но он закрыт и не бесплатен.открытой (для linux/free) альтернативе сто лет в обед, правда, в ней раз в месяц "мы (опять) починили rekeying, оно больше точно не будет отваливаться", но первые пять минут работает. Но приземлять-то его на чем, не на LEDE же-ж...
(надо заметить, родная цискина линукс-версия, когда еще работала, была всем отвратительна - от методов и подходов до стабильности работы. С другой стороны - у встроенной в iOS проблем "почему-то" нет.)
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).PureVPN в быту давно пользуем
https://goo.gl/gDqZJM
>> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).
> PureVPN в быту давно пользуемтоварищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а только те, кому хотя бы ssl-серт выдали.
или я не понял задачу.
> товарищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный
> сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а
> только те, кому хотя бы ssl-серт выдали.
> или я не понял задачу.Ходить на домашний роутер с LEDE :D. Ну и с веб-морды пинать через etherwake сундук, чтоб готов был, когда до дому добираюсь. Тут ещё про wirreguard писали, но я про него мало что понял, и не особо понял, есль ли он сейчас в LEDE. А всякий SoftEtherVPN трогать неохота, вроде как оно из вантуза только управляется.
> Ходить на домашний роутер с LEDE :D. Ну и с веб-морды пинатьssh чем не подходит?
> всякий SoftEtherVPN трогать неохота, вроде как оно из вантуза только управляется.
оно текстовым конфигом управляется, но надо уметь, да. Интуитивно-приятная управлялка только в винде.
> товарищу вроде не "сервис"Ну, как я понял, "сервис" имелся ввиду как услуга. Иначе написал бы "сервер" или "протокол". Тем более на этом-то ресурсе.
> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты на винде, сервер на freebsd, где есть нормальный серверный код, если у вас не она - виртуалка помещается в 256m, винду вы в такое не утрамбуете) Почти все горе-операторы связи уже научились его не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.
Если не работает - я голосую за ssl-vpn, если нет денег на цискин - значит, имени японой матери.
Но количество этих юзеров должно быть счетным и их держать на особом контроле.
> для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты
> на винде, сервер на freebsd, где есть нормальный серверный код, если
> у вас не она - виртуалка помещается в 256m, винду вы
> в такое не утрамбуете) Почти все горе-операторы связи уже научились его
> не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.л2тп, бсд, ахаха, уносите
> Если не работает - я голосую за ssl-vpn, если нет денег на
> цискин - значит, имени японой матери.ssl, циски, - закoпайте
> Но количество этих юзеров должно быть счетным и их держать на особом
> контроле.на особом контроле? - святой водой полейте.