ComputerWorld - Spletna stran MySQL.com, ki jo vzdržuje Oracle, je bila že drugič v manj kot letu dni napadena. Marca so hekerji z vrivanjem SQL pridobili uporabniška imena in zgoščene vrednosti (hash) gesel, včeraj pa je stran nekaj ur servirala zlobno kodo vsem obiskovalcem.
Da je stran kompromitirana, so odkrili včeraj okrog poldne po slovenskem času, čez približno šest ur pa je bila stran že očiščena. V vmesnem je stran, ki je bila očitno napadena prek orodja Black Hole, ogrožala obiskovalce, ki niso imeli najnovejših in zakrpanih verzij brskalnikov, Adobe Acrobata in Readerja oziroma Jave, saj je izkoriščala znane in že odpravljene ranljivosti, da je na njihove računalnike nameščala zlobno kodo.
Spomnimo, da je v zadnjem času priljubljeno vdiranje na velike in popularne strani. Kernel.org ni imel posledic za končne uporabnike, vdor v Linux.com pa je povzročil le krajšo nedostopnost in nekaj nevšečnosti. Ranljivost strani MySQL.com pa naj bi bila v podzemnih krogih že dlje časa poznana, na ruski črni borzi pa se je prodajala za tri tisoč dolarjev. Ni sicer še potrjeno, ali gre za isto ranljivost, ki je bila izkoriščena včeraj. Oracle uradnega komentarja o vdoru še ni dal, saj ga še preiskujejo.
Novice » Varnost » Napad na MySQL.com obiskovalcem stregel zlobno kodo
Ginginova ::
Bo treba zmigrirat websajt na non-opensource Oracle zadeve.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.
(='.'=) into your signature to help him gain
(")_(") world domination.
Tilen ::
Se mi pa zdi to, kar se zadnje čase dogaja, precej dober stress test za Linux community. Tako malce z glavo ob tla, za občutek realnosti.
Linux.com se še do danes očitno ni pobral :
This site is down for maintenance. We will be restoring service shortly. Thank you for your patience.
The Linux Foundation
Kernel.org
Maintenance
Down for maintenance
Linux.org :
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at linux.org Port 80
Šalabajzerji. Uradno slepijo uporabnike, da posledic ni, na glavnih straneh pa imajo vsak tretji dan maintenance, ker po mesecu dni še vedno niso 100% prepričani, da je vse ok. Ni dvakrat za reči, da jim isti nepovabljeni obiskovalci strežnikov delajo štalo znova in znova in da problema enostavno ne znajo rešiti.
Linux.com se še do danes očitno ni pobral :
This site is down for maintenance. We will be restoring service shortly. Thank you for your patience.
The Linux Foundation
Kernel.org
Maintenance
Down for maintenance
Linux.org :
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at linux.org Port 80
Šalabajzerji. Uradno slepijo uporabnike, da posledic ni, na glavnih straneh pa imajo vsak tretji dan maintenance, ker po mesecu dni še vedno niso 100% prepričani, da je vse ok. Ni dvakrat za reči, da jim isti nepovabljeni obiskovalci strežnikov delajo štalo znova in znova in da problema enostavno ne znajo rešiti.
413120536c6f76656e696a612c20642e642e
Zgodovina sprememb…
- spremenil: Tilen ()
Blisk ::
Manu ::
Upam, da se bodo policisti spravili nad te kriminalce tako zavzeto, kot so se nad Anonimne in ostale politično motivirane.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
techfreak :) ::
zeleni ::
Vsekakor je linux prav tako ranljiv kot katerikoli drugi OS. Problem ni samo v ranljivosti sistema (razen, ce si avtorji zatiskajo oci pred problemom in pravijo, da tega pa pri njih ni).
Problem je v napadalcih, ki jih ne kaznujejo dovolj. V vecini primerov/drzav jih verjetno niti ne iscejo prav resno.
Vse take stvari bi morale biti strogo kaznovane.
Problem je v napadalcih, ki jih ne kaznujejo dovolj. V vecini primerov/drzav jih verjetno niti ne iscejo prav resno.
Vse take stvari bi morale biti strogo kaznovane.
smash ::
Vsekakor je linux prav tako ranljiv kot katerikoli drugi OS. Problem ni samo v ranljivosti sistema (razen, ce si avtorji zatiskajo oci pred problemom in pravijo, da tega pa pri njih ni).
Problem je v napadalcih, ki jih ne kaznujejo dovolj. V vecini primerov/drzav jih verjetno niti ne iscejo prav resno.
Vse take stvari bi morale biti strogo kaznovane.
se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas
napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode
denial ::
Spletno stran MySQL verjetno poganja Linux.
Po fotki objavljeni na ruskem forumu v to sploh ni dvoma. Mogoče je tudi, da sta marčevski in zadnji napad povezana (somebody has not changed leaked password).
Je pa zanimivo kako Oracle nič ne črhne o dogodku. Very professional :)
Flashback
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
techfreak :) ::
Tale dokument govori o njihovi programski opremi, ne pa o njihovih spletnih straneh.
Za Oracle je MySQL nekaj kar so dobili, ne pa nekaj kar bi želeli.
Za Oracle je MySQL nekaj kar so dobili, ne pa nekaj kar bi želeli.
driver_x ::
se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas
napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode
Saj smo tudi vlomilcem hvaležni, ker zaradi njih lahko kupujemo dobre ključavnice in alarmne naprave.
smash ::
se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas
napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode
Saj smo tudi vlomilcem hvaležni, ker zaradi njih lahko kupujemo dobre ključavnice in alarmne naprave.
Saj tudi vlomilcem ne dajemo pretirano stroge kazni.
Markoff ::
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
technolog ::
Kar bi jaz rad vedel, tudi v primeru spletnih strani kernel.xyz in linux.xyz je to, zaradi česa konkretno se je zgodil napad. Možnosti so naslednje (pa še kakšna):
1. Bug v Linux jedru
2. Bug v GNU utilityih
3. Bug v Apacheju (oz. drugem web servicu)
4. Nekakovostna koda spletne strani
Prej se težko pogovarjamo, kdo je tukaj kriv.
1. Bug v Linux jedru
2. Bug v GNU utilityih
3. Bug v Apacheju (oz. drugem web servicu)
4. Nekakovostna koda spletne strani
Prej se težko pogovarjamo, kdo je tukaj kriv.
zeleni ::
@smash
So me ze drugi prehiteli s kljucavnicami in alarmnimi napravami.
Tudi njim ne dajemo visokih kazni to je res. Lahko bi bile visje. Ampak gre tudi za sorazmernost skode, ki jo naredi vlomilec. Pri vlomu v server je skoda navadno veliko visja.
Jaz se vsekakor ne cutim nic dolznega nobenemu vlomilcu in mu tudi nisem hvalezen za nic.
So me ze drugi prehiteli s kljucavnicami in alarmnimi napravami.
Tudi njim ne dajemo visokih kazni to je res. Lahko bi bile visje. Ampak gre tudi za sorazmernost skode, ki jo naredi vlomilec. Pri vlomu v server je skoda navadno veliko visja.
Jaz se vsekakor ne cutim nic dolznega nobenemu vlomilcu in mu tudi nisem hvalezen za nic.
joebanana ::
Kar bi jaz rad vedel, tudi v primeru spletnih strani kernel.xyz in linux.xyz je to, zaradi česa konkretno se je zgodil napad. Možnosti so naslednje (pa še kakšna):
1. Bug v Linux jedru
2. Bug v GNU utilityih
3. Bug v Apacheju (oz. drugem web servicu)
4. Nekakovostna koda spletne strani
Prej se težko pogovarjamo, kdo je tukaj kriv.
4. marca SQL Injection drugo se ne ve. Osebno bi stavil na social engineering.
Nič od tega nima veze z linuxom. Sedaj se lahko pogovarjamo.
technolog ::
Odlično, torej pustimo linux ob strani. SQL injection se lahko zgodi kjerkoli. Žal je ta napad še vedno zelo prevalenten, sploh ker se o njem resno in javno govori šele zadnjih pet let.
smash ::
@smash
So me ze drugi prehiteli s kljucavnicami in alarmnimi napravami.
Tudi njim ne dajemo visokih kazni to je res. Lahko bi bile visje. Ampak gre tudi za sorazmernost skode, ki jo naredi vlomilec. Pri vlomu v server je skoda navadno veliko visja.
Jaz se vsekakor ne cutim nic dolznega nobenemu vlomilcu in mu tudi nisem hvalezen za nic.
ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim
BigWhale ::
WamPIRe-> na celotno organizacijo.
Kera organizacija pa je to?
Duh! CKZP, Centralni Komite Zveze Programerjev
Nekdo je pingvine postavil na realna tla
Kaksna pa so ta realna tla? Mislim kje? Ne razumem. Kaj imajo, nic hudega sluteci pingvini, z MySQL?
Zgodovina sprememb…
- spremenil: BigWhale ()
zeleni ::
ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim
Ker je razlika, ce npr. nekdo ukrade stevilko kreditne kartice s serverja od tega, da ukrade kartico iz denarnice?
V bistvu 10.000 stevilk s serverja ali 3 kartice iz denarnic.
Ali je razlika, da clovek obstane pred zaprtim servisom, trgovino ker jo je nekdo namerno unicil ali pa pred prazno internetno stranjo, ki jo rabi, ker je nekdo iz objestnosti ali koristoljubja unicil web stran?
Ne samo da inacim. Softwerski bi moral biti navadno se huje kaznovan, ker povzroci vec skode.
technolog ::
Je, je razlika... Težje je izvesti napad na internetno trgovino, varovano z X € vložka kot pa navadno trgovino, prav tako varovano z X € vložka.
Pravzaprav se da spletno trgovino v teoriji perfektno zaščitit, da ji noben napad ne more do živega. Strošek je, vendar enkraten. Dokaži mi, da se to da tudi z navadno trgovino.
Na kratko: Za vlom v spletno trgovino je po moje odgovoren izdelovalec spletne trgovine, za vlom v navadno trgovino pa je odgovoren vlomilec. Bistvena razlika.
Pravzaprav se da spletno trgovino v teoriji perfektno zaščitit, da ji noben napad ne more do živega. Strošek je, vendar enkraten. Dokaži mi, da se to da tudi z navadno trgovino.
Na kratko: Za vlom v spletno trgovino je po moje odgovoren izdelovalec spletne trgovine, za vlom v navadno trgovino pa je odgovoren vlomilec. Bistvena razlika.
Zgodovina sprememb…
- spremenil: technolog ()
smash ::
ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim
Ker je razlika, ce npr. nekdo ukrade stevilko kreditne kartice s serverja od tega, da ukrade kartico iz denarnice?
V bistvu 10.000 stevilk s serverja ali 3 kartice iz denarnic.
Ali je razlika, da clovek obstane pred zaprtim servisom, trgovino ker jo je nekdo namerno unicil ali pa pred prazno internetno stranjo, ki jo rabi, ker je nekdo iz objestnosti ali koristoljubja unicil web stran?
Ne samo da inacim. Softwerski bi moral biti navadno se huje kaznovan, ker povzroci vec skode.
saj to veš, da če pustiš na avtu čez noč vrata odprta oz. šipe, se ti lahko not vsedem in nisem prav nič kaznovan
zeleni ::
Kaznovan bos z moje strani. Verjemi, ker ne bom cakal na to, da sodisce spravi nadlegovanje, motenje posesti in podobno skozi.
V teoriji se da perfektno zascititi. Ampak vsako zascito se da zaobiti. To, da ji noben napad ne more do zivega: Izklopis jo z interneta, zapres server v sobo brez oken in vrat in podobno - strosek je res dokaj nizek, zascita precej visoka, uporabnost pa nicna.
V teoriji se da perfektno zascititi. Ampak vsako zascito se da zaobiti. To, da ji noben napad ne more do zivega: Izklopis jo z interneta, zapres server v sobo brez oken in vrat in podobno - strosek je res dokaj nizek, zascita precej visoka, uporabnost pa nicna.
smash ::
Kaznovan bos z moje strani. Verjemi, ker ne bom cakal na to, da sodisce spravi nadlegovanje, motenje posesti in podobno skozi.
V teoriji se da perfektno zascititi. Ampak vsako zascito se da zaobiti. To, da ji noben napad ne more do zivega: Izklopis jo z interneta, zapres server v sobo brez oken in vrat in podobno - strosek je res dokaj nizek, zascita precej visoka, uporabnost pa nicna.
to že..samo na koncu bi ti kratko potegnu..in to samo zato, ker nisi prvotno poskrbel za varnost
BigWhale ::
To, da ne ves, da ima tvoj software neko pomankljivost je isto, kot da ne ves, da ima tvoja kljucavnica neko pomankljivost. Za oboje se lahko sicer pozanimas ampak nismo vsi strokovnjaki za racunalnisko varnost ali pa kljucavnicarji.
In neodpravljena pomankljivost ni enaka odprtim vratom/oknu.
In neodpravljena pomankljivost ni enaka odprtim vratom/oknu.
Zgodovina sprememb…
- spremenil: BigWhale ()
Looooooka ::
Leto I.Q-ja in sprave se bliza.Napredek je ociten.Linux userji so prisli visoko iz "seveda da so windowsi drek, ce ti pa ze vsak exe, ki ga navaden user uporablja usuje masino.Na linuxu mamo zato root posebi" na "ce mas zanic program to se ne pomeni da je jedro krivo...".
Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.Upam da ga veteterjanci ne pokvarijo :D
Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.Upam da ga veteterjanci ne pokvarijo :D
jype ::
Looooooka> Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.
Je že bil. Dokler ga ni bilo, ga ni bilo predvsem zaradi odnosa Microsofta do vsega, kar je smatral za konkurenco.
Je že bil. Dokler ga ni bilo, ga ni bilo predvsem zaradi odnosa Microsofta do vsega, kar je smatral za konkurenco.
Blisk ::
techfreak :) je izjavil:
@Blisk: Slabo napisana aplikacija je enako ranljiva tako na Linuxu kot na Windowsu.
saj nikjer nisem trdil drugače.
Sploh pa aplikacije, ki imajo zadaj mysql ali sql bazo.
Underground pa se nekaj govori, da za tem stoji koorporacija, ki ji ni všeč, da ji linux jemlje pogačo denarja....
Zgodovina sprememb…
- spremenil: Blisk ()
MrStein ::
Odlično, torej pustimo linux ob strani. SQL injection se lahko zgodi kjerkoli.
Nope. Samo tam, kjer je SQL.
Nekdo je pingvine postavil na realna tla
Kaksna pa so ta realna tla? Mislim kje? Ne razumem. Kaj imajo, nic hudega sluteci pingvini, z MySQL?
Filozofijo.
Z linux.com, linux.org, kernel.org pa še kaj več. (kak dolgo pa so že dol?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Looooooka ::
jype ::
Looooooka> Damn damn damn.A so se zmenil, da bo redna zadeva in ce...kdaj priblizno? :)
Odkar je picnic firma, ne najdem več članka na to temo. Mislim, da je bilo nekje v Seattlu.
Odkar je picnic firma, ne najdem več članka na to temo. Mislim, da je bilo nekje v Seattlu.
__Ž__ ::
Sem hodil na mysql.com s Firefox 3.6 ravno v času okužbe. Ali mogoče kdo ve, kako preverim, če se mi je mašina okužila?
MrStein ::
Se mi pa zdi to, kar se zadnje čase dogaja, precej dober stress test za Linux community. Tako malce z glavo ob tla, za občutek realnosti.
Linux.com se še do danes očitno ni pobral :
This site is down for maintenance. We will be restoring service shortly. Thank you for your patience.
The Linux Foundation
Kernel.org
Maintenance
Down for maintenance
Linux.org :
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at linux.org Port 80
Šalabajzerji. Uradno slepijo uporabnike, da posledic ni, na glavnih straneh pa imajo vsak tretji dan maintenance, ker po mesecu dni še vedno niso 100% prepričani, da je vse ok. Ni dvakrat za reči, da jim isti nepovabljeni obiskovalci strežnikov delajo štalo znova in znova in da problema enostavno ne znajo rešiti.
Pa dobro, a ne morejo tačas DNS preusmeriti na neki začasni strežnik, z vsaj eno stranjo, kjer dajo vsaj neki press release?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Prva dva sta spet gor. Tretji pa še vedno ista napaka.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Napad na MySQL.com obiskovalcem stregel zlobno kodoOddelek: Novice / Varnost | 10819 (8656) | MrStein |
» | Najobsežnejši napad s SQL-vrivanjem v zgodoviniOddelek: Novice / Varnost | 9683 (7772) | ABX |
» | Vdor v MySQL.com z vrivanjem SQLOddelek: Novice / Varnost | 8486 (6364) | techfreak :) |
» | Najbolj luknjičav AppleOddelek: Novice / Apple iPhone/iPad/iPod | 11032 (8746) | MrStein |
» | Raziskava o ranljivosti spletnih strani z SQL bazami podatkovOddelek: Novice / Varnost | 4924 (4260) | sverde21 |