Несколько дней назад разработчики свободного почтового web-клиента SquirrelMail обнаружили (http://squirrelmail.org/index.php) следы проникновения на web-сервер проекта неизвестных злоумышленников, после чего в экстренном порядке на сервере были заблокированы все пользовательские аккаунты и осуществлена смена критически важных паролей. В настоящее время администраторы проекта переместили web-сайт на новый временный сервер.
По предварительным данным файлы с кодом SquirrelMail и коллекцией дополнений не были модифицированы злоумышленниками - управление исходными текстами велось на мощностях sourceforge.net, на взломанном сайте хранилась только коллекция дополнений. Тем не менее до окончательного завершения проверки рекомендуется повременить с установкой недавно загруженных с сайта squirrelmail.org плагинов (http://squirrelmail.org/plugins.php) (в настоящий момент доступ к архиву плагинов заблокирован).
Кроме того, в сети была зафиксирована рассылка фишинг-сообщения (http://www.u...URL: http://www.h-online.com/open/SquirrelMail-open-source-projec...
Новость: http://www.opennet.me/opennews/art.shtml?num=22277
Еще раз доказывает, что не бывает ничего защищенного...
Еще раз доказывает, что никому нельзя доверять.
мне кажеться можно написать безопасный сайт, просто для этого нужно быть очень умнымв мире таких людей очень мало. поэтому и сайтов безопасных тоже практически нет
сайт - это самое уязвимое место компании ;)
какой бы сис.админ не был умный - сайт как правило пишет не он. народная мудрость ;)
размещайте сайты на хостинге ;)
остальное держите в своей сети
используйте dmz, контейнеры, chroot, несколько уровней защиты.
наконец сами проверяйте из вне свои сервисы - и будите более спокойны.
можно гарантировать много безопасных на 100% сервисов, но только не www в сегодняшнем исполнении.
что верно - то верно
Зачем только открытые проекты "ломать"? Свиньи одним словом...
А они из принципа ломают. Им как правило, наплевать на проект.
Ага, то есть должно быть ещё такое правило: Чтобы больше обгадить этих ужасных проприетарщиков, ломать надо только их, а опенсорсные проекты ломать ни в коем случае не надо, ведь они хорошие и к тому же все должны думать что всё связанное с опенсорсом это 100% безопасно. Чушь какая.
>Ага, то есть должно быть ещё такое правило: Чтобы больше обгадить этих
>ужасных проприетарщиков, ломать надо только их, а опенсорсные проекты ломать ни
>в коем случае не надо, ведь они хорошие и к тому
>же все должны думать что всё связанное с опенсорсом это 100%
>безопасно. Чушь какая.ломать надо Фсё, на ошибках учимся ;)
так это ж ирония :)
что-то вроде бы уже не в первый раз их ломают
Кстати вот вам и одно из уязвимых мест никсов.
Не напрямую лезть в компы или серваки как на виндах чтоб сделать зомбисетку а через репозитарий популярного приложения, раздать клиенты для зомби сеточки.короче зачот хацкерам.
И быдло тут не причем, к сожалению дальшу будет видимо хуже. :(
Где написано, что вредоносный код попал в репозиторий ? Или я не там читаю ?
Сам то как думаешь, где быстрее найдут подсунутого трояна, в открытом проекте типа этого, или в образе пиратской винды на торренте?
>Сам то как думаешь, где быстрее найдут подсунутого трояна, в открытом проекте
>типа этого, или в образе пиратской винды на торренте?Юниксоид -1
думаю на торренте.
один мой знакомый ну полный ноль в ИТ. поставил и хвалился - ой да я стока качаю - я мега крут.
результат - сами догадываетесь, трояны - это еще слабо сказано.
>> где быстрее найдут подсунутого трояна
> думаю на торренте.Пример со знакомым показывает, что на торренте -- не быстрее, правда?
> а через репозитарий популярного приложения, раздать клиенты для зомби сеточки.А вас не смущает что в подключеных по дефолту репозиториях систем (которые содержат майнтайнеры, а вовсе не...) обычно за секурити следят а пакеты подписаны и если цифровая подпись не сойдется (а откуда у хакеров приватный кей для ее создания?) - такой пакет просто не поставится.Сказки - это хорошо.Если на ночь, для детей.
> Кроме того, в сети была зафиксирована рассылка фишинг-сообщения от злоумышленников, в котором утверждалось, что в версиях SquirrelMail 1.4.11, 1.4.12 и 1.4.13 была обнаружена уязвимость, позволяющая осуществить выполнение кода злоумышленника на сервере, и рекомендовалось срочно произвести обновление, ссылаясь при этом на страницу аутентификации на сайте проекта.Вот это я понимаю фишинг. Плохо конечно, но с точки зрения искусства данным злоумышленникам респект. На страницы левми урлами, требующие ввода мэйла/пароля апплеты и приходящие на мэйл "банковские" формы я не знаю каким надо быть овощем чтобы вестись. А когда подстава размещается на официальном сайте - вот это уже работа.
а проект один из лучших.
надеюсь им и останется.
Роутеры ломали. Федору ломали. QIP ломали. Сайт Бочарова ломали! Что с хакерами? Какая там фаза луны... А мне кажется, кто-то всерьёз обозлён на СПО. А про "вот ещё один способ" - так это ж давно известно! И не надо делать вид, будто всех разоблачили. "Следствие ведут колобки".
а акромя спо ничего не ломали в ближайшее время? :-DDDDDD
у мну дык другая информация... милио-.. ардная. :-D
Вы хоть знаете кто такие хакеры, молодой человек?
>Роутеры ломали. Федору ломали. QIP ломали. Сайт Бочарова ломали! Что с хакерами?
>Какая там фаза луны...Поэтому настоящие хакеры ломают калькуляторы ;).И это не шутка...
Пруфлинк http://www.wiki4hp.com/doku.php?id=20b:flash_hacking
Просто надо делать статические сайты с отключеными php, cgi и прочая и без админовской вебморды для сервака :) Тогда взломать его будет практически невозможно :)
страница = гифу или скриншоту
>Просто надо делать статические сайты с отключеными php, cgi и прочая и
>без админовской вебморды для сервака :) Тогда взломать его будет практически
>невозможно :)А для пущей надежности еще и выключить шнур питания и эзернет разъем... :).
Ремотно их втыкать пока хакеры все-таки не научились :D
>_QIP ломали._ _мне кажется, кто-то всерьёз обозлён на СПО._Психбольница не здесь.
очень невовремя сломали. Я как раз обновил Сквирел и теперь хз как его русифицировать :(
Надо держать сами файлы на одном сервере, а контрольные суммы - на другом, на другой платформе. Тогда подменённые файлы не пройдут.А ещё можно сделать так, чтобы сервер, отдающий контент, был на одной машине, а сам контент был на другой машине и был доступен первой только на чтение. А первая машина загружалась бы с CD-ROM или через LAN-boot. Если первую машину взломают, то ничего не смогут поменять.
А ссылки не смогут поменять?
>Надо держать сами файлы на одном сервере, а контрольные суммы - на
>другом, на другой платформе.Благородный дон никогда не слышал про цифровые подписи?Позор.Потому что они позволяют достичь то же самое без левых фокусов вообще-то.Более того - во всех нормальных дистрах репы давно снабжены цифровыми подписями, приватный ключ который позволяет их ставить - не есть общедоступный и потому - заменить пакет нельзя, т.к. подписать его - известным юзеру приватным ключом (для которого у юзера публичная часть есть) - не получится(за отсутствием приватной части ключа).Можно подписать иным ключом.Вот только эти ключи у юзеров отсутствуют и юзер должен для добавления ключа предпринять ряд шагов которые трудно выполнить нечаянно.
>Сам то как думаешь, где быстрее найдут подсунутого трояна, в открытом проекте типа этого, или в образе пиратской винды на торренте?думаю там, где установлено антитроянское ПО.
>думаю там, где установлено антитроянское ПО.Да что вы?А я вот наставил народу линухов - у них никакого говна выгребать не приходится.Зато вирусню с виндузятников вычищать приходится регулярно.Потому что софт качают хрен знает откуда с левых помоек, юзают дырявый IE который патчат неторопливо и тем более - с его супер-дырявыми активиксами и т.п..И как-то антитроянское ПО не очень помогает.Или помогает уже опосля.