Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2010-01-23 21:18:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Для связи.
Комменты скринятся


(Читать комментарии) - (Добавить комментарий)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 11:53 (ссылка)
а административный доступ делается из простого сотней
всем известных дырок в ядре Линукса и пакетах

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 12:03 (ссылка)
Вы таки как бы хотите сказать своим видом что на всех 10-15 хопах от меня до Вас линукс ?
А может быть Вы таки как бы хотите сказать, что сообщи я вам IP-адрес linux-машины, Вы немедленно на ней получите доступ уровня root ?

Ржунимагу. You made my day, как говорится

Вероятность получения Вами, а так же кем либо еще, не входящими в эти 30 человек, и никак с ними не связанными, администативного доступа на любом из транзитных узлов для произвольной трассы настолько мала, что такая возможность должна рассматриваться в последнюю очередь. Противное немедленно выставляет Вас в идиотском виде, что не способствует, и я думаю, не соответствует.

Любой, кто имеет такую возможность, может быть невероятно богат в течение 15 минут, например. И возней с журнальчегами себя утруждать не будет, точно Вам говорю.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 12:18 (ссылка)
>А может быть Вы таки как бы хотите сказать, что сообщи я вам IP-адрес
>linux-машины, Вы немедленно на ней получите доступ уровня root ?

Вы дурак?
Имея shell на компе, получить там рута ничего не стоит,
есть миллион эксплойтов для этого.

>на всех 10-15 хопах от меня до Вас линукс

Линукс и BSD, в 99% случаев. Остальной процент -
солярка, хпукс и прочее, что ломается еще проще

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 12:46 (ссылка)
Я таки спрошу !
Сколько linux-машин Вы лично сломали таким образом, с указанием версий дистрибутивов linux, если можно ?

И немедленно еще спрошу !
На скольки транзитных узлах у Вас есть shell ?

Рассмотрим например трассу от меня до lj.rossia.org

я - Linux
81.30.206.241 - FreeBSD
217.150.52.110 - Cisco
217.150.52.97 - Cisco
87.251.152.174 - все закрыто firewall'ом
195.54.192.62 - Apple Mac OS 8.X (!)
195.54.209.223 - Linux 2.4.X|2.5.X, D-Link embedded, WatchGuard embedded, Uptime 40.162 days

Как видим, магистральшик сидит на Cisco, мелкие реселлеры на FreeBSD и Apple Mac OS. У Вас на сервере Linux с аптайм 40 дней.

На каком из транзитных узлов Вы легко получите администативный доступ с целью внедрения снифера, на примере этой трассы ?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 12:49 (ссылка)
>Сколько linux-машин Вы лично сломали таким
>образом, с указанием версий дистрибутивов linux,

ни одной.
Но компы, где я работаю, ломают постоянно.

>Рассмотрим например трассу от меня до lj.rossia.org

еще есть кусок от сервера LJR до прокси (которую вам видно).
Там где-то 15-20 хопов.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 12:55 (ссылка)
Ну раз ее мне не видно, ее никому не видно, кроме Вас и администратора lj.rossia.org, не так ли ? Что врядли аргумент в Вашу пользу.

70% паролей леммингов вида вася1980, 0302петя и ты ды. Со всеми вытекающими. Это же не означает, что Вы пошли и поломали наперед заданный linux, стоящий у оператора связи в качестве сервера и/или маршрутизатора ?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 13:02 (ссылка)
она есть в заголовке мэйлов, в принципе говоря

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 13:21 (ссылка)
Точно. Я торможу.
Если мы рассматриваем версию злоумышленного хакера, внедрившего снифер на транзитный узел и укравшего куки torquemada, то сделать это он мог на следующих машинах:
1. сам ljr
2. его рутер в ринете
3. ararita
4. ее рутер в англии

Т.к. наперед гарантировать совпадение трасс от заданного ip до произвольного ip, и до другого произвольного ip, нельзя.

Либо физически присутвуя в локальной сети torquemada, в этом случае на любом из транзитных от ljr до torquemada. Ну об этом лучше спросить самого torquemada.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 13:27 (ссылка)
Разумно, да.
Значит, поломали как-то еще.
Дыркой в браузере, например.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 13:32 (ссылка)
И еще. В первую очередь надо бы сравнить, есть ли отличия в версии браузера при добавлении в журнальчег torquemada записи о взломе от его обычных записей, например.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 13:45 (ссылка)
Когда была запись о взломе, мне неведомо, помочь не могу.
А браузер, которым сейчас оставляет комментарии - Опера, 8.*.

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 13:47 (ссылка)
Т.е. я к тому, что общественности немедленно надо предъявить разумную версию происходящего в ответ
на обвинение в использовании прав администратора ljr.

Версии с волшебными хакерами и прочая выполняют прямо противоположенную функцию - косвенным
образом подверждают обвинения torquemada.

Означенную версию можно подтвердить журналом запросов веб-сервера к журналу torquemada, при наличии
письменного согласия последнего. Отказ torquemada дать такое согласие - автоматический слив всех претензий,
что было бы идеально.

Не идеальный, но примлемый вариант - наличие в логах сервера доступа с других ip-адресов, чем обычные torquemada,
с отличной версией браузера. В этом случае администрация ljr рассказывает про поломанного хакера, а поломанный хакер
рассказывает про злоумышленную администрацию. И все на равных. Вы можете продолжать давить морально.

И пессимистичный вариант - рассказы про волшебных хакеров на промежуточных узлах, кастрируемого поциента, и так далее.
Что немедленно подрывает кредит доверия к Вам и Вашему серверу в 0 абсолютный, при сохранении torquemada своих позиций.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 13:50 (ссылка)

>Означенную версию можно подтвердить
>журналом запросов веб-сервера к журналу torquemada, при наличии
>письменного согласия последнего.

С удовольствием выложу. Но без разрешения пациента
как-то некрасиво, а он возражает.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 13:56 (ссылка)
Ну это сразу слив, без вопросов.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]torquemada
2008-03-08 14:13 (ссылка)
Это да, эта стопудов, без вапросав - это слив гы гы гы, ты ради этого суда и пришел, што ле? Я тебе разрешаю защитать слив и версию, што я сам устроил провокацыю, штобы обидеть "честную администрацию лжр". На том основании можешь защищать, што нарисованым логам тех, кто являеца заинтересованой стороной, место в унетазе. Ну а что для тебя версия браузера, которую можно какую угодно указать - это неибацо аргумент и железное доказательство, ну это не лечица, ты уж не обижайсо :)

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 14:18 (ссылка)
совпадающий ip и версия браузера - ниибацо аргумент, и железное доказательство
совпадающий ip и несовпадающая версия браузера - ниибаца аргумент, кто у тебя там еще может постить
несовпадающий ip и совпадающая версия браузера - не аргумент, но сильное подозрение
несовпадающие ip и версия браузера - см. выше, вариант номер 2. никто никому ничего не доказал.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]torquemada
2008-03-08 14:32 (ссылка)
Так и я могу разные браузеры юзать, у меня они все лежат тут пакетом, могу даже древняй нетцкейп показать, который уже в анале истории давно. Так если все это меняеца, переписываеца и генерируеца как угодно - какое же это доказательство?

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 14:36 (ссылка)
ОК, убегаю читать лекцию, вот кусок лога
http://imperium.lenin.ru/TODELETE/torquemada-log.txt
получен грепом
tail -n 300000 access_log | grep -C 3 torquemada | grep -C 3 "07/Mar/2008:20"

если содержится частная информация - простите, уберу

Привет

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]torquemada
2008-03-08 14:44 (ссылка)
Какая то белиберда вообще-то, ну кроме как ипа дурачка кильки, который регулярно делает запросы по моей френдленте и по моему аккаунту на высылку пароля с различных ипов, я там ничего интересного не увидел.

(Ответить) (Уровень выше)

(Скрытый комментарий)
Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 19:21 (ссылка)
Бля. Похоже, это оно и есть.

кто это такой - у меня ни малейших соображений.

и че теперь делать?

Ответ заскриню, хули - уголовное дело

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 20:59 (ссылка)
Чего тут уголовного то ? База данных whois доступна всем.

Тут меня смущает реакция torquemada спустя 3-4 минуты от редактирования профиля.
С другой стороны, очевидно что и не он сам.

Ну или он сам через прокси. Хотя не похоже.

Ну или неважно кто через прокси.
А неужели пароли юзеров хранятся в бд ljr в открытом виде ?

Мне думается, там должны быть только хэши, по нормальному-то.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 21:05 (ссылка)
А черт его знает, вообще-то, не смотрел.

Вопрос чисто философский, ибо база лежит
в таком месте, где к ней никто, кроме меня,
не имеет доступа, а я не помню от нее пароля.
Петя, который помнит пароль, туда не заходил,
на сервере кроме меня никого не было (я там
загружен перманентно).

Перехватить пакет по дороге проще по-любому,
и есть еще десяток точек уязвимости сервера,
о которых я лучше умолчу.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 21:13 (ссылка)
Да 90% "взломов" дело рук инсайдеров, давно известно. Либо напрямую, либо с соучастием. И я бы не стал подозревать взлом Вашего сервера, равно как и наличие снифера на транзитных узлах, но проверить не мешает, на всякий случай.

http://www.livejournal.com/doc/server/ljp.dbschema.password.html
Сдается мне что там ниразу не хэши хранятся. Что не мешало бы переделать.
Во избежание таких вот разборок.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 21:32 (ссылка)
В принципе - имея админский доступ,
всегда можно поменять е-мэйл.
А после этого человек становится полным
хозяином аккаунта. То есть наличие паролей в базе
это конечно косяк, но не самый жуткий.

Более занятно - что пароли передаются по запросу
пользователя открытым текстом на его е-мэйл. В
LJ вместо этого передается линк к паролям, один
черт, конечно.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 21:36 (ссылка)
Ну судя по журналу сразу пошли логинится и менять данные, так что эту версию можно отбросить.

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]torquemada
2008-03-08 21:45 (ссылка)
Чего тут занятного - не понятно, ибо это уже два года известно с лишним наверное, что в жж ввели давно ту срань, а тут старый софт осталса.

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]jamhed
2008-03-08 21:17 (ссылка)
А aknet.ru - ваще мелкостный домашний провайдер (это откуда был нсд). Машинка эта не отвечает вообще, а жаль.

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]kaledin
2008-03-08 22:26 (ссылка)
>А неужели пароли юзеров хранятся в бд ljr в открытом виде ?

Razumeetsya, kak i v bol'shom LJ. Prichina: funkciya vosstanovleniya zabytogo parolya. Nam ehto tozhe pokazalos' dikim, kogda stavili dvizhok, no chto delat'-to.

V smysle, esli 20 sposobov borot'sya s "zabytym parolem", ne vosstanavlivaya ego pryamo, no pojdi ehto ob'yasni pol'zovatelyam, privykshim k kodu LJ.

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]tiphareth
2008-03-08 14:41 (ссылка)
Ну и для ровного счета - туда же
tail -n 300000 access_log | grep -C 3 torquemada | grep -C 3 "07/Mar/2008:1[7-8]"

(Ответить) (Уровень выше)

Re: ты каменты подальше еще заныкай, трусливая мандавош
[info]torquemada
2008-03-08 13:57 (ссылка)
Да я не твой пациент, вербицкий, это ты можешь пациентом оказаца в итоге, как тот же мальгин. Конечно ты выложишь, нарисуешь там чего тебе надо и выложишь. Кто бы сомневалса.

(Ответить) (Уровень выше)


(Читать комментарии) -