форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от opennews (ok) on 22-Мрт-11, 11:00
История (http://www.opennet.me/opennews/art.shtml?num=29969) со взломом wiki-сайта проекта PHP получила продолжение. На нескольких китайских ресурсах, посвященных компьютерной безопасности, появилось (http://www.wooyun.org/bugs/wooyun-2010-01635) заявление (http://www.luochunhui.com/id/1159) (сообщение на китайском языке, перевод (http://translate.google.com/translate?js=n&prev=_t&hl=ru&ie=...) на английский) об успешном проведении подстановки кода в исходные тексты интерпретатора PHP. В уведомлении также утверждается, что кроме  wiki.php.net был получен доступ к другим хостам инфраструктуры PHP, а также перехвачены параметры входа для нескольких аккаунтов участников проекта. Судя по тексту заявления подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP (в сети присутствуют упоминания заинтересованности спецслужб Китая в совершении данно... URL: http://news.php.net/php.internals/51727 Новость: http://www.opennet.me/opennews/art.shtml?num=29981
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от naut (ok) on 22-Мрт-11, 11:00
Ну если это так, то это #$*#! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	–1 +/–
	Сообщение от FilimoniC (ok) on 22-Мрт-11, 11:07
	Судя по сообщению, не было ничего внедрено "опасного". Только в credits'ы дописался. Если бы атака прошла успешно, ее бы не стали афишировать, т.к. это бы дало почти абсолютную власть.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	29. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+1 +/–
	Сообщение от szh (ok) on 22-Мрт-11, 17:58
	> Только в credits'ы дописался значит был получен доступ на запись в исходники, и туда могли вставить что угодно. Атака прошла успешно, независимо от того внедряли ли туда что-то еще.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	37. "Провокация!"	+/–
	Сообщение от sllxxe on 24-Мрт-11, 14:59
	а если найдут всё-таки бекдор (который по сути был подсадной уткой), а реально нацеленный и очень замаскированный не найдут, то это заявление специально лишь спровоцирует на обновление с уже внедрённым не найденным кодом.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

3. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от Аноним (??) on 22-Мрт-11, 11:09
Последние известные уязвимости в DokuWiki устранялись год-полтора назад (а не пять лет назад, как сказано в заметке). Там были проблемы с проверкой ACL и ещё кое-что по мелочи. Лень искать ссылки в багтрекере, кому надо, найдут на http://bugs.dokuwiki.org/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Аноним (??) on 22-Мрт-11, 11:26
	> Последние известные уязвимости в DokuWiki устранялись год-полтора назад (а не пять лет назад, как сказано в заметке). Там были проблемы с проверкой ACL и ещё кое-что по мелочи. В том то и дело, что "по мелочи", дыр способных привести к выполнению php-скрипта не было уже очень давно.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+4 +/–
Сообщение от Aman (ok) on 22-Мрт-11, 11:17
Ну как бы много желтого в новости (спецслужбы чего стоят), но суть правильная. И ничего удивительного. Сколько не говори - пых сплошная дыра и эксплойт, никто особенно не верит. Вообще даже без закладок, на "блекхэтах" месяцами висят дыры, эксплоиты и чаще всего "отказы в обслуживании", если в php закрывают их за 3 месяца, то уже хорошо. А если обращаться с чем-то в Zend, так это вообще непередаваемо. Тотальный пофигизм и непроходимая тупость. Почти на любой мессадж - вам напишет какой-нибудь индус, предлагающий назвать свободное время, когда он может рассказать о прекрасных продуктах Zend'а.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+1 +/–
	Сообщение от terr0rist (ok) on 22-Мрт-11, 12:37
	> Тотальный пофигизм и непроходимая тупость логично. Какой пых, такая и контора :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+1 +/–
Сообщение от turbofail on 22-Мрт-11, 11:26
так им и надо, может прозреют скрипт-кидди и дизайнеры/верстальщики/сеошники в контрибуторах - в этом весь PHP
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Aman (ok) on 22-Мрт-11, 13:09
	Им по барабану, они от этого далеки. Прозревают админы и хостеры, которые думают, что с этим всем делать.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	19. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от metallic (ok) on 22-Мрт-11, 15:28
	Чем плох пхп и какая есть альтернатива, которая лучше и чем? Иначе школотроль.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	21. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+1 +/–
	Сообщение от Aman (ok) on 22-Мрт-11, 15:45
	>Чем плох пхп Ээээ... Прочтите новость. >и какая есть альтернатива Ревизия всего исходного кода. Переход на git (срочно). Нормальное отношение к безопасности проекта. Нормальное отношение к безопасности кода - своевременные фиксы, неигнарироание присылаемых патчей с секьюрити фиксами. Вообще неигнарирование сообщества, которое к тому же предлагало бюджеты (и было проигнарировано). Вот такие дела.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	23. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от BlessMaster on 22-Мрт-11, 16:09
	> Переход на git (срочно). Ээээ... и что это поменяет? Или все взломщики мира страшно боятся этого слова? В новости ни слова про недостатки самого ПХП. Есть лишь пара заявлений с жёлтоватым душком.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	27. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Aman (ok) on 22-Мрт-11, 17:01
	Контроль целостности файлов проекта. Как минимум. Как максимум - получение прав коммитера, не ставит автоматически центральную базу кода под угрозу. Секьюрити однако.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	38. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от BlessMaster on 28-Апр-11, 17:13
	> Контроль целостности файлов проекта. Как минимум. Как максимум - получение прав коммитера, > не ставит автоматически центральную базу кода под угрозу. Секьюрити однако. svn и другие не позволяют контролировать целостность файлов? По поводу центральной базы - но так её ж нет у гита - сравнение не совсем корректно. Если слияние производит человек, не знающий что он вливает в свою ветку - угроза ровным счётом та же. Но спорить, что гит удобней - не буду. С одной стороны уже прочитал про его возможности, с другой - ещё ни разу не использовал.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

9. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от Aman (ok) on 22-Мрт-11, 12:02
>интерпретатор используется в таких крупных проектах, как Facebook Кстати, Facebook вроже ж использует свой собственный интерпретатор, который они сравнительно недавно открыли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от anonymouse on 22-Мрт-11, 12:09
	Не интепретатор, а компилятор, который hiphop
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Aman (ok) on 22-Мрт-11, 12:31
	Я с ним не работал, но по wikipedia понял, что все-таки не компилятор, а трансформатор. Переводит php код в оптимизированный c++, потом уже компилируется g++. То-есть интерпретатор php не используется.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от non anon on 22-Мрт-11, 13:33
>ядро было собрано с усиливающими безопасность патчами GRSecurity. Они усиливают не безопасность, а глючность и тормоза. Поэтому в мейнстрим их и не берут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от deadless (ok) on 22-Мрт-11, 15:18
	вот тут некий paxuser с пеной у рта доказывал что только применяя grsecurity и hardened патчи можно защитить ядро, и вообще дальше взлома php скрипта хацкеры никуда не должны были пробраться. Таким образом все эти grsecurity просто видимость безопасности? И тогда чем это лучше чем техники применяемые в OpenBSD? Ну собсно эта новость и является ответом paxuser-у о реальной безопасности hardened ядер.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	20. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от бедный буратино (ok) on 22-Мрт-11, 15:33
	Какая разница, сколько у тебя замков на двери, если у тебя окно настежь открыто?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от pavlinux (ok) on 22-Мрт-11, 16:11
	Только окно на -69 этаже под землёй :)
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	30. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от non anon on 22-Мрт-11, 18:22
	>вот тут некий paxuser с пеной у рта доказывал что только применяя grsecurity и hardened патчи можно защитить ядро, и вообще дальше взлома php скрипта хацкеры никуда не должны были пробраться. Реально защитить систему могут только своевременные обновления в сочетании с продуманной политикой контроля доступа (лучше всего мандатный контроль + контейнеры + правильные права/acl на файловой системе). А совсем для параноиков есть железобетонный метод - xen/kvm. >И тогда чем это лучше чем техники применяемые в OpenBSD? В опенке применяется, по сути, всего одна техника - предельное урезание функциональности. Меньше кода - меньше потенциальных дыр. В большинстве случаев такая практика не дает оптимального результата, т.к. людям не нужен мега-защищенный, но ничего не умеющий сервер. Но путь, выбранный grsecurity - "больше глюков, больше паник, и враг не пройдет" - все равно выглядит гораздо менее привлекательно.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	25. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от pavlinux (ok) on 22-Мрт-11, 16:16
	>>ядро было собрано с усиливающими безопасность патчами GRSecurity. > Они усиливают не безопасность, а глючность и тормоза. Поэтому в мейнстрим их и не берут. Бронежилет и каска не увеличивают безопасность если лежат в шкафу.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	31. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от non anon on 22-Мрт-11, 18:25
	> Бронежилет и каска не увеличивают безопасность если лежат в шкафу. grsecurity - это скорее не каска и жилет, а поллитра: выпил - и не боишься.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	35. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Аноним (??) on 23-Мрт-11, 12:28
	>> Бронежилет и каска не увеличивают безопасность если лежат в шкафу. > grsecurity - это скорее не каска и жилет, а поллитра: выпил - > и не боишься. руки надо иметь из правильного места. И да, RBAC еще никто не отменял. Запарка с правильной настройкой с лихвой компенсируется очень нехилым повышением безопасности. Собственно то же можно сказать и про SELinux, но он, в отличие от RBAC - ад и погибель, леденящий душу писец(я пробовал писать модули под него, плюнул и бросил)
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

22. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	–1 +/–
Сообщение от BlessMaster on 22-Мрт-11, 16:05
Новость ровным счётом ни о чём. Кто-то где-то заявил, что он прописался в контрибуторы. Нам сообщают, что это изменение сразу откатили (то есть в стабильный релиз оно не попало). Сервера взломаны якобы через уязвимость в DocuWiki (автор статьи вопросом не владеет, сплошные предположения). Как подняли права - опять же не в курсе. Спрашивается, при чём тут вообще PHP? Третий вопрос: при чём здесь mod_php?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	26. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+1 +/–
	Сообщение от uldus (ok) on 22-Мрт-11, 16:23
	> Новость ровным счётом ни о чём. Кто-то где-то заявил, что он прописался > в контрибуторы. Нам сообщают, что это изменение сразу откатили (то есть > в стабильный релиз оно не попало). Типичное отношение к безопасности разработчика на PHP. Фактически показано, что с кодом PHP и серверами проекта имели возможность сделать все что душе угодно. Но вам все одно - раз не встроили реальный троян  и не стерли данные на серверах, бояться нечего. > Сервера взломаны якобы через уязвимость в DocuWiki (автор статьи вопросом не владеет, > сплошные предположения). Как подняли права - опять же не в курсе. Проблема в том, что разработчики PHP всеми силами скрывают подобные факты и не отвечают на связанные со взломом вопросы. Поэтому остается видимо делать предположения. > Спрашивается, при чём тут вообще PHP? Есть очень важный факт - в основной рабочий репозиторий с кодом PHP добивили левый код.  А если бы вместо "привет от Васи Пупкина" туда добавили хорошо продуманный бэкдор, который, уверяю вас, никто в рассылке PHP-dev даже бы не заметил ? Казалось бы, при чем тут PHP. При том, что разработчики PHP плюют и продолжают плевать как на безопасность кода, так и на безопасность инфраструктуры. > Третий вопрос: при чём здесь mod_php? mod_php от php неотделим, использование cli/fastcgi сборок скорее исключение из правил.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	28. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Aman (ok) on 22-Мрт-11, 17:11
	> Новость ровным счётом ни о чём. Кто-то где-то заявил, что он прописался > в контрибуторы. Нам сообщают, что это изменение сразу откатили (то есть > в стабильный релиз оно не попало). > Сервера взломаны якобы через уязвимость в DocuWiki (автор статьи вопросом не владеет, > сплошные предположения). Как подняли права - опять же не в курсе. > Спрашивается, при чём тут вообще PHP? > Третий вопрос: при чём здесь mod_php? Новость написана неважно, важно, что был "закоммичен" левый код, под логином одного из европеоидных коммитеров, кем то из Китая. Очень мило. Все остальное лирика, показывающее плохое и несовременное состояние инфраструктуры проекта. Вообще чего ждать от php, если они бросают на произвол 5.2, при куче проектов не поддерживающих 5.3. Я бы понял, если бы они тянули 4 каких-то параллельных веток, а так.. Что хочу, то ворочу.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	32. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от ы on 23-Мрт-11, 00:49
	1) 5.3 вышел уже полтора года назад 2) в нем нет принципиальных несовместимостей с 5.2. Все, что ломает bc, описано в мане, и исправление даже проекта в сотни тысяч LOC займет пару дней (сам делал).  При этом для кода, написанного не левой жопой (что редкость для похапе-прогромиздов, да) исправлений ваще не потребуется. так что пострадают только те, кому пох*й.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	34. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
	Сообщение от Aman (ok) on 23-Мрт-11, 01:51
	Это все в вакууме. Все что использую лично я - давно запилено на 5.3. Но у меня виртуальный хостинг и у кучи людей сайты не работающие с 5.3 и переделывать никто не собирается. Еще есть старые зазенденные скрипты (про дезенд, перепилку под 5.3 - тоже не тот случай). В итоге проблема для любого хостера. А еще некоторые веселые хостеры, могут ужить 5.2 и 5.3 на одном хосте, так что потом не жалуйтесь.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "Продемонстрирована удачная попытка внедрения бэкдора в код и..."	+/–
Сообщение от Vitold S on 23-Мрт-11, 01:06
Сам факт безответственного поведения PHP разработчиков допустивших использование какого-то кривого Wiki. Собственно в PHP есть же различные SAFE и noexec ключи безопасности? Или я ошибаюсь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема