Un site prea simplu dupa vorba, dupa port...
{rg} Bai frate. Penetratia asta a devenit interesanta. Deci tipii au un server, e un CentOS comun. Fara conexiuni outgoing la router, asa ca n-am avut shell, doar un shell pe php pe care l-am obtinut spargindu-le parola de mysql si folosind phpmyadmin ca sa schimb parola de admin la joomla. Pe urma am urcat un plugin de backdoor, am executat un exploit, schimbat codul sa redirecteze 443/tcp in localhost:22 pentru un ip anumit si gata, pot sa intru via ssh, am trimis o cheie asa ca sunt root cu ssh fara limite. SI am descoperit ca poti legai alte IP-uri la retea, unele care n-au un firewall chiar asa de strict :) Firewallu' suge pula din nou. Securitate 1 firewall 0.
{mircea_popescu} Mmm nu prea pare sa aiba de-a face cu firewallu'. Bind-ul lasat open e problema.{mircea_popescu} E o chestie pe care n-o prea pricep pe piata. 2 exemple : 1. oamenii s-au plins ca am spread-uri prea mari. Am zis, ma, voi numa' vorbiti, da' daca v-ati putea pune banii la mijloc tot nu i-ati pune. O, ba nu, ar intra cu siguranta. Asa ca am implementat short sell. Nimeni n-a intrat la mijloc. Si nu mai retin care era al doilea exemplu da' cam in aceeasi vina. Parese ca piata e inca destul de ineficienta.
{MBS} rg, din ce zici firewallu' le era naspa din capul locului. Pina si faptul ca ti-au permis acces in phpmyadmin e o gresala.
{rg} pai... oamenii care se ascund dupa un firewall sunt prosti. Un firewall poate fi o ultima linie de aparare.
{a5m0} phpmyadmin e o gresala.{rg} Chiar si fara PhpMyAdmin o sugeau. Dar au avut parole tari, trebuie sa recunosc.
{MBS} Un firewall poate fi eficient. O, scanezi porturi ? :null. Incerci sa te conectezi la 22 ? :null O, ceri url-uri inexistente si suspecte ? :null.{rg} Ah, abia astept sa trimit raportul asta!!
{MBS} Cum le-ai spart parolele ? A, stai, parola aia de mysql 4.1 de dinainte ?{rg} Nu, cu un cracker :P
{MBS} Oh, lol{rg} In plus mai aveau webroot-ul world readii. L-am citit din config.php. Nu era si world-writable, ceea ce-o fost mare pacat, ca puteam pur si simplu scrie un shell din phpmyadmin. N-o fost asa ca a trebuit sa adaug un plugin de joomla fals.
{MBS} Dar cum ai pus mina pe config.php ? Pe cind lucram la site-ul meu (care intre timp a murit) singurele porturi accesibile erau practic HTTP, HTTPS si citeva de email.{rg} Oh. Am scos toate astea dintr-o simpla injectie de SQL si niste configuratii proaste. Asta fac eu.
{mircea_popescu} rg : Vrei sa mi-l spargi si pe-al meu ? :D
{rg} Cre' ca am incercat deja.{mircea_popescu} N-ai ajuns prea departe ?
{rg} Site-ul tau sufera de simplicitate, ceea ce te scoate din calcul. Nu folosesti nici una dintre noile tehnologii.{mircea_popescu} Mda. Stiu, sunt un fraier.
{draco49} mircea_popescu, simplutule!{rg} Ce sa zic, sunt mindru de mine. Tipii astia vor fi cam agitati cind se vor trezi.
{mircea_popescu} Bine lucrat, da.
Pentru curiosi avem aici si log-ul complet. Aveti grija ca-i in engleza, sa nu va taiati sau ceva.
Si succes cu noile tehnologii, alea.
———
Thursday, 8 March 2012
Ha ha, ce suferinta. Da' omul e serios ca-i mare suferinta asta imi pare....
Thursday, 8 March 2012
Cre' ca zice ironic.
Friday, 9 March 2012
Frumos. Nu sunt totuși așa convins de treaba asta cu simplitatea și noile tehnologii. E un compromis până la urmă. De altfel PHP-ul ăla e atât de simplu și atât de varză încât e predispus la SQL injection. În schimb framework-urile mai „complicate” (Ruby on Rails, Django șamd) sunt protejate de așa ceva din start. Iar de conectatul la portul 22 ce să mai zic. Dacă aia ar fi utilizat CentOS în mod responsabil trebuiau să profite de SELinux și să nu lase serverul web să se conecteze aiurea*. Atenție că asta nu merge pe conturi shared sau de tip VPS (OpenVZ de exemplu)
Cu phpmyadmin îi cam dau dreptate. Trebuia utilizat pe cât posibil altceva. Asta dacă se putea că dacă ești cu shared-ul... Iar de firewall ce să mai spun. Doar idioții își imaginează că un firewall e totul. Cel mult un firewall deștept capabil să inspecteze pachetele ar fi util. Programul snort era bun pentru chestii dintr-astea.
*Pentru CentOS nu garantez că n-am o mașină la îndemână, dar pe Fedora sigur se poate
Friday, 9 March 2012
Multa lume ruleaza vps-uri/cloud-uri (care-s fix si exact vps-uri rebotezate pentru marketing, tot asa cum si ipod-ul e un prapadit de Ric rebotezat pentru marketing, o chestie care exista de ~20 de ani la momentul "inventarii" ei celei "revolutionare") si deci sunt probleme.
Friday, 9 March 2012
Da, dar Amazon cu al său Xen te lasă să faci ce vrei. La fel la noi în țară, Hostway oferă hosting bazat pe Vmware, iar Webfactor pe Xen (inb4 da, știu ai ceva cu webfactor).
Apropo de securitate, îmi place la nebunie cum se laudă diverși cu protecția la atacuri de tip DDos pentru numai X €. Citez din oferta Limehost (nu dau link că nu merită):
Friday, 9 March 2012
Io n-am absolut nimic cu Webfactor, pur si simplu l-am trimis la plimbare pe nu mai retin care de-al lor cind o luase pe ulei cu "datacenteru'" lor cel minunat.
Chestia asta cu "te lasa sa faci ce vrei"... si linode te-o lasat sa "faci ce vrei". Problema este ca in momentul in care compania are admin nu se mai pune problema de securitate nici in gluma, si toate companiile care ofera variante de vps (tot ce zici tu acolo, xen, vmware se califica) au admin pentru ca asa gindeste lumea ierarhia.
Banuiesc ca aia cu protectia dos e ceva intre ponzi si un sistem de asigurari (iei x bani de la y fraieri, pe urma eventual ii protejezi pe citiva si-i lasi cu curu-n balta pe citiva, dupa cit is de scumpi). RCA gen.
Friday, 9 March 2012
Mda, cam trista asta cu VPS-urile si mai trist ca eu poate nu m-as fi gandit la toate implicatiile de securitate inainte sa bag ceva sensibil in asa ceva. Sa zicem ca tolerez compromisul ca administratorii lor au acces, dar sa le sparga niste malitiosi toata infrastructura e cam naspa.
Btw, niste slide-uri interesante http://www.slideshare.net/dakami/bitcoin-8776098?ref=http://dankaminsky.com/category/security/page/2/
Friday, 9 March 2012
Pai in mod evident nici ei nu s-au chiar gindit. De-aia un consultant competent face intr-o ora cit un roman mediu intr-o luna : pentru ca se gindeste. Si nu-i strict chestie de securitatea sistemelor informatice, in toate domeniile e asa. "Vai da' nu m-as fi gindit" e cam cea mai frecventa chestie ce-o auzi.
Friday, 9 March 2012
Bineînțeles că dacă fundația adică ăla de-ți dă ție găzduire, e șubredă atunci și ce construiești peste e șubred. Așa cum remarca și gheorghe, administratorii lor își pot face de cap, iar dacă nu știu ce interfață de management adițională e vulnerabilă, atunci ești și tu. La fel și dacă vine femeia de serviciu, bootează în single/rescue mode și-ți copiază portofelul Bitcoin necriptat pe un stick USB :-)
Totuși sunt servicii și servicii. Văd că Amazon a reușit (cu cine știe ce șpăgi) să-și ia certificare PCI DSS Level 1 (permitea stocarea informațiilor de pe cărțile de credit) și HIPAA (permite stocarea informațiilor medicale). Oricum din păcate (sau din fericire pentru unii), nimic nu e infailibil.
Ca fapt divers, de asta noul tău bișniț cu Bitcoin face toate operațiunile manual?
Friday, 9 March 2012
Cam da.
Saturday, 10 March 2012
Lasa ca in curand orice server hostuit oriunde va fi conectat la interfata de management a providerului. N-o sa mai aiba consultantul ce gandi. Si hai sa nu ne cacam pe noi, ca nu te poti gandi la toate chestiile. Plus ca se poate mult mai rau decat "vai dar de ce nu ne-am gandit la asta", ca de ex "pai noi n-am gresit cu nimic, am facut totul perfect".
Saturday, 10 March 2012
Te poti gindi la toate chestiile.
Saturday, 10 March 2012
Deci tu intri la a doua categorie.
Saturday, 10 March 2012
Mnu. Ce-i cu kneejerku' asta pe post de ratiune ?
Saturday, 10 March 2012
Dar cum poti tu, discipolul lui Popper, sa zici ca te poti gandi la toate chestiile? Unde e falsificabilitatea in "Te poti gindi la toate chestiile."?
Saturday, 10 March 2012
Pai e ceva ce se stabileste retrospectiv mei. In situatia X consultantu' C1 s-o gindit la toate chestiile, consultantii C2-C10 s-or gindit la 9x% dintre chestii si consultantii C11-C500 s-or gindit la jumatate din chestii. Deci consultantul C1 primeste sute de dolari pe ora, C2-C10 zeci si restu' lucreaza cum se zice "pentru publicitate" gen.
Saturday, 10 March 2012
Doar ca nu te poti gandi chiar la toate chestiile. Asta e ceva gen captain hindsight. Poti la fel de bine sa fii extrem de prost si sa ai noroc. Daca nu gaseste nimeni nici o problema e la fel de bine.
Poate ca unu pune un singur server cu un hdd IDE care merge 5 ani non stop, iar altul iti face cluster cu SAN, sistem de backup si plm si doar downtime-ul necesar activitatilor de mentenanta e de peste 10 ore in 5 ani. Care a facut mai bine?
Saturday, 10 March 2012
Nu prea merge norocu' de multe ori la apa. Altfel da, sigur ca poti zice ca toata inteligenta e pur si simplu un orb rezultat al hazardului.
Saturday, 10 March 2012
Mircea, da' tu n-ai fost spart acum vreo 2 ani?
Sunday, 11 March 2012
Da' aia nu se pune.
Sunday, 11 March 2012
Da' di ce? Pe vremea aia nu erai atotștiutor sau n-a fost decât un visurat?
Sunday, 11 March 2012
Pentru ca aia erau fundamentalisti si cu fundamentalistii nu te pui.
Sunday, 11 March 2012
Ăia din fundamentele fizicii?
În orice caz pe saitul tău cu Bitcoini ai putea să pui un mesaj de eroare mai clar și mai explicit decât chestia aia cu „Data providers died. Again.”. Sau nu te-ai gândit la asta? :-)
Sunday, 11 March 2012
Ba m-am gindit. Si da, as putea. As putea sa fac tot soiu' de chestii de altfel.
Sunday, 11 March 2012
Chiar să uzi și canapeaua? :-)
Sunday, 11 March 2012
Prin intermediare.
Sunday, 11 March 2012
M-am gandit la o chestie. Amazon ar trebui sa fie relativ safe, ca n-o sa sparga nimeni backendu amazon ca sa iti fure tie 100BTC.
Sunday, 11 March 2012
Teoretic, da.
Teoretic si linode trebuia sa fie relativ safe din aceleasi motive. De fapt principalul pagubit (ala cu 200`000+ de dolari lipsa) a facut alegerea asta strategica, ca-i adica mai in siguranta pe un vps de-asta decit pe o masina colocata ca daca-l fura hostu' ? Adica, a incercat securitatea prin anonimitate. N-o mers, da' alta data poate merge, cine stie...
Sunday, 11 March 2012
Hai ca parca n-avea 200.000 de dolari ci 12.000. Mi se pare prea scump un server dedicat ca sa tii o afacere mica. Si ca tot ne gandim la toate, s-o spunem si pe-aia ca si serverele dedicate au o interfata de management si un soi de virtual kvm sau kvm adevarat. Ce te faci daca-ti intra hacarii in kvm? Nu-mi spune ca tu ai parola la bootloader...
Sunday, 11 March 2012
Chiar așa, serverul Polimedia de ce fel e și unde?
Sunday, 11 March 2012
@gheorghe Tot nu citim, tot ne formam impresii fara sa citim, tot nu ne lasam de prostii. Bine mai.
E bine ca ti se par chestii, totusi.
@Cristian De un fel bun undeva departe.
Sunday, 11 March 2012
@Mircea Popescu Eu am citit ceva acolo de 12.000, nu mai stiu daca erau btc sau usd. Sincer, mi s-ar rupe pula daca ar fi pierdut 1 milion.
Dar trecand peste diversiunea asta, tu ai kvm, parola la bootloader? :D Esti consultant de sute de para pe ora care se gandeste la tot sau doar ai avut noroc?
Sunday, 11 March 2012
@Mircea Popescu: doar nu ți-o fi jenă taman acum după ce în urmă cu ceva timp te lăudai cu traficul de ordinul gigabiților pe secundă (posibil să fie ăsta articolul cu pricina).
Sunday, 11 March 2012
Mircea zice ca are server de la gnax.net, da' suspicios. Ori a luat ceva vps si mascheaza cu ip fix pe el, ori a negociat ca lol hostez doar 1 domeniu, sa-mi scadezi din bani, ca-i vreo 300$/luna.
Si asa e suspect ca ofera el hosting pe karma si le parcheaza pe toate pe un amarat de shared.
Sunday, 11 March 2012
@gheorghe Mai auzi. Cind ai vazut tu doua sute de mii la un loc, nu ma mai fute la cap. Pun pariu cu tine ca n-ai avut mai mult de doua mii de lei in buzunar de cind esti, si pun idem pariu cu tine ca portofelu-n care-ti tii averile ii mai mult de doi lei. Asa ca nu ma fute la cap ca "ti se pare scump". Motivu' pentru care ti se pare este ca esti sarac.
@Cristian Nu-i problema de jena. E problema de conspecteaza putin aici.
@A Am mai zis in citeva rinduri ca am multipe cutii si cheltui mii de dolari pe luna cu asta. Imi bag si cu aceasta ocazie toata pula in diversii timuruci de internet care au impresii da' n-au lecturi in program.
Sunday, 11 March 2012
muie si tietimuruc?
Sunday, 11 March 2012
Deci cum? Daca eu sunt bogat, si fac o afacere care scoate 2 lei pe luna, atunci e ok sa-i iau server de 5 lei pe luna, ca am de unde. Cum ajung ma bogatii astia bogati?
Sunday, 11 March 2012
200k usd .... 200 usd / luna
2000 ron .... portofel de 50 de lei.
Vezi tu.
Sunday, 11 March 2012
Ba eu am intalnit pe unu mai bogat ca tine, a intrebat daca il costa serverele pentru un google mai mult de 5000$ si cand i-am zis ca da atunci a ajuns la concluzia ca nu mai vrea sa faca nici un google.
Sunday, 11 March 2012
Goagle are vreo cateva zeci de mii de servere pe tot globul, in special un mare cloud in SUA unde fac ce vor cu datele userilor pe legi americane.
Sunday, 11 March 2012
@Mircea Popescu: WTF?! Ce întreb eu și ce răspunzi tu. Aveam și eu o curiozitate dacă tot vorbeam aici de hosting, atâta tot. Mai ales că spui că ai multiple cutii pe post de servere, iar Webfactor nu e atât de rotund pe cât se dă.
Sunday, 11 March 2012
@gheorghe Aparent e relativ simplu sa intilnesti printre romani tipi care sustin ca-s mai bogati decit mine. Nu-i o noutate.
@Freud Asta si aia cu evreii is ale tale, de zici ca esti maritat cu ele sa mor io.
@Cristian E ok sa ai curiozitati, nu e ok sa faci pe desteptu'. In momentul in care zici chestii precum "nu ți-o fi jenă taman acum" te plasezi intr-o pozitie necorespunzatoare in aceasta discutie, si evident vei fi trimis la plimbare.
Sunday, 11 March 2012
Am făcut și eu nițel mișto, după ce și tu ai început cu dintr-astea.
Sunday, 11 March 2012
Pai misto din misto se face lolu' lolz
Sunday, 11 March 2012
N-am inteles unde bati.
http://www.datacenterknowledge.com/archives/2009/05/14/whos-got-the-most-web-servers/
Sunday, 11 March 2012
Lozu' poate, nu lolzu. Ia să joc și eu la loteria Polimedia.
Sunday, 11 March 2012
P.S. Am găsit și aparat de aruncat monezi.
Sunday, 11 March 2012
@Mircea Popescu Singura diferenta e ca ala nu e roman si nu se afla intr-un concurs de care are jetu de pisat mai mare cu tine, in principal pentru ca nu a auzit niciodata de tine.
Insa nu am inteles ce legatura au toate asta cu discutia, care inainte sa te legi tu de faptu ca eu sunt sarac era:
1) Cu ce te ajuta ca-ti iei server dedicat, cand si alea au macar un fel de KVM pus la dispozitie de provider prin infrastructura lui de management?
2) Tu de ce nu te-ai gandit la asta?
Sunday, 11 March 2012
Mircea Popescu este centrul universului și trăiește într-un sat izolat, nu e conectat la niciun KVM. După cum îi spunea cineva ieri, „you [MP] live in an abandoned village, with colleges nowhere to be found, and your knowledge of prostitution is limited to one or two whores. I know this.”.
Sunday, 11 March 2012
Monday, 12 March 2012
@Freud Pai da-ti timp.
@gheorghe E destul de ok, nici eu n-am auzit niciodata de el.
Io cred ca la anumite nivele intelectuale iti pare ca intr-adevar, vai ce mare chestie e si pasiv-agresitivatea asta, solutia la toate problemele lumii. Deci venim cu dume ca stai sa vezi, "unu", 5000 de dolari, face google, chestii dupa care daca nu tine pai sa vezi... nu e ala la un concurs imaginar de cine are jetu' mai lung.
Ar trebui sa fiu impresionat sau ceva ? Tu esti ala care s-ar apuca de-o competitie de lungimi jeturi da' pe de cealalta parte nu prea pari convins ca ai cu ce. Ce pot sa-ti urez decit un caldut jet ?
@Cristian Meri ba...
Pe bune, lasati cacaturile si mergeti de faceti ceva util.
Monday, 12 March 2012
Imi pare rau, dar tu ai pornit chestia asta, tu esti cel cu concursurile. Intre timp, nu ai adresat problema principala de care vorbeam. Faci skimming de-asta, de citesti doar jumate din ce scriu?
Monday, 12 March 2012
Cum ar fi niște karme pe fain? Dacă nu răspunzi și tu clar și răspicat la niște întrebări ce să facem și noi?
Monday, 12 March 2012
@gheorghe In general citesc intre 0 si 100% din ce scrie un utilizator, functie de cit de idiot imi pare in instanta respectiva. In cazul asta concret chiar nu m-o mai interesat ce dume ai in program incepind de la #29 incoace, dat fiind ca dupa hula aia trebuia sa-ti ceri scuze si sa bagi la cap, chestie pentru care tu nu pari sa fi atins inca maturitatea necesara.
@Cristian De exemplu. Functie de talentu' fiecaruia, daca te tine fa un stock exchange pentru bitcoini, de ce nu.
Monday, 12 March 2012
Eu cred ca tu nu ai atins maturitatea necesara si te consideri un fel de chuck norris in varii domenii, desi chiar nu e deloc cazul, iar cand cineva iti demonstreaza asta dai cu pasiv-agresivitate in el :)
Monday, 12 March 2012
Suna a nisa, baga mare.
Monday, 12 March 2012
N-am unde, ca ai saturat tu piata.
Monday, 12 March 2012
Noa hat. Pai trist atunci.
Wednesday, 14 March 2012
Gata discuția?
Wednesday, 14 March 2012
George: It's not that I want to keep talking about it? just think that the subject should resolve itself based on its own momentum.
Susan: Well, I didn't think that it had any momentum.
Wednesday, 14 March 2012
Ha ha ha! Ce frumos se stinge protestul.
Dar dacă tot vorbim de interneți, cont de Facebook ai sau ai avut vreodată?
Wednesday, 14 March 2012
Mnu.
Thursday, 22 March 2012
Tot apropo de nimic, pentru ca pe fain nu e voie-n limba engleza :
http://jon.oberheide.org/blog/2009/04/15/panera-gift-card-security/
http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/
Thursday, 22 March 2012
Succese peste succese.
Oh this is so much fun.
Pai fa categorie-n lolgleza.
Thursday, 22 March 2012
Neah.