AbcLinuxu:/ Zprávičky / Stránky projektu Linux Mint napadeny

Štítky: ISO, Linux, Mint

Stránky projektu Linux Mint napadeny

Stránky projektu Linux Mint byly napadeny. Neznámá skupina útočníků podvrhla ISO soubory. Uživatelé, kteří si stáhli Linux Mint 20. února, jsou vyzváni k přeinstalaci.

21.2.2016 11:36 | KOLEGA | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

21.2.2016 11:53 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Tak to je dobrej pruser :-(

21.2.2016 12:05 Jardík
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Zase wordpress, já to říkal posledně a pak mě kamenujete, ale prostě s*át na ty šmejdský CMS. Lidi jsou dnes líní udělat si pořádnou statickou webovku.

21.2.2016 12:11 _
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Problém je když chtějí pohodlně upravovat stranku z administrace. To by pak vyžadovalo napsaní vlastního CMS a tím pádem výrazně více času a peněz...

21.2.2016 12:37 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

No já nevím, já jsem celkem zvyklý stránky pohodlně upravovat z vimu. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 12:44 pjnowak
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Myslím si, že Mint je zrovna tak silná skupina, že by si vlastní CMS mohli napsat. Co se statických stránek týče, každý druhý se směje, že je to historie, ale napsat je tak, aby byli koukatelný, a odkazově funkční, to už skoro nikdo neumí, nebo se s tím nechce dělat.

21.2.2016 12:57 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

ale napsat je tak, aby byli koukatelný, a odkazově funkční, to už skoro nikdo neumí, nebo se s tím nechce dělat.

Vždyť je to triviální změna, stačí HTML vygenerovat předem namísto on-the-fly.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 12:59 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Od toho jsou templatovatelne generatory statickych stranek.

A former Red Hat freeloader.

21.2.2016 13:19 pepe_ | skóre: 48
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Nestačí něco simple https://github.com/ilosuna/phpsqlitecms ?

21.2.2016 13:52 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Imho je chyba v PHP, protože je to taková příšerná slepenina hoven, červů, zla a perlu, že v tom skutečně bezpečnou aplikaci zvládne napsat málokdo. Někdy mi přijde, že ten jazyk snad byl navržený, aby byl děravý, a to ani nemluvím o vší té demenci v stdlib, která se chová všelijak, jen ne predikovatelně a s radostí člověka bodne kudlou do zad, protože je tam tolik výjimek a zmutovaností, že prostě nesmí předpokládat žádnou konzistenci. Přijde mi, že nejjednodušší způsob, jak napsat bezpečnou webaplikaci je nepoužívat PHP.

blog.rfox.eu | DREAMLAND

21.2.2016 14:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Ten jazyk je původně navržený jako naprosto děravý, stačí se podívat na stav před vydáním PHP4. Ta zoufalá snaha udělat z toho trochu použitelný nástroj samozřejmě leccos napravila a dohnala, ale těžko říct.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 20:48 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Jako keby slabé heslá, alebo spôsob prihlasovania, prípadne prístup k databáze bol chybou jazyka.

Väčšina bežne používaných jazykov má známe problémy, či už s pretečeným zásobnika atď. a nikto to napríklad u C neprikladá jazyku a tých dier že je masaker.

KERNEL ULTRAS video channel >>>

21.2.2016 20:55 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

prístup k databáze bol chybou jazyka.

Pokud jsou nedílnou součástí projektu daného jazyka i bindingy na připojení k databázi, pak lze samozřejmě hodnotit i to. Zrovna skládání SQL dotazů je docela náchylné na problémy a bindingy se můžou v náchylnosti na SQL injection dost lišit.

slabé heslá, alebo spôsob prihlasovania

To zase může souviset s dostupností lepších způsobů a taky s příklady v dokumentaci.

a nikto to napríklad u C neprikladá jazyku

To není pravda. Hodně lidí z tohoto titulu C kritizuje. A docela dost se aktivně věnuje hledání/vývoji jazyka, který by byl z hlediska bezpečnosti bufferů vhodnější. A mají svým způsobem pravdu, C není na tyto problémy o moc míň náchylné než assembly.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 21:13 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Ono v každom jazyku existuje known bugs a best practices.

Tak to beriem ako chybu programátora a nie jazyka¹. Nie všetko je ideálne ako Rust :)

1. Známa chyba v PHP pri práci s SQL serverom, že je možné vyskejpovať cez URL dáta z databázy. Otvorená ostáva otázka, či to mali hneď dropnúť aj u užívateľov ktorí mali vstupy ošetrené.

KERNEL ULTRAS video channel >>>

21.2.2016 21:26 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Pokud jsou nedílnou součástí projektu daného jazyka i bindingy na připojení k databázi, pak lze samozřejmě hodnotit i to. Zrovna skládání SQL dotazů je docela náchylné na problémy a bindingy se můžou v náchylnosti na SQL injection dost lišit.

K tomu PHP může přispívat svojí slabou typovostí¹ – programátor si třeba řekne: „vždyť $id je přece číslo, tak co bych ho k tomu SELECTu nepřilepil“, ale už mu nedojde, že do proměnné $id (kde by člověk normálně číslo čekal) mu uživatel může podstrčit cokoli, třeba text s apostrofy a středníky. Zrovna tohle je věc, která by se v silně typovaném jazyce nestala, protože tam by id bylo třeba int nebo long a nic zákeřného by z něj přijít nemohlo.²

A na obranu PHP musím říct, že o SQL injection a parametrizovaných dotazech jsem se dozvěděl právě při učení se PHP.

_{[1] v tom ale není samo a jiné jazyky s podobným vztahem k datovým typům jsou tu naopak oblíbené…

[2] občas pak takové lepení může dávat smysl, když má člověk jistotu, že tam bude vždy číslo, ale i tak se většinou použijí spíš parametrizované dotazy}

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

21.2.2016 21:39 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Nevím jeslti „slabá typovost“ dostatečně popisuje ty prasárny, co PHP s typama dělá třeba i ve srovnání s relativně benevolentním Pythonem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 22:02 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Áno "333ccc" sa rovná "333", ale je to známy bug/feature, ale totok by som nepladal za chybu jazyka, pretože na to má riešenie === :)

KERNEL ULTRAS video channel >>>

21.2.2016 22:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Nemyslím si, že součástí definice chyby nebo špatného návrhu, zda existuje řešení.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.2.2016 19:32 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Tá veta sa ti podarila, je ako z marketingovej príručky na predaj produktov spojených s cloudom.

22.2.2016 19:38 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Chápu, že se mi chceš pomstít za ne zcela vřelý přístup v jiné diskuzi. Ale je to slabé, zkus něco lepšího.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.2.2016 21:01 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Ani nie. Len si budujem zbierku prázdnych viet. Ber to ako ocenenie.

A nabudúce si ten facepalm natrénuj pred zrkadlom, pochopíš.

22.2.2016 19:40 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Bolo by zaujímavé tento princíp z IT preniesť do reálneho života.

Naša letecká spoločnosť využíva lietadlo s dierou v trupe na mieste 42. Spločnosť neručí za vypadnutých pasažierov. Feature je zdokumentovaná a každý si ju môže vygoogliť, stačí pri nákupe letenky zahlásiť, že nechcete sedieť na mieste 42.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

22.2.2016 20:53 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Tak kdyby ta díra byla alespoň na první pohled vidět. U PHP to ale vidět není, jen se to píše někde v 30 odstavci podmínek přepravy, že prostě sedadlo 42 se každý sudý den katapultuje, když zrovna pilot přitáhne knipl. Opravy jsou rejectovány, protože to je feature a ne bug a existují společnosti, které takhle doručovaly tajné agenty za studené války. Na palubě jsou taky troje záchodky. Jedny jsou prostě jen wc(), ale tam je díra, která tě po otevření dveří vycucne ven. Pak je tam real_WC(), které je dobré, dokud nespláchneš, pak tě vycucne ven. No a pak je tam wcReal(), které funguje, nevycucává lidi, ale je tam páka, která otevírá dveře nákladového prostoru. Tahle featura je dobře zdokumentovaná, i s příkladem použití.

blog.rfox.eu | DREAMLAND

21.2.2016 21:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Ja vychádzam z toho ako sú zdokumentované chyby v PHP a nieje to o nič horšie ako v hocijakom webowom jazyku, alebo frameworku.

Ano injectovanie možné je všade kde niesu ošetrené vstupy bez rozdielu jazyka. Len PHP je webový jazyk a namiesto ďeravých frameworkoch je to možné písať priamo v jazyku.

Takže Django a ďalšie frameworky sa mali z čoho poučiť.

KERNEL ULTRAS video channel >>>

21.2.2016 21:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Pokud jsou nedílnou součástí projektu daného jazyka i bindingy na připojení k databázi, pak lze samozřejmě hodnotit i to. Zrovna skládání SQL dotazů je docela náchylné na problémy a bindingy se můžou v náchylnosti na SQL injection dost lišit.

Ale v PHP jsou už dost dlouho, podle mě tak 10 let, normální parametrizované dotazy, přesně jako v ostatních jazycích.

To zase může souviset s dostupností lepších způsobů a taky s příklady v dokumentaci.

To jo, ale to nemá asi žádný jazyk, a i kdyby, tak to stejně nepodporují prohlížeče…

22.2.2016 14:16 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Niektoré jazyky ich majú viacej, iné menej.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

22.2.2016 17:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Více, méně. Z toho jednoznačně plyne, že Windows jsou bezpečnější.

Obzvláště, když chyba, o které je zprávička, nebyla v PHP enginu, ale v nějaké aplikaci, kterou v něm někdo napsal…

22.2.2016 17:55 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Správny odkaz je toto.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

22.2.2016 18:56 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Niektoré jazyky bežia na jednom percente dnešných webow a iné majú majoritu, z tohoto pohľadu by to vyzeralo na nepriestrelnosť PHP a deravý Python.

Štatisticky je Win najobľúbenejší a nejak ma ta štatistika nepresvedčila ho dobrovoľne používať.

Nechcem samozrejme haniť Python, ten jazyk mi je moc sympatický, len som chcel poukázať na výsledky nejakých tabuliek :)

KERNEL ULTRAS video channel >>>

22.2.2016 01:30 JoHnY
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Ale no tak, PHP je stary jazyk. Jeste pamatuju dobu, kdy neexistovaly prepared statementy pro MySQL, protoze je MySQL proste neumelo a Unicode byla ta divna vec co nam pridelavalava praci na NT4. Samotne PHP a jeho zakladni knihovy jsou v podstate starsi nez idea bezpecnosti na webu.

Prijde mi, ze nejjedndussi zpusob jak napsat bezpecnou webaplikaci, je rozumet webove bezpecnosti. Videl jsem naproste webove sblitky (to kdyz se blitky zcuknou v aplikaci :-)

) ve vsem od PHP pres .NET, Javu az po Ruby a NodeJS. A cest vsem odvazlivcum co si v drevnich dobach psali vlastni CGIcka.

22.2.2016 07:52 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

A co odvážlivcům, co píšou CGI skripty dneska?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 13:14 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Zase wordpress, já to říkal posledně a pak mě kamenujete, ale prostě s*át na ty šmejdský CMS. Lidi jsou dnes líní udělat si pořádnou statickou webovku.

blog.rfox.eu | DREAMLAND

21.2.2016 12:46 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Ano, a opravili to tím, že na HTTP stránku dali MD5 hashe. To jsou dvě určitě velmi bezpečné technologie.

21.2.2016 13:14 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Heron

21.2.2016 12:57 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Je tam vestaveny backdoor:

Hackers made a modified Linux Mint ISO, with a backdoor in it, and managed to hack our website to point to it.

A former Red Hat freeloader.

21.2.2016 14:33 |🇵🇸 | skóre: 94 | blog:
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Vtipné na tom je, že MATE používá generátor statických webů Nikola, to jsou skoro ti samí lidé AFAIK.

🇵🇸 ✊ Touch grass ✊ 🇺🇦 ✊ ani boha, ani pána

21.2.2016 14:45 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

To nevypadá špatně.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 14:54 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

A Linux kernel.org pouziva generator Pelikan.

A former Red Hat freeloader.

21.2.2016 15:58 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Hackeři?

Odpovědět | Sbalit | Link | Blokovat | Admin

Smutné na tom je, že autoři Mintu v oznámení nazávají ty útočníky „hackery“.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

21.2.2016 15:59 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Hackeři?

A přitom zatím žádnému hackerovi nic nedokázali. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 18:13 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Hackeři?

Me teda nedela zadny problem podle kontextu urcit, co je slovem mysleno. A jazyk se prakticky nikdy nevyviji na zaklade logickych argumentu. Nemci nejsou nemi, a presto nevedou svatou valku za spravnou terminologii. Vetsina lidi jde cestou nejmensiho odporu, protoze jazyk je jenom nastroj, a ne dokonale umelecke a filozoficke dilo. Je bezne, ze ruzne skupiny lidi pouzivaji stejna slova ruzne. Pouzivat slovo hacker v tomto smyslu je od autoru Mintu logicke vzhledem k uzivatelske zakladne jejich distribuce.

Veni, vidi, copi

21.2.2016 17:37 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

To kua nikdy neslyšeli o GPG?

multicult.fm | monokultura je zlo | welcome refugees!

21.2.2016 20:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

A hlavně o eliptických křivkách! :D

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 20:42 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Neviem ako to myslíš, ale pokiaľ si stiahnuté (cracknuté) ISO overíš kľúčom tak zistíš že je kľúč nesedí.

Kto to robí bežne nemá sa čoho báť.

Pokiaľ myslíš nejakú ich internú politiku o tom neviem nič.

KERNEL ULTRAS video channel >>>

21.2.2016 18:39 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

To se naštěstí ubuntu nikdy nemůže stát, jsem klidný :-)

fuck the cola, fuck the pizza, all you need is slivovitza

21.2.2016 20:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.2.2016 20:13 distro
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

linuxmint-17.3-cinnamon-64bit.iso Sobota, 28. listopad 2015 v 19:18:19

e71a2aad8b58605e906dbea444dc4983

21.2.2016 22:14 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Stránky projektu Linux Mint napadeny

Odpovědět | Sbalit | Link | Blokovat | Admin

Bohudík že se jim nepodařilo ukradnout zdrojové kódy.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

Založit nové vlákno • Nahoru