В апреле 2010 года в свободном сервере приложений JBoss Application Server была устранена опасная уязвимость (https://rhn.redhat.com/errata/RHSA-2010-0377.html), позволяющая получить доступ к консоли JMX без авторизации и выполнить произвольный код на сервере. Спустя полтора года в сети зафиксирован (http://arstechnica.com/business/news/2011/10/work-uses-old-f...) червь, который поражает серверы с необновлёнными версиями JBoss, до сих пор подверженными уязвимости, или системы с незащищённым доступом к консоли JMX.
После получения управления, червь размещает на сервере компоненты, подсоединяющие поражённый хост к ботнету и позволяющие получить полное управление над сервером из любой точки сети. Создав подставной уязвимый JBoss-сервер исследователи выявили (http://pastebin.com/U7fPMxet) интеграцию бэкдора на языке Java, загрузку контента, связанного с совершением вредоносных действий, и установку perl-скрипта, принимающего управля...URL: http://arstechnica.com/business/news/2011/10/work-uses-old-f...
Новость: http://www.opennet.me/opennews/art.shtml?num=32150
Если бы строители строили свои здания, как программисты пишут свои программы, первый залетевший дятел разрушил бы цивилизацию (С)
Если бы программисты имели over 3000 тысячелетний опыт за программированием, как такой опыт в строительстве, то ошибки были минимальны.
Вы сильно хорошо думаете о строителях :)))
Дома падают реже, чем программы.>Работаем. Петрович достраивает второй этаж, Сидоров - пятый. Алекс отгрохал шахту лифта до девятого этажа, она в сильный ветер подозрительно качается. Временно поставили деревянные подпорки.
> Если бы программисты имели over 3000 тысячелетний опыт за программированием, как такой
> опыт в строительстве, то ошибки были минимальны.Да Вы с ними просто дело близко не имели. У них каждый объект - великое открытие (ааа тут такая фигня оказывается... что делать... а давай...). Отдельных добрых слов заслуживает современная строительная документация...
Цитата:3.2% всех заражений происходит через эксплуатацию уязвимостей, исправление для которых было выпущено больше года назад, 2.4% через проблемы с момента исправления которых прошло менее года и только 0.096% через неисправленные уязвимости (zero-day)
Конец цитаты.
Это в первую очередь говорит о том, что вирусописатели изучают не сам продукт с целью найти уязвимость а заплатки где эта уязвимость описана. А дальше ищут места где они не установлены... Интересное исследование. Я всегда считал, что вирусы пишут скудные умом люди - хорошее этому доказательство.
> Это в первую очередь говорит о том, что вирусописатели изучают не сам продукт с целью найти уязвимость а заплатки где эта уязвимость описанаУ вас с логикой не очень хорошо.
Приведенная Вами цитата говорит о том, что в том множестве пользователей, в котором проводилось исследование, характерно не обновляться.
В цитате не сказано, что 3.2% являются новыми вирусами которые эксплуатируют старые уязвимости.
Ну если учесть, что из заплатки далеко не всегда ясно как именно можно эксплуатировать данную дыру и можно ли вообще, или это лишь теоретическая уязвимость для которой даже POC-кода ни кто придуматьне смог…
То, что эксплуатируют старые дыры говорит лишь о том, что вирусы пишут люди практиченые. Они знают, что много дятлов в сети не обновляется и они прекрасно знают, что новый баг найти куда сложнее, чем изучить старый. Так зачем мучатся и искать если старые баги тебе подают на блюдечке с золотой каёмочкой?
---Я всегда считал, что вирусы пишут скудные умом люди - хорошее этому доказательство.Вы просто не понимаете, что такое вирус. Нормальный вирус аля Conficker.
Я прекрасно знаю что такое вирус, как он распостраняется и маскируется, но моего мнения это не меняет. Но раньше честно говоря всё-таки думал что эти люди уязвимости ищут, а оказывается тут совсем другая история...
> Пока не ясно как много серверов скомпрометировано в результате работы червя и в чьих интересах работает созданный на его основе ботнет.Можно подумать что известно в чьих интересах работают другие ботнеты.
А не могло случиться так, что владельцы этих машин не проплатили лицензию и как результат не могут получать критические обновления от RH?Я, если честно, был удивлен, когда получил проблную версию и не смог обновить её до актуального состояния. В итоге поставил centos.
Ну, пробную версию можно обновлять в течении месяца, а потом все :) На то и пробная. Или вам месяца не хватило, чтобы оценить возможности? Можно обратиться в редхат с обоснованной просьбой и они увеличат демо-период.
Как считаете, стОит ли ставить RH в качестве десктопа? Вопрос цены не важен, $50 в год - не так уж и много. Важнее поддержка моего ноута и Стабильность(tm).
Стабильность? Ставь Debian Stable.
Вы отлично понимаете,что ему нужна другая стабильность.
Сам дистры не меняю,тем на котором сижу не доволен,
поэтому советовать конкретный дистр не буду.
Замечу только,что стабильность в вашем пониманий это качество компиляций.
Значит ищите наиболее рассудительных мантейнеров.
Я так думаю что редхэтовцы под десктопом имеют в виду легкий клиент в многотысячном энтерпрайз офисе (с очевидно какой операционной системой в качестве сервера). Под эту цель и затачивают дистрибутив. Если это вам подходит, берите. Тем более 6 версия это федора 10 с хардкорным бэкпортированием всяких новых плющек, то есть вполне юзабельная.
> Ну, пробную версию можно обновлять в течении месяца, а потом все :)
> На то и пробная. Или вам месяца не хватило, чтобы оценить
> возможности? Можно обратиться в редхат с обоснованной просьбой и они увеличат
> демо-период.Я имел в виду, что люди купили за год, а потом не оплатили лицензию. И вроде бы их отключает от сети редхата.
Мне месяца вполне хватило, только вот 3к платить хоть и в год за десктоп не очень хотелось, потому что ИМХО десктоп RHEL требует большого допила до состояния "нормально работаю". И каждый год плати потом. У микрософт на фоне этого все не так страшно выглядит.
RH легко трансформируется в CentOS или Scientific, переставлять ничего не надо.
> RH легко трансформируется в CentOS или Scientific, переставлять ничего не надо.Я с FreeBSD перешел на centos только 1 месяц назад. Я правильно понимаю, что необходимо просто подключить соотв. репозитарии?
Нет, нужно *переключить* репозитории на иные - не подключить, а так же заменить некоторые пакеты и сделать несколько дополнительных действий. В centos wiki, да и различных блогах по интернетам есть подробные описания.
> Нет, нужно *переключить* репозитории на иные - не подключить, а так же
> заменить некоторые пакеты и сделать несколько дополнительных действий. В centos wiki,
> да и различных блогах по интернетам есть подробные описания.Я неправильно выразился. Имел ввиду именно это. А вот ещё небольшой вопросец есть. Я перешел с убунту на centos6. Раньше я использовал shotwell, а вот теперь приходится пересобрать половину системы, чтобы его запустить. Так вот вопрос, я почти все собрал, кроме gstreamer 0.11. Я собрал 0.11 с сорцов и он встал рядом с 0.10. Заменить 0.10 заменить никак не получается. Так вот как бы это сделать?
PS: понимаю, надо в форум перезжать с таким ))
Надо было собирать с системной версией, иначе очень быстро скатитеть в LFS.
>> Нет, нужно *переключить* репозитории на иные - не подключить, а так же
>> заменить некоторые пакеты и сделать несколько дополнительных действий. В centos wiki,
>> да и различных блогах по интернетам есть подробные описания.
> Я неправильно выразился. Имел ввиду именно это. А вот ещё небольшой вопросец
> есть. Я перешел с убунту на centos6. Раньше я использовал shotwell,
> а вот теперь приходится пересобрать половину системы, чтобы его запустить. Так
> вот вопрос, я почти все собрал, кроме gstreamer 0.11. Я собрал
> 0.11 с сорцов и он встал рядом с 0.10. Заменить 0.10
> заменить никак не получается. Так вот как бы это сделать?
> PS: понимаю, надо в форум перезжать с таким ))Зря вы на Centos перешли с Debian based. Столкнетесь с тем, что значительной части софта для вебдева в репозитариях центоси просто нет. А дальше либо гимор со сборкой из сырцов, либо подключение левых реп - и тоже гимор.
Доходит до смешного, нет даже готовой rpm со свежим midnight commander, т.к. :
Warning!!! The RPM build host was destroyed and therefore is temporarily nonoperational. Please wait until it will be restored at a new location. (с)
И эта фигня висит уже год, кажется.
Советую вернуться на Debian/Bubuntu
> Можно подумать что известно в чьих интересах работают другие ботнеты.В интересах заказчиков, обратившихся к владельцам ботнетов, очевидно же.
А если приравнять к ботнетам такие явления, как Stuxnet, то там с определением хозяина еще проще :)
"26% через автозапуск с USB-накопителей;"
Дooooooo! Вот это дыра!!! Прям нужно систему переписывать чтобы ее закрыть!!! И - 26% всех заражений!!!
Жаль не уточнили процент заразившихся с флешки unix систем.
Я не красноглазик, но право, сколько же дырявого софта мелкомягкие понаплодили.
Исследование же от МС, сотрудники которой обязаны закрывать глаза, когда смотрят в сторону Unix-систем...
Исследование Майкрософт к новости имеет весьма посредственное отношение и предназначено для разработчиков и специалистов по безопасности. Так напр. UAC отсекает несанкционированный запуск ПО, что, судя по статистике, значительно сокращает вероятность заражения.
Только вот UAC обычно первым делом отключают...
Из серии "тормозА придумали трУсы".
> Только вот UAC обычно первым делом отключают...Кто отключает? Школота? Никогда не видел отключенного UAC.
Очень сомневаюсь, что существует добросовестная статистика насчет UAC и других технологий, которые МС считает козырем в пиаре.
>Жаль не уточнили процент заразившихся с флешки unix систем.Мне больше интересен процент людей запустивших легендарный однострочник на перле.
>Я не красноглазик, но право, сколько же дырявого софта мелкомягкие понаплодили.
Наплодили дофига, да. Только если дыра в голове, то никакой софт не спасёт.
Вот и обратная сторона хвалёного "я поставил Lin много лет назад и он работает".
> Вот и обратная сторона хвалёного "я поставил Lin много лет назад и
> он работает".обновлять много лет назад поставленное никто не запрещает. Причём это можно делать автоматически, т.е. как раз забыл.
Эффективность ботнета всё уже показала.Слово "можно" моё любимое: можно подарить квартиру, можно выбить себе глаз, можно укусить себя за ж*** - "можно", но кто этим будет заниматься???
как раз ровно наоборот. За счет того, что весь софт обычно берется из репозиториев, наткнутся на необновленный софт в линуксе куда сложнее чем в винде. В винде на автомате обновляется только ОС, офис ну и особенно продвинутый софт, имеющий модули автообновления.
Всё остальное надо обновлять ручками, на что большинство пользователей благополучно забивает.
> как раз ровно наоборот. За счет того, что весь софт обычно берется
> из репозиториев, наткнутся на необновленный софт в линуксе куда сложнее чем
> в винде. В винде на автомате обновляется только ОС, офис ну
> и особенно продвинутый софт, имеющий модули автообновления.
> Всё остальное надо обновлять ручками, на что большинство пользователей благополучно забивает.Есть прекрасные обновлялки софта, например от filehippo. Но в целом такая проблема есть, да. Надеюсь, в восьмерке ее как-нибудь решат.
Ну, это как: можно платить за квартиру, можно не платить, я вот плачу, ты видимо нет?
> Вот и обратная сторона хвалёного "я поставил Lin много лет назад и он работает".Обратная сторона - это "за это время я несколько раз был вынужден переставлять винды".
За последние 15 лет переставлял дважды: переход с XP на Vista и с Vista на Win7. Аналогичная статистика по знакомым и компаниям где я работаю. Так что проблема не в инструменте, а в правильности его применения.Отключение UAC, брандмауэра, отсутствие антивирусной защиты, установка и запуск потенциально опасного ПО. До тех пор пока переустановить вам будет проще, чем починить, незачем кичиться тем сколько раз вы это сделали. Для меня количество переустановок - признак зашкаливающего непрофессионализма ИТ специалиста.
> За последние 15 лет переставлял дважды: переход с XP на Vista и. . .. . .
> количество переустановок - признак зашкаливающего непрофессионализма ИТ специалиста.Согласен. У меня аналогично, но вот только вспоминается win95 и win98, там переустанавливал чаще.
Просто у МС иногда бывают приколы, когда установка дотнета например слетела и ты и новый не поставишь, старый не удаляется, переустановка его тоже не помогает... Я помню часа 3 гуглил, пока нашел как это говно снести и переставить. Причем то что было на MSDN - не помогает. Вполне можно было за это время переставить систему, если бы не было лень весь софт переставлять. Я например с трудом себе представляю как тоже самое будет делать среднестатистический пользователь.
Дома уже год как win ни разу не запускал и там как-то таких проблем не возникает, по крайней мере руками все можно выпилить без танцев с бубном, в крайнем случае по howto.
> Просто у МС иногда бывают приколы, когда установка дотнета например слетела и
> ты и новый не поставишь, старый не удаляется, переустановка его тоже
> не помогает... Я помню часа 3 гуглил, пока нашел как это
> говно снести и переставить. Причем то что было на MSDN -
> не помогает. Вполне можно было за это время переставить систему, если
> бы не было лень весь софт переставлять. Я например с трудом
> себе представляю как тоже самое будет делать среднестатистический пользователь.
> Дома уже год как win ни разу не запускал и там как-то
> таких проблем не возникает, по крайней мере руками все можно выпилить
> без танцев с бубном, в крайнем случае по howto.Такая же фигня была с Java, случайно удалил папку с JRE, после чего оракловский инсталятор сказал - бдыщь! И ничего не устанавливал. Решил проблему удалением нескольких ключей в реестре, связанных с этой версией JRE. Времени потратил минут пять.
> Такая же фигня была с Java, случайно удалил папку с JRE, после
> чего оракловский инсталятор сказал - бдыщь! И ничего не устанавливал. Решил
> проблему удалением нескольких ключей в реестре, связанных с этой версией JRE.
> Времени потратил минут пять.Ну уж извините, в данной ситуации вы тут сами себе злобный буратино.
Таким образом можно почти любую систему покалечить.
>> Такая же фигня была с Java, случайно удалил папку с JRE, после
>> чего оракловский инсталятор сказал - бдыщь! И ничего не устанавливал. Решил
>> проблему удалением нескольких ключей в реестре, связанных с этой версией JRE.
>> Времени потратил минут пять.
> Ну уж извините, в данной ситуации вы тут сами себе злобный буратино.
> Таким образом можно почти любую систему покалечить.Ну, что поделать. Бывает! Просто я старые версии JRE удалял, точнее их остатки и случайно удалил установленную ;)))) Но ведь проблема решилась, быстро и качественно. Достаточно было знать общее устройство реестра винды, что бы понять куда копать.
Думаю, рассказы про пять часов борьбы с дотнетом из этой серии, только предыдущему оратору базовых знаний не хватило.
Мне будет проще установить Линукс. В нем нет UAC, который можно отключить, а полное отсутствие антивирусной защиты совершенно не влияет на безопасность.Насчет перестановок Винды - эта тема отполирована форумами до блеска.
Часто переустановка системы тратит куда меньше времени специалиста, чем ее чистка.
Особенно если ничего ценного на системном диске нет.
Я тоже очень редко переустанавливаю системы в фирме, где админю.
Но вот "поставил и забыл" к Линуксу, по моей статистике, подходит куда больше.
Особенно в клинических пользовательских случаях (которым ни антивирус, ни UAC совершенно не мешают).Впрочем, дискутировать конкретно с вами я не вижу смысла. Спонсор вашей точки зрения вряд ли изменится, так что приберегу бисер.
> полное отсутствие антивирусной защиты совершенно не влияет на безопасностьБез комментариев. Страна непуганных идиотов.
> Часто переустановка системы тратит куда меньше времени специалиста, чем ее чистка
Если ОС (любую) требуется регулярно переустанавливать - никакой это ни специалист.
> Спонсор вашей точки зрения вряд ли изменится
Спонсора нет. Есть два инструмента: Win и Lin (Debian). Первый знаю хорошо, второй изучаю. Пока что и сообщество, и документация и тех.поддержка первого нравятся на порядок больше. Win приучает к спокойному созерцанию (дзен), Lin - к шизофрении ("если FireFox будет использовать bing - поставлю другой браузер, хотя FireFox ну очень нравится") и излишнему вниманию к деталям программирования ("нужно добавить в *\*\*\*\*\*\*.ini файл строку гу-гу-гу-лю-лю-ля-i4564564564 и тогда всё заработает"). Пока что Deb не способен заменить Win ни по одному из параметров, кроме стоимости приобретения.
>нужно добавить в *\*\*\*\*\*\*.ini файл строку гу-гу-гу-лю-лю-ля-i4564564564 и тогда всё заработаетЧем это отличается от добавления ключа со значением гу-гу-гу-лю-лю-ля-i4564564564 в ветку HKLM/System/Windows/WindowsNT/CurrentVersion/blah-blah-blah ?
Ничем, кроме того что в Deb мне нужно это сделать чтобы видеокарта вывела требуемое 1920*1280, а не 800*600 с программным рисованием линий, а в Win чтобы изменить недокументированный параметр размера кэша процессора, который, как оказалось впоследствии, вообще ни на что не влияет, точнее его влияние не превышает долей процента.Соотнесите важность и необходимость выполнения задач и сделайте выводы.
Может подскажешь как в *любой версии винды* изменить частоту синхронизации времени по ntp?
Притом без пугающих всех виндоюзеров "черных консолей" и ручных правок реестра?
В линухе добавить правило в cron проще простого, но для особо одаренных есть даже гуи.
1. Через GUI, т.е. через Group Policy Settings?Есть там нечто вроде:
SpecialPollInterval
Specifies the special poll interval in seconds for peers that have been configured manually. When a special poll is enabled, Windows Time Service will use this poll interval instead of a dynamic one that is determined by synchronization algorithms built into Windows Time Service.
2. В виндовый крон, через GUI, добавить что-то вроде "w32tm /resync"?
> Без комментариев. Страна непуганных идиотов.Страна практиков, но не теоретиков.
> если FireFox будет использовать bing - поставлю другой браузер, хотя FireFox ну очень нравится
У вас действительно шизофрения.
> излишнему вниманию к деталям программирования
Можно поподробней? Мне, как пользователю Линукс уже 10 лет очень интересны детали программирования...
> Если ОС (любую) требуется регулярно переустанавливать - никакой это ни специалист.
Круто! Следуя вашей логике, для того чтобы нормально настроить Windows (и не переустанавливать ее раз в год) нужен уровень знаний намного больший чем для того чтобы нормально настроить Linux. Если честно - вы абсолютно правы.
> Win и Lin (Debian). Первый знаю хорошо, второй изучаю
Занавес
>[оверквотинг удален]
> Насчет перестановок Винды - эта тема отполирована форумами до блеска.
> Часто переустановка системы тратит куда меньше времени специалиста, чем ее чистка.
> Особенно если ничего ценного на системном диске нет.
> Я тоже очень редко переустанавливаю системы в фирме, где админю.
> Но вот "поставил и забыл" к Линуксу, по моей статистике, подходит куда
> больше.
> Особенно в клинических пользовательских случаях (которым ни антивирус, ни UAC совершенно
> не мешают).
> Впрочем, дискутировать конкретно с вами я не вижу смысла. Спонсор вашей точки
> зрения вряд ли изменится, так что приберегу бисер.А в Windows8 этот процесс автоматизируют до блеска ;-) Можно будет сбрасывать как юзерский профиль так и всю винду.
>> Вот и обратная сторона хвалёного "я поставил Lin много лет назад и он работает".
> Обратная сторона - это "за это время я несколько раз был вынужден
> переставлять винды".А сколько раз за это время можно было обновить Убунту? ))))))
Нужна помощь.
У меня стоит проприетарный helpdesk, основанный на JBoss. Как проверить эту встроенную версию JBoss на предмет уязвимости?
Есть ли инструмент проверки?Я просто в JBoss полный ноль.
Заранее, спасибо!
Проверь можно ли зайти на JMX консоль без пароля - http://jbossserver:jbossport/jmx-console/
Проверь можно ли зайти на JMX консоль по методу HEAD без авторизации -telnet 127.0.0.1 8080
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
HEAD /jmx-console/ HTTP/1.0HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Pragma: No-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 UTC
WWW-Authenticate: Basic realm="JBoss JMX Console"
Content-Type: text/html;charset=utf-8
Content-Length: 950
Date: Fri, 28 Oct 2011 13:06:05 GMT
Connection: closeЕсли что либо можно - дела плохи. Нужно латать дырку - поставить пароль на консоль и удалить <http-method>...</http-method> из секции <security-constraint></security-constraint> в %JBOSS_HOME%/server/*/deploy/jmx-console.war/web.xml
Проверить наличие червя можно по наличию файлов linda.pl, flu.pl, kisses.tar.gz, zecmd*, iesvc*. Можно попробовать зайти на бекдор который открывает червь - http://jbossserver:jbossport/zecmd/zecmd.jsp
Гугл на сегодняшний день выдает более 3000 зараженных машин - http://www.google.com/search?q=zecmd%2Fzecmd.jsp
Огромное спасибо!telnet на такой запрос у меня выдает 500-ю ошибку.
Остальные проверки не показали наличие червя.
Возможно производитель софта что то подкрутил в Jboss. В любом случае, раз что все хорошо. :)
> Возможно производитель софта что то подкрутил в Jboss. В любом случае, раз
> что все хорошо. :)Это SupportCenter Plus одной из последних версий, если кому интересно. :)