Novice » Ostala programska oprema » Posodabljanje Linux jedra brez ponovnega zagona računalnika
ALT ::
no ja, v 1min verjetno ne, so pa sanse da te kdo najde z skeniranjem random ipjev. ampak se vedno je za vecino primerov okuzbe kriv uporabnik, z klikanjem vsega kar se da kliknit..
fiction ::
Hotpatching naceloma ni neka huda znanost. Kodo ranljive funkcije spremenis tako, da naredi JMP
na popravljeno funkcijo. Ksplice to dvoje dobi tako da dvakrat prevede jedro (enkrat z in drugic brez
popravka) in potem naredi binary-diff iz katerega izlusci kaj vse je bilo spremenjeno. To pomeni, da vse skupaj najbrz ni prevec hitro. Drug problem pa je, da moras najti tocno tisto (staro) verzijo compilerja s katero je bil preveden kernel, ki trenutno tece. Drug prevajalnik bi lahko naredil drugacne optimizacije, kar bi pomenilo razliko v generirani objektni kodi.
Magija se zacne sele pri tem, da zagotovis da res prepisujes prave podatke (Run-pre matching).
In da "popravek" ne ogrozi stabilnosti sistema. Paziti moras na razne race-conditione med tvojim popravljanjem in nekim threadom, ki bi hotel delno popravljeno kodo izvesti. Ksplice to resi z neke vrste "lock"-om.
V tem kontekstu je zanimiv tudi MS svet. Visual Studio 2008 ima poseben /hotpatch switch, ki generira kodo, ki jo je lazje popravljati v casu izvajanja. V izvrsljivi kodi je pred vsako funkcijo 5 NOP-ov prostora (za kasnejsi JMP nekam drugam). Inovativen je 2 bajtni "MOV edi, edi" na zacetku. To je v bistvu neke vrste NOP ukaz, fora pa je v tem, da izvajanje nikoli ne more biti nekje "vmes". Pri 2 NOP-ih bi procesor lahko izvedel prvega, ne pa drugega. Tu pa lahko atomarno spremenis ta dva bajta na skok na drug skok, ki si ga prej pripravil (namesto tistih 5 NOP-ov). Zaradi tega ne rabis nobenega "lock"-a. Najbrz je patent kaj v zvezi s tem, ceprav moram priznati, da tako zelo huda pa ta fora spet ni (vsak shell code generator pozna neke alternativne "no-operation" ukaze).
Ce bi lahko patentiral "hotpatching" sam bi namrec lahko patentiral tudi odpravljanje napak (ali pa bit 1) . To pa, upam da, tudi v Ameriki ni mogoce.
na popravljeno funkcijo. Ksplice to dvoje dobi tako da dvakrat prevede jedro (enkrat z in drugic brez
popravka) in potem naredi binary-diff iz katerega izlusci kaj vse je bilo spremenjeno. To pomeni, da vse skupaj najbrz ni prevec hitro. Drug problem pa je, da moras najti tocno tisto (staro) verzijo compilerja s katero je bil preveden kernel, ki trenutno tece. Drug prevajalnik bi lahko naredil drugacne optimizacije, kar bi pomenilo razliko v generirani objektni kodi.
Magija se zacne sele pri tem, da zagotovis da res prepisujes prave podatke (Run-pre matching).
In da "popravek" ne ogrozi stabilnosti sistema. Paziti moras na razne race-conditione med tvojim popravljanjem in nekim threadom, ki bi hotel delno popravljeno kodo izvesti. Ksplice to resi z neke vrste "lock"-om.
V tem kontekstu je zanimiv tudi MS svet. Visual Studio 2008 ima poseben /hotpatch switch, ki generira kodo, ki jo je lazje popravljati v casu izvajanja. V izvrsljivi kodi je pred vsako funkcijo 5 NOP-ov prostora (za kasnejsi JMP nekam drugam). Inovativen je 2 bajtni "MOV edi, edi" na zacetku. To je v bistvu neke vrste NOP ukaz, fora pa je v tem, da izvajanje nikoli ne more biti nekje "vmes". Pri 2 NOP-ih bi procesor lahko izvedel prvega, ne pa drugega. Tu pa lahko atomarno spremenis ta dva bajta na skok na drug skok, ki si ga prej pripravil (namesto tistih 5 NOP-ov). Zaradi tega ne rabis nobenega "lock"-a. Najbrz je patent kaj v zvezi s tem, ceprav moram priznati, da tako zelo huda pa ta fora spet ni (vsak shell code generator pozna neke alternativne "no-operation" ukaze).
Ce bi lahko patentiral "hotpatching" sam bi namrec lahko patentiral tudi odpravljanje napak (ali pa bit 1) . To pa, upam da, tudi v Ameriki ni mogoce.
ALT ::
v ameriki je vse mogoce, sploh ko se gre za dobrobit megakorporacij
drugace pa se mi zdi, da bojo na resnih sistemih vseeno raje izvajali navaden restart po aplikaciji vseh patchev, kot pa se zanasali na to hotpachanje brez reboota (ali se samo meni zdi, da gre lahko vcasih kj narobe pri tem?). Par minut offlina serverjev (sploh ob prisotnosti redundancy serverjev) le ni tak hud problem.
EDIT: ce bolje pomislim, povsod je marsikej mogoce, ko se gre za megakorporacije
drugace pa se mi zdi, da bojo na resnih sistemih vseeno raje izvajali navaden restart po aplikaciji vseh patchev, kot pa se zanasali na to hotpachanje brez reboota (ali se samo meni zdi, da gre lahko vcasih kj narobe pri tem?). Par minut offlina serverjev (sploh ob prisotnosti redundancy serverjev) le ni tak hud problem.
EDIT: ce bolje pomislim, povsod je marsikej mogoce, ko se gre za megakorporacije
Zgodovina sprememb…
- spremenil: ALT ()
ABX ::
Če je windows mašina direktno povezana na Internet brez firewalla, boš okužen v 1 minuti. Brez tikat nič, niti IE.
Lahko dokažeš svojo trditev?
Nisem našel članka ki potrdi 1 minuto, sem pa našel enega ki govori o 20min.
http://www.theregister.co.uk/2004/08/19...
To je tako pogost problem da večina ISP ponudnikov ima zaprt nebios port.
Vaša inštalacija je uspešno spodletela!
ABX ::
no ja, v 1min verjetno ne, so pa sanse da te kdo najde z skeniranjem random ipjev. ampak se vedno je za vecino primerov okuzbe kriv uporabnik, z klikanjem vsega kar se da kliknit..
Ne, okuženi pc-ji avtomatizirano iščejo nove tarče po mreži, če zasledijo netbios port boš okužen.
Vaša inštalacija je uspešno spodletela!
ALT ::
Ne, okuženi pc-ji avtomatizirano iščejo nove tarče po mreži, če zasledijo netbios port boš okužen.
avtomatizirano iskanje tarc = random skeniranje ipjev (no ne cisto random, po rangih, ampak vseeno na blef)
netbios je soooooo old stuff, da ga je sploh smesno omenjat. dvomim da je tut sploh se ranljiv, naj me kdo popravi ce za cudo je, se mi ne da raziskovat zdle, ampak bi bil absurd ce se vedno je.
clanek, ki si ga linkal je 5 let star, crvi, ki so se pasli z njim pa so se starejsi.
nove instalacije ze lep cas pridejo z netbiosom na off (vsaj vista kolko vem), plus ze od prihoda sp2 na xpjih je praksa, da je firewall po defaultu na on.
ABX ::
Tako, ampak če bi sledil debati bi ugotovil da govorimo brez Firewall zaščite. Ti pa govoriš nekaj popolnoma mimo.
Vaša inštalacija je uspešno spodletela!
ALT ::
no ni popolnoma mimo, pac neuki uporabniki ne vedo kaj firewall sploh je in ga tut ne izklopijo ponavadi.
tako da je zadnja leta kar tezko, da bi nekdo kar tako prisel z windowsi na net brez firewalla.
se vedno pa ostaja dejstvo, da je tvoj dokaz o 20min ranljivosti windowsov brez firewalla zasnovan na starinskih problemi, predvsem iz casov win98 in zgodnjih let winxp.
tako da je zadnja leta kar tezko, da bi nekdo kar tako prisel z windowsi na net brez firewalla.
se vedno pa ostaja dejstvo, da je tvoj dokaz o 20min ranljivosti windowsov brez firewalla zasnovan na starinskih problemi, predvsem iz casov win98 in zgodnjih let winxp.
Smeagol ::
Če je windows mašina direktno povezana na Internet brez firewalla, boš okužen v 1 minuti. Brez tikat nič, niti IE.
Lahko dokažeš svojo trditev?
Nisem našel članka ki potrdi 1 minuto, sem pa našel enega ki govori o 20min.
http://www.theregister.co.uk/2004/08/19...
To je tako pogost problem da večina ISP ponudnikov ima zaprt nebios port.
Med 1 ali 20 je velika razlika. Seveda je tu za povrhu se govor o nekaj let starem osu out of the box. Brez SPjev, patchev ali cesarkoli.
V bistvu bi tisto "windows masina" lahko (moral) izpustiti ker je traparija. Isto velja za vse druge razsirjene (pa ceprav zelo slabo razsirjene OSe).
Matevžk ::
Med 1 ali 20 je velika razlika. Seveda je tu za povrhu se govor o nekaj let starem osu out of the box. Brez SPjev, patchev ali cesarkoli.
V bistvu bi tisto "windows masina" lahko (moral) izpustiti ker je traparija. Isto velja za vse druge razsirjene (pa ceprav zelo slabo razsirjene OSe).
Se strinjam, da ima tako hude težave samo XP brez popravkov in da je nad tem se zgražati krivično (sploh glede na to, da se CD-jev s takim OS-om ne prodaja več).
Ampak glede ostalih (ne-windows) mašin boš moral pa dati kakšen link. No, eno je, da zaradi nerazširjenosti OS-a ni toliko avtomatiziranih napadov. Ampak tudi sicer; če jaz zdaj postavim frišno postavljeno Ubuntu mašino brez firewalla in ti povem javno dostopen IP -- pokaži mi članek, v katerem je opisan postopek, po katerem boš mašino uspešno napadel (in da bodo posledice karkoli motečega, razen samega obremenjevanja linije in kakšnega procenta procesorja za vztrajno zavračanje tvojih prijav).
Edit: ne poznam situacije dobro, ampak predvidevam, da boš težko našel tudi tak napad za Visto, sedmico ali do konca popatchan XP. Torej namen mojega posta ni povzdigovati Ubuntu nad Windows, bognedaj sprožati kakšne flameware ...
lp, Matevžk
Zgodovina sprememb…
- spremenil: Matevžk ()
Mr.B ::
Nekaj takega bi si želel pod Winsi, teh rebootov, je še vedno preveč pri winsih. Je paa relativno ?, če si v resnem poslu, ali si lahko privoščiš offline, ali si omisliš dve mašini, pa nekaj naprednega pred njima, da ve, kdaj mašina ni živa, in preusmerja promet na delujočo mašino....
Offtopic
ABX :
DA Winsi nimajo tako lepeha grafičnega klik klik vmesnika kot kak exctra ultra napredni Firewali, ki imajo samo ultra klik klik vmesnik. netsh se da marsikaj nastaviti, je pa res včasih enostavno klik klik, z Windows Advanced Firewall. Večinompa pa preko GPO-objekta, ampak.
ABX, tvoja trditev je ta, da vzameš enlo linux distribucijo, ja namestiš, namestiš še malo morej solate, pa nobenega popravka ne namestiš, pa rečeš jaz sem tata mata. Že samo is statistike je logično da bo na koncu Apple bil prej heknen kot tvoj linux, saj je nejgova četrletna rast na desktopih, niha več kot je narastla linux varianta na desktopih, cca 10+ let. Še vedno je bil in je problem pri Windowsih uporabnik, in za njega je pisan OS, v nobenem primeru si linux svet, ne želi take količine butcev med stolom in nekaj kar se reče tipkovnica.
Offtopic
ABX :
Preberi link preden govoriš bedarija. Govorimo o XP-jih, ko nimajo firewalla, in to so dobila polokna šele špd SP2. Potrjeno neznanje.
DA Winsi nimajo tako lepeha grafičnega klik klik vmesnika kot kak exctra ultra napredni Firewali, ki imajo samo ultra klik klik vmesnik. netsh se da marsikaj nastaviti, je pa res včasih enostavno klik klik, z Windows Advanced Firewall. Večinompa pa preko GPO-objekta, ampak.
ABX, tvoja trditev je ta, da vzameš enlo linux distribucijo, ja namestiš, namestiš še malo morej solate, pa nobenega popravka ne namestiš, pa rečeš jaz sem tata mata. Že samo is statistike je logično da bo na koncu Apple bil prej heknen kot tvoj linux, saj je nejgova četrletna rast na desktopih, niha več kot je narastla linux varianta na desktopih, cca 10+ let. Še vedno je bil in je problem pri Windowsih uporabnik, in za njega je pisan OS, v nobenem primeru si linux svet, ne želi take količine butcev med stolom in nekaj kar se reče tipkovnica.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
ALT ::
matevzek, komot, ce le imas kak dober remote root exploit.
mr.b, xpji so imeli ze pred sp2 firewall, le da ta ni bil po defaultu on. pa tudi se mi zdi, da ima linux vec piscev exploitov, kot pa macos. enostavno zato, ker je macos za navadne ljudi, z linuxom se pa ponavadi zagrizenci ukvarjajo, pa tudi pogost je v server okolju. ceprav bi glede stevilo uporabnikov res kazalo slabse macu, se mi zdi da linux zarad teh razlogov bolj zanimiv za taksne podvige.
mr.b, xpji so imeli ze pred sp2 firewall, le da ta ni bil po defaultu on. pa tudi se mi zdi, da ima linux vec piscev exploitov, kot pa macos. enostavno zato, ker je macos za navadne ljudi, z linuxom se pa ponavadi zagrizenci ukvarjajo, pa tudi pogost je v server okolju. ceprav bi glede stevilo uporabnikov res kazalo slabse macu, se mi zdi da linux zarad teh razlogov bolj zanimiv za taksne podvige.
Mr.B ::
ALT odgovor :
Pri Linucu, je ponavadi to, da tisti ki ga namešča, ve malo več , kot navaden nobi, ki je kupil računalnik v BBM. Drugo je tudi dejstvo, da ko že nameščaš linux, rečeš, daj potegni najnovejše zadeve dol, torej že vključuješ popravke.
Forget it. You and I both know the truth. Most people start their computer and head over to eBay to look up auctions for Precious Moments figurines, or start reading email, or check out their son-in-law's newly posted photos of little Susie and that scamp little Johnny, or fire up a game of Pinochle on Yahoo! Games. Windows Update? Huh? What's that? Why do I need to "protect" this computer? I just bought it!
And soon enough, Grandpa and Grandma's new Windows computer is spewing out email ads for offshore casinos, and SUPERLOW!!! mortgage rates, and \/1@gra and (1@li5, and God knows what else.
Pri Linucu, je ponavadi to, da tisti ki ga namešča, ve malo več , kot navaden nobi, ki je kupil računalnik v BBM. Drugo je tudi dejstvo, da ko že nameščaš linux, rečeš, daj potegni najnovejše zadeve dol, torej že vključuješ popravke.
da ima linux vec piscev exploitov, kot pa macosNe ko postane Os zanimiv, postane zanimiv tudi za vse ostel prijatelje, ker je enostaneje delati botnet mreže, če je dejstvo da bo skoraj vsak poizkus zadel Windows mašino, kot pa na vsakih 99 klikov, prišel na linux mašino, itd.
linux zarad teh razlogov bolj zanimiv za taksne podvigeZakaj že bi delal bootnet na linux mašinah? Razen nadebudnežev, ki imajo veselje do dela, da iščejo lukne v sistemu, izuzamemo skupine, ki to delajo z drugimi nameni in cilji...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
ALT ::
mr.b, tist citat nikjer ne omenja okuzbe na random nacin. to, da "grandpa in grandma" dobita marsikaj z klikanjem vsega je najbolj ocitna zadeva.
botnet mreze je easy delat kjerkoli, glavno da imas dober remote exploit. to je bistvena stvar, da bo "komaj" ena masina na 99 ostalih prava je najmanjsi problem.
in botneti so na linux masinah ze doooolgo prisotni, dodaten bonus pri linuxu je to, da je zelo velik delez le-teh streznikov, ki so online ves cas in ponavadi na dobrih linijah. potem pa ze hitra racunica pokaze, da 100 win masin, na domacih linijah z nekih 256kb uploada, ki so povprecno online nekih 6ur na dan ni nic boljsa od 2 linux masin, ki imajo 10mb upload linijo in so online 24/7.
botnet mreze je easy delat kjerkoli, glavno da imas dober remote exploit. to je bistvena stvar, da bo "komaj" ena masina na 99 ostalih prava je najmanjsi problem.
in botneti so na linux masinah ze doooolgo prisotni, dodaten bonus pri linuxu je to, da je zelo velik delez le-teh streznikov, ki so online ves cas in ponavadi na dobrih linijah. potem pa ze hitra racunica pokaze, da 100 win masin, na domacih linijah z nekih 256kb uploada, ki so povprecno online nekih 6ur na dan ni nic boljsa od 2 linux masin, ki imajo 10mb upload linijo in so online 24/7.
Mr.B ::
ALT, dej ne bluzi, ker če bi vedel kako se braniti v takih primerih, je enostavneje dva Ip-ja v kišto vpisati in reči fu**Off, ali pa ISP-ju zatežiti, da naredi.. Ko pa boš imel 99% časa 99% random mašin iz botneta, ki bodo pingale tvoj firewall, pa če tudi je vsaka na 256k liniji.
Dej ne smeti teme, za Windowse bi si to zaželel, samo je problem, da je vse preveč znotaj Windowsov integrirano, tako da en popravek vpliva na deset ostalih odvisnih programov, tako da ni druge možnosti kot reboot.
Dej ne smeti teme, za Windowse bi si to zaželel, samo je problem, da je vse preveč znotaj Windowsov integrirano, tako da en popravek vpliva na deset ostalih odvisnih programov, tako da ni druge možnosti kot reboot.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
ALT ::
mr.b, o cem ti bluzis? 2 ipja bos blokiral in bo stvar resena? hahaha.. v enem dnevu je vsaj 30 razlicnih ipjev v logih mojga serverja. sploh ne ves o cem govoris.. ne vem zakaj se vtikas v debato, ce ti osnove niso jasne.
ABX ::
Brute force napadi kot smo jih bili deležni v času win98, winxp danes niso več možni. Največ zasluge pri temu imajo današnji routerji ki delujejo kot Firewall.
Danes se je scena premaknila na rekalme, kjer klient je avtomatično okužen ko obišče Internet stran z okuženim linkom, klik na rekalmo ni potreben, tako da uporabnik je kriv samo zaradi tega ker uporablja IE.
Mr.B, z varnostjo se ubadam že 10 let in če AV ne odstani nesnage se lotim zadeve ročno, tako da točno vem kako delujejo.
Danes se je scena premaknila na rekalme, kjer klient je avtomatično okužen ko obišče Internet stran z okuženim linkom, klik na rekalmo ni potreben, tako da uporabnik je kriv samo zaradi tega ker uporablja IE.
Mr.B, z varnostjo se ubadam že 10 let in če AV ne odstani nesnage se lotim zadeve ročno, tako da točno vem kako delujejo.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
brute force je zmer bil nadlezno in dolgotrajno opravilo. veliko lazje je izkoristit neko varnostno luknjo. firewall pa res zna marsikatero situacijo resit.
jah no, uporabnik je kriv, ker obiskuje take strani, ni ga IE prisilu da je to odpru :) sicer pa je za taksne okuzbe kriv adobe ali kaj drugega, ne sami windowsi.
jah no, uporabnik je kriv, ker obiskuje take strani, ni ga IE prisilu da je to odpru :) sicer pa je za taksne okuzbe kriv adobe ali kaj drugega, ne sami windowsi.
ABX ::
jah no, uporabnik je kriv, ker obiskuje take strani, ni ga IE prisilu da je to odpru :) sicer pa je za taksne okuzbe kriv adobe ali kaj drugega, ne sami windowsi.
Ne, to je nevarnost teh novih virusov, lahko si okužen tudi na 24ur če ena izmed reklam prihaja iz okuženega serverja.
sigurno ni samo IE kriv za to, tudi Adobe ima svoj delež, in če je plugin kriv za to niti Linux te ne reši.
Zato pa zagovarjam Ad Block in NoScript, linkanje čez web site je danes največja nevarnost.
P.S: sicer smo popolnoma offtopic, samo kaj ko troll-i govorijo neumnosti in ne moreš bit tiho.
P.S.S: Zadni primer masovnega buto force napada na netbios port je bil Wormblaster. Verjetno ga je večina tukaj videla v živo.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
v teoriji lahko, ampak na taksnih znanih strani so sanse skoraj nikakrsne da tam kj fases. seveda ce nekdo ne shacka njihov server in postavi gor okuzen banner.
najveckrat to fasejo ljudje, ki iscejo free pr0n, cracke in taksne sumljive zadeve, potem pa odpirajo vse mozne strani.
zanimivo pri tem wormblasterju je, da so se ga spravili ustavljat tako, da so naredili modificirano verzijo, ki je ravno tako kot on hackala masine, in potem zapirala luknjo, da bi onemogocila wormblasterja na tej masini. je pa problem, ker je potem dalje s te masine iskal nove compe, da bi naredil isto..
najveckrat to fasejo ljudje, ki iscejo free pr0n, cracke in taksne sumljive zadeve, potem pa odpirajo vse mozne strani.
zanimivo pri tem wormblasterju je, da so se ga spravili ustavljat tako, da so naredili modificirano verzijo, ki je ravno tako kot on hackala masine, in potem zapirala luknjo, da bi onemogocila wormblasterja na tej masini. je pa problem, ker je potem dalje s te masine iskal nove compe, da bi naredil isto..
ABX ::
Ne, Wormblaster so ustavili tako da so blokiral netbios port. Takrat večina je dostopala na net z PPPOE, brez vkopljenega firewalla. Sicer ISP je blokiral netbios port na zunanjo mrežo, vendar znotraj istega subneta je bilo vse odprto, tako da dejansko te je hekal sosed.
Zakaj bi hekal 1000 serverje ko je dovolj da dobiš 1 server ki posreduje reklame za 100.000 strežnikov?
Zakaj bi hekal 1000 serverje ko je dovolj da dobiš 1 server ki posreduje reklame za 100.000 strežnikov?
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
poskusali so tudi z modificiranimi verzijami tega crva. nachi in welchia. sicer ga res nista ustavla, sta pa verjetno marsikoga resla (in mu nato zrla bandwidh ).
zakaj? zato ker recimo 24ur ima vse bannerje pri sebi. je pa res to najboljsi nacin za masovno distribucijo okuzenega materiala, ce jim le rata pridet v taksen server..
zakaj? zato ker recimo 24ur ima vse bannerje pri sebi. je pa res to najboljsi nacin za masovno distribucijo okuzenega materiala, ce jim le rata pridet v taksen server..
denial ::
@ABX:
ipconfig:
IP Address. . . . . . . . . . . : 89.142.*.*
Subnet Mask . . . . . . . . . . : 255.255.255.255
Kot vidiš moj ISP preprečuje, da bi me pwnal sosed na subnetu.
Torej praviš 20 minut. Pa si poskusil to tudi v praksi?
@fiction:
MSFT hotpatching ima kar nekaj omejitev: KLIK
Baje zadeva ni dovolj stabilna pri hotpatchanju nekaterih kernel funkcij.
Sicer ISP je blokiral netbios port na zunanjo mrežo, vendar znotraj istega subneta je bilo vse odprto, tako da dejansko te je hekal sosed.
ipconfig:
IP Address. . . . . . . . . . . : 89.142.*.*
Subnet Mask . . . . . . . . . . : 255.255.255.255
Kot vidiš moj ISP preprečuje, da bi me pwnal sosed na subnetu.
Torej praviš 20 minut. Pa si poskusil to tudi v praksi?
@fiction:
MSFT hotpatching ima kar nekaj omejitev: KLIK
Baje zadeva ni dovolj stabilna pri hotpatchanju nekaterih kernel funkcij.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
ender ::
Denial: če imaš PPPoE, je med tabo in ponudnikom navidezno res /32 omrežje, vendar to ne pomeni, da si subneta ne deliš z drugimi uporabniki. Pravi subnet je v tvojem primeru 89.142.0.0/18.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
Zgodovina sprememb…
- spremenilo: ender ()
ABX ::
To kar pravi ender .
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
fiction ::
V bistvu je naslov novice zavajujoc, ker ne gre za to da bi upgradal jedro iz ene verzije na drugo, ampak le za to, da zakrpas neko napako (v idealnem primeru je sprememba cim manjsa).
gre za slabo (oz. izpusceno) preverjanje dolocenega pogoja, kar se da s tem nacinom precej lahko resiti.
Zanimivo je to, da ze pri prevajanju programa mislis, kako bos prevedeno kodo potem cim lazje pohekal.
novega jedra pusha samo popravke za staro jedro (ce uporabljas tistega iz distribucije).
Po analogiji: ce ti na kolesu poci guma, se jo najbrz da zaflikati (prakticno skoraj v run-timu).
Ce je kaj drugega narobe je ponavadi bolj smotrno tisti del zamenjati kot pa se truditi s popravljanjem, ceprav bi se to najbrz dalo. Poleg zahtevnosti tega pocetja je namrec tudi vprasanje
kaksno garancijo ti bo tisti, ki to izvaja dal. Najbrz nobene, ker je velika verjetnost, da bo kmalu spet kaj narobe.
MSFT hotpatching ima kar nekaj omejitev: KLIKTo ni bug pri MS-ju, ampak posledica tega, da je prevec tezko shajati s spremembami podatkovnih struktur in semantike programa - tudi razne druge hotpatchb ing variante niso drugacne, ce niso ravno avtorji totalno mazohisticni oz. hazarderski ("bo delalo"). Pri vecini varnostnih ranljivosti
gre za slabo (oz. izpusceno) preverjanje dolocenega pogoja, kar se da s tem nacinom precej lahko resiti.
Zanimivo je to, da ze pri prevajanju programa mislis, kako bos prevedeno kodo potem cim lazje pohekal.
drugace pa se mi zdi, da bojo na resnih sistemih vseeno raje izvajali navaden restart po aplikaciji vseh patchev, kot pa se zanasali na to hotpachanje brez reboota (ali se samo meni zdi, da gre lahko vcasih kj narobe pri tem?). Par minut offlina serverjev (sploh ob prisotnosti redundancy serverjev) le ni tak hud problem.Se strinjam. Ravno to, da vse skupaj se vedno dela, kljub temu da si nekaj spreminjal je najtezje zagotoviti. Zna biti, da "hotpatching" stane vec kot bi stalo 5 min downtima (pri ksplice sicer v vecini primerov ne rabis strokovnjaka, ampak se vedno moras zrtvovati kar nekaj cpu casa). Glede na to, da je ponavadi na voljo redundanca, izpad enega streznika ponavadi niti ni tako kriticen. Tole je pomoje bolj uporabno za domaco uporabo, vendor ti namesto
novega jedra pusha samo popravke za staro jedro (ce uporabljas tistega iz distribucije).
Po analogiji: ce ti na kolesu poci guma, se jo najbrz da zaflikati (prakticno skoraj v run-timu).
Ce je kaj drugega narobe je ponavadi bolj smotrno tisti del zamenjati kot pa se truditi s popravljanjem, ceprav bi se to najbrz dalo. Poleg zahtevnosti tega pocetja je namrec tudi vprasanje
kaksno garancijo ti bo tisti, ki to izvaja dal. Najbrz nobene, ker je velika verjetnost, da bo kmalu spet kaj narobe.
denial ::
@ender
subnet mask /32 označuje single-host network (če temu sploh lahko rečeš network).
HOST1:
ISP - 89.142.247.140 | subnet mask: 255.255.255.255
LAN - 192.168.0.101 | subnet mask: 255.255.255.0
Apache bind port TCP/80 (LAN/ISP)
Windows firewall scope: My network (subnet) only
HOST2:
ISP - 89.142.242.83 | subnet mask: 255.255.255.255
LAN - 192.168.0.11 | subnet mask: 255.255.255.0
ISP IP range: 89.142.0.0/18 | Route: 89.142.192.0/18
LAN IP range: 192.168.0.0/24
ISP2 -> ISP1 TCP/80 = NOPE!
LAN2 -> LAN1 TCP/80 = OK
Zamenjaj HTTP port z NetBIOS in seštej 2 + 2.
@fiction:
Se strinjam. To je feature
subnet mask /32 označuje single-host network (če temu sploh lahko rečeš network).
HOST1:
ISP - 89.142.247.140 | subnet mask: 255.255.255.255
LAN - 192.168.0.101 | subnet mask: 255.255.255.0
Apache bind port TCP/80 (LAN/ISP)
Windows firewall scope: My network (subnet) only
HOST2:
ISP - 89.142.242.83 | subnet mask: 255.255.255.255
LAN - 192.168.0.11 | subnet mask: 255.255.255.0
ISP IP range: 89.142.0.0/18 | Route: 89.142.192.0/18
LAN IP range: 192.168.0.0/24
ISP2 -> ISP1 TCP/80 = NOPE!
LAN2 -> LAN1 TCP/80 = OK
Zamenjaj HTTP port z NetBIOS in seštej 2 + 2.
@fiction:
MSFT hotpatching ima kar nekaj omejitev...
To ni bug pri MS-ju, ...
Se strinjam. To je feature
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
ABX ::
Moj primer:
Connection Type PPPoE
IP Address 83.52.56.xxx
Subnet Mask 255.255.255.255
nmap scan 83.52.56.1-255 (se mi ni dalo skenirat cel /18 range.
~150 mašin, od teh 30% ima vsaj en port odprt.
Connection Type PPPoE
IP Address 83.52.56.xxx
Subnet Mask 255.255.255.255
nmap scan 83.52.56.1-255 (se mi ni dalo skenirat cel /18 range.
~150 mašin, od teh 30% ima vsaj en port odprt.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ender ::
denial: netmask /32 imaš zaradi PPPja. To ne pomeni, da si na omrežju sam. Sicer pa je bilo rečeno, da ISPji blokirajo promet ki gre izven njihovega omrežja, med tem ko prometa znotraj svojega omrežja ne filtrirajo, tako da sploh ni važno kakšen netmask imaš - kdorkoli na SiOLu lahko pride do tebe neovirano, tudi če je na 193.77.0.0/16 omrežju.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
denial ::
@ABX
Tisti scan mi ne pove čisto nič. Vsaka mašina ima odprt kakšen port. So what? Sicer pa, saj ne pravim, da ni mogoče skenat če imaš subnet mask /32.
@ender
Pa poskusimo. Vsi ki ste na Siol-u:
http://89.142.245.99/
Pa da vidimo kdo pride gor, recimo, do 24h :)
Firewall scope je na subnet only. Verjetno je vsem jasno, da si brez firewalla dosegljiv from everywere.
Let the game begin.
EDIT:
Torej server je down ob 23.30h. Nekaj poskusov dostopa s strani Siolovih uporabnikov je bilo izvedenih, čeprav pretirane gneče ni bilo .
Po odzivih sodeč nikomur ni uspelo prilesti na page.
@ABX:
Sedaj pa še ti dokaži, da je Windows mašina lahko okužena v 20 minutah, če ima odprt NetBIOS.
Tisti scan mi ne pove čisto nič. Vsaka mašina ima odprt kakšen port. So what? Sicer pa, saj ne pravim, da ni mogoče skenat če imaš subnet mask /32.
@ender
Pa poskusimo. Vsi ki ste na Siol-u:
http://89.142.245.99/
Pa da vidimo kdo pride gor, recimo, do 24h :)
Firewall scope je na subnet only. Verjetno je vsem jasno, da si brez firewalla dosegljiv from everywere.
Let the game begin.
EDIT:
Torej server je down ob 23.30h. Nekaj poskusov dostopa s strani Siolovih uporabnikov je bilo izvedenih, čeprav pretirane gneče ni bilo .
Po odzivih sodeč nikomur ni uspelo prilesti na page.
@ABX:
Sedaj pa še ti dokaži, da je Windows mašina lahko okužena v 20 minutah, če ima odprt NetBIOS.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
ALT ::
denial, pa kaj ima veze blokiranje portov s strani ISPja z blokiranjem portov tvojega firewalla?
ce nimas firewalla in ISP blokira 139 lahko kdorkoli z istega ranga dostopa do njega, kljub temu da ga ISP (navzven) blokira.
pa govorilo se je, da so win98/zgodnji xpji bili ranljivi na netbios, ne pa popatchani xpji/vista..
ce nimas firewalla in ISP blokira 139 lahko kdorkoli z istega ranga dostopa do njega, kljub temu da ga ISP (navzven) blokira.
pa govorilo se je, da so win98/zgodnji xpji bili ranljivi na netbios, ne pa popatchani xpji/vista..
denial ::
ce nimas firewalla in ISP blokira 139 lahko kdorkoli z istega ranga dostopa do njega, kljub temu da ga ISP (navzven) blokira
Kar je popolnoma enako kot da imaš imaš firewall in je scope za NetBIOS porte definiran "My network (subnet) only - default nastavitev.
pa govorilo se je, da so win98/zgodnji xpji bili ranljivi na netbios, ne pa popatchani xpji/vista.
Iz 1 min na 20 min. Iz Windows (posplošeno) na Win98/XP SP0. Lepo, da smo končno začeli debato konkretizirati.
SELECT finger FROM hand WHERE id=3;
ALT ::
govori se o tem, da so masine brez fw zelo ranljive, ne pa o tem da jih ISP blokada enako ucinkovito sciti, kot narobe konfiguriran firewall...
sm ze lepo nekaj casa nazaj rekel, da je to starinski link, ki se nanasa na se starejsi problem. netbios je tezava preteklosti, sedaj prezijo na uporabnike drugacne nevarnosti..
sm ze lepo nekaj casa nazaj rekel, da je to starinski link, ki se nanasa na se starejsi problem. netbios je tezava preteklosti, sedaj prezijo na uporabnike drugacne nevarnosti..
ABX ::
En dan ko se mi bo dalo bom naredil XP virtualno mašino in uredil port forwarding za netbios port.
Vaša inštalacija je uspešno spodletela!
ALT ::
lol :)
sicer pa dvomim, da bos hitro naletel na tezave, glede na to da so ti crvi bili popularni 6 let nazaj.
btw, ISPji se vedno blokirajo netbios? ali so ze prenehali s tem?
sicer pa dvomim, da bos hitro naletel na tezave, glede na to da so ti crvi bili popularni 6 let nazaj.
btw, ISPji se vedno blokirajo netbios? ali so ze prenehali s tem?
ABX ::
lol :)
sicer pa dvomim, da bos hitro naletel na tezave, glede na to da so ti crvi bili popularni 6 let nazaj.
btw, ISPji se vedno blokirajo netbios? ali so ze prenehali s tem?
Zakaj bi prenehali? Naštej eno prednost odprtega netbios porta na Internet.
Mogoče virusi so stari, vendar če se sprehodiš okoli boš našel na ogromno Windows XP mašin ki niso patch-irane.
Poleg tega virusi se reciklirajo, odstrani koda ki ne dela več in doda nova, tisti del ki dela pa se ne tika. Zato imaš večkrat mnogo različic istega virusa.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
in kaj bos potem dosegu, ce so porti blokirani?
pa zakaj bi se kdo se ubadal modificirat crve, ki so tako ali tako blokirani?
no pa dj postavi neke stare winse brez fw, pa da vidmo ce bo kak crvek prisu vohljat :D
pa zakaj bi se kdo se ubadal modificirat crve, ki so tako ali tako blokirani?
no pa dj postavi neke stare winse brez fw, pa da vidmo ce bo kak crvek prisu vohljat :D
ABX ::
in kaj bos potem dosegu, ce so porti blokirani?
Varnost?
pa zakaj bi se kdo se ubadal modificirat crve, ki so tako ali tako blokirani?
Pred virusom ki je blokiran dodaš novo kodo ki izkorišča novo lunknjo, ko prideš v sistem onemogočiš zaščito in nato sprožiš stari črv ki testirano dela.
no pa dj postavi neke stare winse brez fw, pa da vidmo ce bo kak crvek prisu vohljat :D
Sem len, ampak bom ob prvi priliki ko dobim kak VM pod roke.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
in kaj bos potem dosegu, ce so porti blokirani? to je letelo na to, da bos postavil win masino z odprtim netbiosom..
torej mas nov virus, ki le uporablja stari rootkit. ne pa modificiran virus..
torej mas nov virus, ki le uporablja stari rootkit. ne pa modificiran virus..
ABX ::
in kaj bos potem dosegu, ce so porti blokirani? to je letelo na to, da bos postavil win masino z odprtim netbiosom..
torej mas nov virus, ki le uporablja stari rootkit. ne pa modificiran virus..
A ti resno misliš da lahko imaš Windows mašino z odprtim netbios portom na Internet?
Povej kaj takega na kakem Network security meetingu in te bojo linčali.
P.S: Članek na netbios port in Internet.
http://www.nacs.uci.edu/security/netbio...
Povzetek:
Is there really a problem with these ports?
Yes! While NACS realizes that it is inconvenient to some users that these ports are blocked, the majority of computers at UCI do not require them. Most people do not share files using Windows file sharing mechanisms. However, these ports are usually open on most Windows based computers. Unsuspecting members of the campus community have their computers hacked daily. The School Computer Coordinators (SCCs) are behind stopping this activity using the blockade. In fact, here is a sample email from Steve Carlyle, Computer Resource Manager in the School of Biological Sciences, and an SCC on campus.
NetBIOS ports 137, 138, and 139 are sometimes called "Scanner Bait" ports (and lately, 445 is getting scanned a lot also), because when detected by hacker scanners offer an enticing target. Scanners--which are freely downloadable from the Internet--seek out and locate Windows file and printer shares. Malicious computer vandals leave these scanners running 24 hours a day, collecting IP addresses that look vulnerable or have Windows shares to try to exploit. UCInet is scanned constantly by such scanners. If your IP address is one selected, these vandals "map" that shared file or hard drive onto their local drive letters to gain access to your computer's files. (For more information on this, visit the Web pages on this subject created by Steve Gibson, Gibson Research Corporation, at http://grc.com/su-danger.htm )
Internet Security Systems (ISS) says on one Web page discussing port 139 that it, "is the single most dangerous port on the Internet. All "File and Printer Sharing" on a Windows machine runs over this port. About 10% of all users on the Internet leave their hard disks exposed on this port. This is the first port hackers want to connect to."
But beyond just the NetBIOS ports, this blockade extends to all Microsoft ports documented in the Internet Assigned Numbers Authority (IANA) port registry. Most security experts block all of these ports--inbound and outbound-- through a firewall, unconditionally. The reason for this is that new vulnerabilities are continually being discovered which are exploited through these ports and it is unrealistic to expect all campus computers to be fully patched against these exploits 100% of the time. As an example, the so-called Slammer worm hindered the operation of hundreds of thousands of computers, slowed Internet traffic and disrupted thousands of A.T.M. terminals during the weekend of January 24th through the 26th, 2003. This worm, which exploited weaknesses in UDP port 1434 (used by Microsoft SQL software) even compromised machines at Microsoft Corporation itself, as reported by this January 28th, 2003, New York Times article.
The reasons for the addition of port 593 to the list of ports blocked at the UCI campus network border is documented in vu_no_568148-port_593.html.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
ALT ::
pa zakaj je linkanje stvari iz leta 2004 tako popularno?
dajmo se kak vulnrability iz leta 95 najdet pa plasit otroke :D
ce pa kdo sploh ne skrbi za varnost je to njegov problem..
dajmo se kak vulnrability iz leta 95 najdet pa plasit otroke :D
ce pa kdo sploh ne skrbi za varnost je to njegov problem..
ABX ::
Ker tista leta zaradi teh težav se je začelo implementirat firewalle za domače uporabnike in hvala temu imamo danes bolj varna okolja.
Ampak če misliš da niso potrebni za Windows OS se grozno motiš. Pa če prav so navodila iz leta 2004, so še vedno aktualna.
Ampak če misliš da niso potrebni za Windows OS se grozno motiš. Pa če prav so navodila iz leta 2004, so še vedno aktualna.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
denial ::
A ti resno misliš da lahko imaš Windows mašino z odprtim netbios portom na Internet?
Povej kaj takega na kakem Network security meetingu in te bojo linčali.
Whoa, kul!!!
Evo, Windows mašine z wide open NetBIOS porti. Firewall completelly disabled. Siol users, worms, kiddies, grandpas, grandmas and pets invited.
89.142.242.86
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
ABX ::
nmap scan pokaže ogromno odprtih portov na tej mašini, vendar noben to teh ni Netbios port.
Če bi netiob port delal bi se lahko povezal na tvojo mašino z \\89.142.242.86, tako pa ni odgovora.
Je to Windows server 2003?
Naj kdo proba znotraj Siol omrežja, ker jaz sem pri drugem operaterju.
Če bi netiob port delal bi se lahko povezal na tvojo mašino z \\89.142.242.86, tako pa ni odgovora.
Je to Windows server 2003?
Naj kdo proba znotraj Siol omrežja, ker jaz sem pri drugem operaterju.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
denial ::
Port scanning in progress. Črvičkov pa ni od nikoder :)
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
denial ::
Rezultat po dobrih dveh urah: spam boti, irc boti, radmin/FTP scan boti in slammer worm(!). In še največja zanimivost: nekomu iz UNI-MB ranga se je dejansko uspelo povezati na NetBIOS porte. Very nice :)
Novica je o Linux jedru, debata pa poteka o NetBIOS-u. Totalno perverzno
Novica je o Linux jedru, debata pa poteka o NetBIOS-u. Totalno perverzno
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
ABX ::
Itak da je offtopic. :)
Kaj si dobil posuks vdora ali so te dejansko okužili?
Kaj si dobil posuks vdora ali so te dejansko okužili?
Vaša inštalacija je uspešno spodletela!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Linux linux linuxOddelek: Operacijski sistemi | 2981 (2125) | BlaY0 |
» | Nova resna ranljivost v Linux sistemihOddelek: Novice / Varnost | 3703 (2768) | dr.J |
» | S popravki bogat torekOddelek: Novice / Varnost | 11641 (9168) | MrStein |
» | Še ena ranljivost v Linux jedruOddelek: Novice / Varnost | 4429 (3370) | fiction |
» | Posodabljanje Linux jedra brez ponovnega zagona računalnika (strani: 1 2 )Oddelek: Novice / Ostala programska oprema | 8972 (6500) | ABX |