После проведения детального анализа причин вчерашнего попадания (http://www.opennet.me/opennews/art.shtml?num=38245) сайта php.net в чёрные списки Google, представители проекта PHP подтвердили (http://php.net/index.php#id2013-10-24-2) информацию о получении злоумышленниками контроля над некоторыми серверами в инфраструктуре проекта. В частности, следы взлома обнаружены на двух серверах, обеспечивающих работу сайтов www.php.net, static.php.net, git.php.net и bugs.php.net. В данный момент указанные серверы выведены из работы, а работающие на них сервисы перенесены на новые серверы, настроенные с оглядкой на повышенную безопасность. Способ, использованный атакующими для получения доступа к серверам, пока не ясен.
JavaScript-код, поражающий системы пользователей, отображался выборочно для достаточно небольшой части посетителей c 22 по 24 октября. Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев, которые сохранили свою целостность и не были модифицированы. Тем не менее, зломышленники получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов. В течение нескольких дней планируется организовать смену всех паролей для пользователей сервисов svn.php.net и git.php.net.URL: http://php.net/index.php#id2013-10-24-2
Новость: http://www.opennet.me/opennews/art.shtml?num=38251
ну хоть признались, и это уже хорошо
и сервера обновили, а то смешно когда у разработчиков PHP на сервере "протухшая" версия PHP :)
Server: nginx/1.4.1
X-Powered-By: PHP/5.5.4-1не совсем новье теперь, но хоть без известных дырок
Никто в здравом уме в заголовках Server, X-Powered-By и т. п. не передает правду. Зачем помогать взломщикам, сразу сужая набор эксплоитов?
Сразу видно как вы далеки от ИБ, разве что поможет от скрипт-кидди
> разве что поможет от скрипт-киддиИ то хлеб. Скорее даже не от скрипт-кидди, а от роботов, сканирующих сервера на предмет наличия уязвимых версий софта. Возможно, близкие к ИБ админы локалхостов не в курсе, но большинство взломов происходит вообще без участия человека. Нашли старый дырявый апач/бинд/сендмейл/впишите свое, применили эксплоит, добавили на сервер закладочку, в ботнете появился новый узел.
зачем в ботнет? сервакам есть более приятные применения
> И то хлеб. Скорее даже не от скрипт-кидди, а от роботов,Намного лучше если вас поимеет робот, нежели нарваться на адресную атаку.
>> разве что поможет от скрипт-кидди
> И то хлеб. Скорее даже не от скрипт-кидди, а от роботов, сканирующих
> сервера на предмет наличия уязвимых версий софта.От тупых роботов, которые ориентируются на заголовки, конечно, поможет. Вот только нормальный анализатор уязвимостей, который может с тем же успехом запускаться и в ботнете, проигнорирует заголовки. Ну, или не проигнорирует, а даже заботливо сообщит: мол, админы подделывают заголовки.
> Возможно, близкие к ИБ
> админы локалхостов не в курсе, но большинство взломов происходит вообще без
> участия человека. Нашли старый дырявый апач/бинд/сендмейл/впишите свое, применили эксплоит,
> добавили на сервер закладочку, в ботнете появился новый узел.А теперь вопрос к знатоку: если на двери банка повесить табличку "закрыто", то грабители не сунутся, да?
> А теперь вопрос к знатоку: если на двери банка повесить табличку «закрыто»,
> то грабители не сунутся, да?ну зачем ты юношу мучаешь? он заголовки сменил — и на его локалхост никто до сих пор не сунулся.
> ну зачем ты юношу мучаешь? он заголовки сменил — и на его
> локалхост никто до сих пор не сунулся."Какие ваши предложения?"
>> ну зачем ты юношу мучаешь? он заголовки сменил — и на его
>> локалхост никто до сих пор не сунулся.
> «Какие ваши предложения?»розги.
> розги.Розги - это хорошо! Так и чешутся руки применить это проверенное временем средство к советчикам, далеким от ИБ, но мнение имеющим!
Изменение идентификационных маркеров - стандартное, рутинное правило настройки безопасности сервиса. Обязательное, но ни в коем случае! не единственное.
> Изменение идентификационных маркеров - стандартное, рутинное правило настройки безопасности
> сервиса.(пожимает плечами) Крутые Безопасники ещё и не такую ИБД умеют. по осмысленности это примерно то же самое, как если бы белый надел тёмные очки и пошёл в чёрное гетто, надеясь, что его примут за негра.
> по осмысленности это примерно то же самое, как если бы белый надел
> тёмные очки и пошёл в чёрное гетто, надеясь, что его примут за негра.В терминах безопасников это называется honeypot.
>> по осмысленности это примерно то же самое, как если бы белый надел
>> тёмные очки и пошёл в чёрное гетто, надеясь, что его примут за негра.
> В терминах безопасников это называется honeypot.в терминах безопасников *это* называется «let's make a little more money on this dumbass!»
> В терминах безопасников это называется honeypot.Чего?!
honeypot -- это отдельно заготовленная ловушка, возможно, выставляющая заведомо уязвимый сервис (либо тщательно делающая такой вид). Изготавливается для отлова недостаточно осторожных особей, ломящихся на свет.
В качестве вариации на тему лет десять тому сделал пакетик, который модифицировал окружение apache httpd таким образом, что первым в PATH оказывался каталог со скриптиком wget, который выдавал какую-то ошибку, а сам тем временем стучал руту. :)
А то, что Вы изволили назвать honeypot -- может являться частью его создания, но вовсе не обязательно. Как уже и указали, более правильно перебивка буковок на сервисе переводится как "я тучка, тучка, тучка, я вовсе не медведь", и применяется она больше в качестве потехи, чем защиты. Вроде как "здравствуй, мы тут тоже не лыком шиты". Не припоминаю, чтобы сканеры обращали особое внимание на такие строчки (хотя здесь мог упустить, конечно).
ждем результатов расследования
"Способ, использованный атакующими" - как раз ясен, не ясно только какой конкретно дыркой из имеющихся воспользовались. :)
робот Google раскрыл хакинг сайта
Так вот ты какой, интернет-антивирус. Хорошее начинание. Теперь осталось сделать сервис оперативного оповещения владельцев сайтов. Главное, чтоб не пытались в сайты зонды повнедрять.
> Так вот ты какой, интернет-антивирус.А и правда.
[ ] Проверить только главную
[ ] Проверить все js
[x] Полная проверка сайта :)
Так есть сервис оперативного оповещения владельцев сайта. Только он работает для установивших Гугл-Аналитику.
Так и вижу новость как пхп.нэт уволил половину админов и установил роботы гугла...
> Так и вижу новость как пхп.нэт уволил половину админов и установил роботы
> гугла...Наверное, половину админа?
Неудивительно.
Мозила тоже заметила, так почему пишут только о Google? Пиар Пиарыч какой то
> Мозила тоже заметила, так почему пишут только о Google? Пиар Пиарыч какой тоВы удивитесь, но в Firfox используется чёрный список Google.
Задайте в about:config в фильтр по слову safebrowsing, тогда вам станет ясно как именно "заметила" Mozilla :-) Hint: Mozilla использует API http://safebrowsing.clients.google.com
Неделя злорадства над php-шниками. Ждём результатов, интересно же, что проэксплуатировали. Дыра или банальный старый софт?
пардон, а в остальные недели что с ними делают?
ну так эта неделя объявлена официально.
на openbsd пусть переходят. правда, в черезнедельном релизе будут только php 5.2 и php 5.3, зато безопасно :) в снапшотах - 5.4.20 и 5.5.4
> на openbsd пусть переходят"only two remote holes in default install (which is unusable anyways)"?
>> на openbsd пусть переходят
> "only two remote holes in default install (which is unusable anyways)"?чё? не нравится - пусть не переходят, только не ругайтесь.
в default install нет php. зато там есть nginx, apache и perl. :)
> в default install нет php. зато там есть nginx, apache и perl. :)И хде тот nginx болтается в default install, на самом хакоопасном направлении? :)
>> в default install нет php. зато там есть nginx, apache и perl. :)
> И хде тот nginx болтается в default install, на самом хакоопасном направлении?
> :)Он нигде не болтается. :)
OpenBSD's new installer is designed to install and configure OpenBSD in a very usable default configuration with very little user intervention. In fact, you can often just hit ENTER a number of times to get a good OpenBSD install, moving your hands to the rest of the keyboard only to enter the root password.
Там в faq всё написано. Там вообще, в отличие от ВСЕХ, faq это не просто набор вопросов и ответов, а настоящая книга с интригой и моралью, знакомящая с системой и объясняющая нюансы... а какие там ман-страницы - закачаешься. :)
Поэтому нет смысла что-то говорить, ищущий - да обрящет. Если бы у меня в детстве была бы такая документация, то я, может быть, и не женился бы... :)
>> в default install нет php. зато там есть nginx, apache и perl. :)
> И хде тот nginx болтается в default install, на самом хакоопасном направлении?
> :)В смысле? Вот он, ставится рядом с Апачем. С добавлением мелких плюшек, которых нет в апстриме, вроде скидывания логов в syslog; впрочем последнее делают, похоже, во всех нормальных дистрибутивах. :) А уж что использовать - каждый решает сам.
>>> в default install нет php. зато там есть nginx, apache и perl. :)
>> И хде тот nginx болтается в default install, на самом хакоопасном направлении?
> В смысле? Вот он, ставится рядом с Апачем.Я вижу :)
> С добавлением мелких плюшек,
> которых нет в апстриме, вроде скидывания логов в syslog; впрочем последнее
> делают, похоже, во всех нормальных дистрибутивах. :) А уж что использовать
> - каждый решает сам.Каждый Охотник Желает Знать Где Лежит rc.conf.local :)
> на openbsd пусть переходят.А если еще сетевой кабель и питание к серверу не подключать - хакеры уж точно обломаютя.
>> на openbsd пусть переходят.
> А если еще сетевой кабель и питание к серверу не подключать -
> хакеры уж точно обломаютя.Да, это был бы лучший выход. Но, боюсь, php.net на это не пойдёт.
Банальный дырявый старый неподдерживаемый софт
> Банальный дырявый старый неподдерживаемый софтНу конечно, вас как админа не хватает на php.net, вот их и взломали.
Диалоги анонимов умиляют. Как будто человек с раздвоением личности разговаривает сам с собой: сам сказал, сам оспорил.
>Ну конечно, вас как админа не хватает на php.net, вот их и взломали.Ну конечно, устройте меня к ним на работу.
> проекту явно повезло, что робот Google выполнил проверкуПроекту явно повезло, что жучки внедрил не АНБ, иначе бы Google помалкивал.
Это их разработка, нахрен еще что-то туда внедрять ;)
> файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cronГениально!
Нафиг грузить модули для apache, нафиг хакать nginx.
Keep it Simple luke!
> повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставкиА почему они не продают или не сдают в аренду своего робота? Например чтоб постоянно сайт мониторил? Ну, типа как Касперыч.
А они таки не? Админка "webmaster" не всем доступна?
Да ну нафик если честно по правде то! Разводят сплетни для бабок на скамейки! Ну если если в гугле работают взрослые люди - ну возьмите да покажите скрипт и прокоментируйте в нем опасные строки кода. Но им этого не надо... им надо именно ажиотаж создать для бабулек на скамейке, чтобы бабки бесплатно разносили слух по всему миру о том какой гугла хороший, а все другие плохие! Используют бесплатно бабулек чтобы себя пиарить... халява, но эффективно! Crond для того и существует чтобы скрипты запускать по расписанию, ктото с аккаунтом прописал код, может просто тестировал, может не все продумал, может молодость у кого то из разрабов взыграла... а гугла скорее орать на весь мир про взлом, про атакующих! Ты строки кода покажи людям и подробно опиши что конкретно ты там увидел... но гугла этого не сделал, потому что ему надо шум поднять... Запланированная маркетинговая акция гугла, не более.
> Да ну нафик если честно по правде то!Вы точно не температурите? Огульным отрицанием проблемы не исправляются.
А тут(в смысле ситуация с подменой скрипта посредством crond) и нет никакой проблем... зачем отрицать то, чего нет? Если уж говорить о проблеме, то тут проблема толька одна - это черный маркетинговый ход гугла. Если бы они по правде беспокоились о безопасности содержания сайтов в интернете, они бы прежде всего, как взрослые люди, опубликовали содержимое того самого подозрительного скрипта и специалист в статье прокомментировал подозрительные строки кода и привел наглядные примеры к чему может привести загрузка браузером этого скрипта. Так бы сделал любой взрослый человек. Но гугле не это надо было, еще раз повторяю, им надо было именно поднять шум о взломах и атаках, это привлекает внимание "бабулек на скамейке". Это и маркетинговая акция и черный пиар.
> черный маркетинговый ход гугла.Причём роботов гугла, как понимаю.
Дальнейшие излияния особенно драматически воспринимаются именно в этом свете.
А роботы сами себя наверно написали? Там прям такие роботы что таже не подчинятся людям... ай какая могущественная компания гугль. Велики программисты там работают, таких роботов написали что теперь не могут ими управлять. Вах шайтан.
> А роботы сами себя наверно написали?Вы серьёзно не понимаете разницы между конвейером и индивидуальным вниманием к каждому случаю? Тогда лечитесь как-нить, и заодно от php, если это увлечение так повлияло.
// disclaimer: грамотных php-шников знаю,
// но они скорее в стаи вроде TYPO3/Drupal сбиваются
Я разницу хорошо понимаю. Но вы наверно еще лучше меня понимаете.
чувак, ты или дебил, или упоротый. впрочем, не исключаю, что и то, и другое.
Маркетологам Яндыкса бы тоже на заметку эту тактику стоило бы взять... А то щас правительство доделает за бюджетные средства бабулек новый поисковик и яндыксу кирдык настанет... а уж правительство то не упустит шанс и воспользуется приемами маркетологов гуглы... уж они то себя попиарят черным пиаром на славу, накормят бабулек сплетнями вдоволь, не зря же бабульки налоги платят, надо же бабкам то хоть чтото приятное сделать, ...а что может быть более приятно и интерсно "бабулькам на скамейке"? ...ну конечно же сплетни! Ну так вот и хавайте свою "информационную ханку".
так и вижу бабулек на скамейке, обсуждающих «вредоносный скрипт на сайте php.net». а ещё они шипят на проходящего мимо молодого человека Петю: «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши годы гвестбуки на php писали — и порядок в стране был!»
> «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши
> годы гвестбуки на php писали — и порядок в стране был!»так perl ещё никто не оскорблял :)
>> «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши
>> годы гвестбуки на php писали — и порядок в стране был!»
> так perl ещё никто не оскорблял :)эти бабки матом не ругаются. прилюдно, по крайней мере. поэтому слово «перл» — табу.
У Гугла у самого там в инфраструктуре беспорядок, об этом они молчат, а как что гдето ктото фукнул, так они сразу шумиху поднимают.