Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).
Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.
Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.
V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.
Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).
Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.
Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.
Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).
Revolut nabídne neomezený mobilní tarif za 12,50 eur (312 Kč). Aktuálně startuje ve Velké Británii a Německu.
Tak rok se s rokem sešel a dnes po oné roční pauze na mě z mailu vyjukla série 171 mailů vyslaných v rozmezí 5:08–7:05 o zabanovaných subjektech co se pokusily o SQL injekt databáze.
Je opravdu zvláštní shoda okolností, že ta vlna přišla opět krátce po vypruzení místního psychouše, tentokrát v debatě pod Maxovým blogpostem o tom co všechno může prozradit SMART o životnosti SSD disku.
Loni to bylo poté, co jsem se otřel o jeho chlebodárce.
Kromě zmíněných 171 subjektů má aktuálně můj fail2ban zabanovaných:
Tiskni
Sdílej:
co je to jakoby tamto naprudko?? :O ;D
A pokud má někdo na svém segmentu takového "humoristu", tak by to měl být pro něj dostatečný důvod aby to ta firma začala řešit. Buď si udělá pořádek mezi uživateli, nebo zavede IPv6.
Jinak aktuální stav blokovaných subjektů, doplněný v závorce o celkový počet zablokovaných subjektů od posledního restartu fail2banu (17.5.2021):
Ti co to zkouší naprudko zkoušejí uhádnout heslo roota, protože ten zakázaný není. Ale protože se přihlašuji klíčem, je filtr nastaven dost striktně. Heslo mám jen pro nouzové případy, takže pravděpodobnost že by ho někdy někdo odchytil je dost mizivá.
Filutové co to zkouší na mailserver většinou vyhoří na tom že nemají reverzní záznam. A ten zbytek nemá v pořádku všechny náležitosti.
O pokusech injektovat databázi wiki už jsem psal a ten zbytek se většinou snaží zavolat /srv/main/wp-login.php
, což je jistá vstupenka na blocklist.
Asi to máme každý nastaveno jinak. Jelikož neprovozuji honeypot, preferuji směšné hodnoty. Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.
Jen pro srovnání, tohle je aktuální stav ze dvou veřejně přístupných strojů, přes které studenti lezou do laborek. Ovšem v pátek byly otočené, takže nevím banovaných adres bylo na počítadle předtím:
Na každém z nich to vychází zhruba na 100–150 IP adres za den. Tisíce IP adres bylo celkově zabanováno akorát na stroji, ze kterého jede virtualizační platforma. Celkem 713264. Aktuálně jsou na něm banované pouze 3 IP adresy. A ten stroj má uptime 605 dní. Takže to vychází v průměru na 1178 blokovaných IP adres na den. V reálu je to ale spíš tak, že útoky chodí ve vlnách. Protože jsme měli za poslední půlrok hned několik útoků, při kterých se podařilo udělat DDOS na starý hlavní firewall, který už je nahrazen novým.
Každopádně podle mne 8 tis. banovaných botů za odpoledne rozhodně není normální stav, pokud nejde o stroj za kterým jsou nějaké další služby.Ten stroj samotný poskytuje službu pro lidi z internetu.
V reálu je to ale spíš tak, že útoky chodí ve vlnách.To taky, největší vlny na webservery jsme měli z číny, ale to nejspíš nebyl ani útok ani pokus od DDOS (i když se to skoro povedlo), ale obsah těch spojení vykazoval znaky připojení se na proxy a vysvětluji si to tak, že někdo prostě špatně nastavil konfig pro proxy server (možná překlep v ip) a klienti se připojovali k nám. Protože všechna spojení byla jak před kopírák žádost o proxy. Náš stroj pochopitelně proxy neposkytoval a všechno končilo na 404. Proto tomu taky neříkám útoky.
Chápu, že zápisek v blogu je kompletně o něčem jinémZápisek je o tom, že soudruh komunista kapicabot pár dní zpátky někoho kritizoval za údajnou potřebu si kopnout, načež sám pocítil potřebu si kopnout, a tak to udělal.
Měl jsem to štěstí, že se mi podařilo odchytit takový útok přímo na mém notebooku. Není to tak, že by se útočník cpal na ten stroj ihned poté co najde díru. Naopak. Počká a pak použije adresu, která nebyla delší dobu použitá, aby to nebylo nápadné.Jakou díru? Mluvíš o útočníku člověku? Protože automaty fungujou jinak. Automat zkouší slovník na ssh nebo známé problémy webu a snaží sám sebe zreplikovat. Člověk jde většinou za určitým cílem.
Hučel větrák.Super monitoring.
Kdyby to bylo na nějakém serveru, tak by si toho nikdo ani nevšiml.Super monitoring.
Jasně jsem uvedl, že to byl notebook.A ono to na situaci něco mění?
To ti nedochází, že služby lze znepřístupnit mnohem efektivněji normálními dotazy?To mi samozřejmě dochází, ale ono taky záleží co ten stroj dělá, má dělat, jak je nastaven a zda má k tomu dostatek prostředků. A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde. A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace stroje. Úplně obecně řečeno, ten stroj by měl mít tolik prostředků, aby levou zadní stíhal provoz, který mu tam může přijít. Tj omezovat by ho měla linka, nikoliv výkon. Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání, tak je potřeba mít nějaký systém fronty, do které spadne uživatelský požadavek a nějak se pak uživatelům oznámí výsledek. Takto to řeší třeba i google, export dat není na počkání, ale za pár hodin ti přijde email, s odkazem na stažení. A tak dále. Jinými slovy, správně nastavený server nemá jít přetížit běžnými požadavky. Ano, nebudu si hrát na supermana, někdy je to těžké nastavit a pracuje se s reálnými lidmi, kteří jsou schopni udělat prasárnu typy (select count(*) from (select * from table order by col)) nad 4GB tabulkou, takže dotaz pokaždé vytvoří 4GB temporary table jen proto, aby spočítal počet záznamů. Takového vývojáře je potřeba okamžitě střelit do hlavy. A z mojí zkušenosti plyne, že jednotka dočasnosti je jeden furt. Fail2Ban se může jevit jak rychlé fajn řešení nějakého problému, ale tím se většinou jenom odloží skutečné řešení nějakého problému. Jak jde čas, tak je to jen horší, protože potom služba nestíhá ani za blokátorem.
A vůbec neberu jako argument, že je něco virtuální nebo fyzickej stroj. Virtuálka může mít klidně všechny prostředky fyzického stroje, když na to přijde.Může, ale většinou nemá. Obzvláště v situaci kdy ji platíš. Všechno je to o vyvážení zátěže. Pro mne je fail2ban především represivní nástroj na ty co porušují pravidla a zkoušejí různé brykule. Primární aplikací na mém soukromém serveru je wiki a moc dobře vím jaké má slabiny, které principiálně na aplikační úrovni moc řešit nejdou. Kupř. taková prkotina - výpis všech souborů. Stačí pár klientů co to zavolá se správnými parametry ve stejnou chvíli a máš vystaráno. Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele. No a ty boty se to pokoušejí různým způsobem obejít. A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.
Proto mám podobné funkcionality dostupné jen pro přihlášené uživatele.Ano, tak se to běžně dělá.
No a ty boty se to pokoušejí různým způsobem obejít.Ale to ti přece může být jedno, boti dostávají neustále http 401 (nebo něco podobného), ten server by o tom z hlediska výkonu ani neměl vědět. To, že na všechny loginy vystavené do internetu se neustále něco zkouší přihlašovat, je běžná věc.
A s tím mailserverem je to podobné. Není to plnotučný mailserver. Má svůj specifický úkol - posílat zprávy z wiki. Cokoliv jiného je z jeho úhlu pohledu špatně.Pokud je to jen odesílající mailserver pro tu jednu místní službu, tak jak se k němu mohou hlásit klienti z internetu? To nedává smysl.
A pokud lze služby znepřístupnit "normálními dotazy", tak je špatně konfigurace strojeTak to pozor, tohle není pravda. Konfigurace stroje může být naprosto v pořádku, ale není to nic platné, když je služba postavená na pomalé doprasené aplikaci (kousek vedle v diskuzi se debatuje wordpress, což v kombinaci se "správnými" pluginy je přesně takový případ.)
Pokud na tom stroji běží (a má běžet) náročná služba, která není na počkání...S tím (a dalšími odstavci) už samozřejmě nelze než souhlasit. Ale moc vývojářů to neumí.
Doposud jsem tě měl za racionálního, normálně myslícího člověka. Změnilo se něco?Samozřejmě, zcela v souladu s vaším modelem, změnilo se to, že se Heron dopustil nejvyššího zločinu: nesouhlasí s názorem soudruha komunisty kapicabota.
tak todleto je jakože to naprudko :D ;D
Pricemz tim, ze se to jakoze budes snazit "resit" se nakonec DOSnes sam. Naprosto bezne muzes mit pak 100k+ pravidel. A to uz jen tak nejaka krabka neudejcha.Tak v prvé řadě je asi na místě, aby si každý uvědomil, že server není firewall, ani krabička za 5 litrů. Ten stroj,
Co cas od casu delam je to, ze kdyz me nekdo vazne sere, hodim na blacklist cely Ccko.Jo. Taky jsem to tak pro zábavu dělal. Ale z prakticky se osvědčila jiná kombinace.
se oháníte tisícovkama blokovaných IP adresNe, já žádné IP neblokuju a nikde jsem to taky nepsal. Jen jsem uváděl statistiky z logů.
No a to je důvod proč ho používám.Jen pro to, abys měl menší čísla v nějaké metrice?
Já blokuji hlavně ty, co se pokouší o DDOSPokud by to byl skutečný DDOS, tak ti zahltí linku rychleji než server.
ty, co se pokouší zneužít mailserverProč? Předpokládám, že ten server má alespoň základní zabezpečení, není to open relay a odesílat emaily prostřednictvím toho serveru mohou pouze přihlášení uživatelé. Jinými slovy, ten server bez znalosti hesla uživatele nikdo nemůže zneužít a pokud ano, tak víš který účet je kompromitovaný. Jako mě adminování mailserveru nikdy nebavilo, ale nasadit fail2ban na jeden z těch mailserverů s 50 doménamy, co jsem spravoval, by velmi rychle zablokovalo přístup z ČR a zákazníci by mi velmi poděkovali. A ano, jednou za x let zavirovaný komp nějakého usera vesele rozesílal prostřednictvím jeho účtu spam (většinou teda přes napadený outlook), tak jej bylo nutné zablokovat. Ale ne vypnout celý server, nebo zabanovat půlku republiky. Server musí běžet.
S WP si muzes hodit minci, ze bud ho nechas deravej a +- jakoze funkcni, nebo ho budes patchovat, a neustale resit, ze to ci ono (predevsim ty pluginy) nefunguje. Od nekolika takovych sem s nesmirnym potesenim dal ruce pryc.Mám svoje weby na WP už jedenáct let kontinuálně a nic se nikdy nerozbilo. Jasně, přebírat web po někom, kdo tam dá pluginy odněkud a potom je to tak křehké, že to nejde updatovat, tak to je peklo, ale vlastní udržovaný web není problém. Tím WP neobhajuju, sám jsem v přechodu na statický web, nakonec to zůstalo u schizofrenie, kdy je část WP a část statická. Časem wp dropnu taky.
Jinak naprosto chapu pokusy na znamy bugy.Z hlediska útočníka určitě. Z hlediska admina ne.
minuta ... nez prijde prvni scan, a do 5 minut, nez prijde prvni pokus o login na sshcko na nedefaulnim portu (taky to nedelam rad, vetsinou to vic veci rozbije nez vyresi).Někdy bych to mohl zopakovat, před lety jsme se s kolegy bavili tím, že jsme sledovali, za jak dlouho se na čerstvě nainstalovaný server se slabým heslem (a povoleným heslem v ssh) někdo připojí. Většinou do 10 minut a byl tam.
nechcete se nekdo rozepsat o tom jak to spravne nakonfigurovat? Váš komentářAby ti to něco hlídalo, tak to musíš hlavně zapnout v
/etc/fail2ban/jail.conf
. Pak si musíš zkontrolovat, jestli to skutečně sedí na tom co chceš hlídat. Rozhodnout se jak budeš velký dobrák, zvolit co budeš ještě akceptovat a co a na jak dlouho chceš banovat.
Pak už záleží jen na tobě co vyhodnotíš jako škodlivou činnost. V adresáři /etc/fail2ban/filter.d/
jsou nějaké předpřipravené věci. A podle nich si můžeš udělat filtr vlastní, pokud někdo zkouší nějaké brykule, které ještě nebyly podchyceny. Chce to něco málo vědět o regulárních výrazech, a to je všechno.
Fail2ban není nic jiného než nadstavba nad logy, která automatizuje to co bys jinak řešil ručně.