| 1.3, thevoan (ok), 23:46, 08/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Печально, наверное, большую часть из публичных и известных moin-юзеров взломали :(
| | |
| 1.6, Аноним (-), 01:09, 09/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> был скомпрометирован 28 декабря, за день до выпуска MoinMoin 1.9.6
"Ребята-ребята-ребята! Ох, ребята ... ребята... ребята... " (с) старинный школьный анекдот.
| | |
| |
| 2.10, бедный буратино (ok), 03:41, 09/01/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Кто каждый проект python не держит в независимом chroot (или другом контейнере), тот сам себе я. А в остальном, самое крупное, что там можно украсть - это база данных пользователей.
А moinmoin - тот ещё велосипед, там legacy-уши, видимо, ещё со времён Петра I торчат. В python обычно пишут на нормальных и надёжных фреймворках, быстро и удобно - фреймворки поддерживают базовую функциональность, в том числе и базовую безопасность, а разработчики - свою часть. С проектами, которые тянутся ещё от царя гороха, с этим похуже.
| | |
| |
| 3.17, Аноним (-), 10:13, 09/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А в остальном, самое крупное, что там можно украсть - это база данных пользователей.
Буратин, ты конечно извини, но...
1) Там самое настоящее выполнение произвольного кода. Поэтому можно отнюдь не только умыкнуть базу пользователей но и поюзать ресурсы поломанного серванта по своему усмотрению. Усмотрение бывает разное. Зачастую отдающее криминалом.
2) Чрут вообще-то не очень преднозначен для именно секурити. Его конечно можно под это заюзать. Но довольно неудобно. В этом плане лучше смотрится LXC, имхо. Или для более прочной обороны - полновесные виртуалки. Хоть в том же KVM. Если конфига позволяет - вариант.
| | |
| |
| 4.20, бедный буратино (ok), 12:50, 09/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
В сегодняшних удалениях сообщений я вообще не вижу никакой логики. Такое ощущение, что тут тоже moinmoin, а поломал их какой-то бот на питоне, который действует методом случайных действий.
chroot или lxc или kvm - не имеет принципиального значения. Если нет готового решения, то никто не будет связываться с убеганием из контейнера. Понятно, что чем толще, тем лучше, но если это вики работает на роутере на mips-процессоре, то тяжеловесное решение там не покрутишь. :)
В любом случае, это гораздо безопаснее, чем отдавать весь сервер в руки ломателя.
| | |
| |
| 5.24, Аноним (-), 18:32, 09/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> который действует методом случайных действий.
Да, я тоже временами не понимаю местных модераторов. У них врубился режим русской рулетки. Стирают по рандому что-нибудь. Даже хрен поймешь почему.
> готового решения, то никто не будет связываться с убеганием из контейнера.
Долбануть сплойтом на повышение прав
> на роутере на mips-процессоре, то тяжеловесное решение там не покрутишь. :)
Ну LXC и там будет работать, пожалуй. KVM - вот не факт, по крайней мере с аппаратным ускорением.
> В любом случае, это гораздо безопаснее, чем отдавать весь сервер в руки ломателя.
Технически у него и так многовато получается. Почти все сисколы он дергать может. Достаточно чтобы набедокурить. Как вам идейка: вам загружается CP и вы дальше его отгружаете оптом. А потом приходят правоохранители и ставят ноги на ширину плеч. И поди еще докажи что не верблюд. У тебя бяка на серваке? У тебя. Чем докажешь что это не твое?
| | |
| |
| 6.26, бедный буратино (ok), 03:41, 10/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Технически у него и так многовато получается. Почти все сисколы он дергать может. Достаточно чтобы набедокурить. Как вам идейка: вам загружается CP и вы дальше его отгружаете оптом. А потом приходят правоохранители и ставят ноги на ширину плеч. И поди еще докажи что не верблюд. У тебя бяка на серваке? У тебя. Чем докажешь что это не твое?
Случайностей бояться - в интернет не ходить. У меня и домашний wifi через hostapd доступен всем желающим, и вообще, я всегда стараюсь делать так, чтобы простым людям было удобно, а не чтобы злоумышленникам было неудобно. Если что-то произойдёт, то оно произодйдёт в любом случае, а правоохранителей я не боюсь. :)
| | |
| |
| 7.28, Аноним (-), 20:38, 10/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> через hostapd доступен всем желающим,
Твой выбор. Я его уважаю, но вынужден констатировать потенциальные риски.
> так, чтобы простым людям было удобно, а не чтобы злоумышленникам было неудобно.
Люди разные бывают. Проблема в том что если не заботиться немного о своем окороке - это проабузят другие. В лучшем случае можно побыть бесплатным ресурсным придатком. В хучщем - отдуваться за чужие пригрешения по полной программе. Особенно в местной системе правосудия, где всем на правосудие глубоко плевать.
| | |
|
| |
| 7.29, Аноним (-), 20:40, 10/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Что такое "СР"?
Чайлд порн. А ты потом доказывай что эти файлики на серваке - не твои. Спасибо если эксперт будет не ленивый, а следователь не пофигист. А если они просто отпедалят "был бы человек, а статья найдется", что более типично?
| | |
|
|
|
|
|
|
| |
| 2.19, Аноним (-), 11:32, 09/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Блин, я же говорил что кто-то догадается пройтись прямо по любезно предоставленному списку "да им много кто пользуется, вот например..." :)
| | |
| |
| 3.21, бедный буратино (ok), 12:52, 09/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Блин, я же говорил что кто-то догадается пройтись прямо по любезно предоставленному
> списку "да им много кто пользуется, вот например..." :)
Все взломы были в районе 28 числа, когда все спали под ёлкой. :) Сейчас только все публикуют отчёты о том, что унесли, что не унесли.
| | |
| |
| 4.23, Аноним (-), 18:28, 09/01/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Все взломы были в районе 28 числа, когда все спали под ёлкой.
Отложенное по времени обтекание - это нечто новое, оригинальное.
| | |
|
|
|
|
