The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом

04.09.2018 18:29

Чешский исследователь безопасности Владимир Смитка (Vladimír Smitka) провёл сканирование около 320 млн доменов и выявил, что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотру выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать их для поиска уязвимостей), настройки, а также пароли и ключи доступа к СУБД, API и облачным сервисам.

Во многих случаях прямое обращение к каталогу ".git/" выдавало 403 ошибку, но ошибка была вызвана отсутствием index.html и при прямом обращении к файлам они прекрасно отдавались. Структура .git/ известна, поэтому содержимое репозитория можно по цепочке перебрать даже без наличия списка файлов в каталоге. Например, можно вначале оценить содержимое файлов /.git/HEAD, /.git/config, /.git/index, /.git/refs/heads/master и /.git/logs/HEAD, а затем перебрать все коммиты и объекты.

Сканирование всех доменов в сети заняло около 4 недель, после чего исследователь попытался предупредить владельцев проблемных сайтов, организовав рассылку по email. Адреса электронной почты были взяты из файла /.git/logs/HEAD. Из 390 тысяч сайтов удалось определить emаil для 290 тысяч, из которых 90 тысяч email были уникальными. После отправки предупреждения 18 тысяч адресов оказались уже не действующими. В ответ на рассылку было получено почти 2000 писем с благодарностями, 30 сообщений о ложном срабатывании, два обвинения в спаме/мошенничестве и одна угроза с намерением пожаловаться в полицию.

Изучение содержимого каталога ".git" показало, что 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP и по 1% на Node.js (2394), Java (1742), Ruby (1199) и Python (1499). Код на Perl был найден в 504 случаях. 42 тысячи сайтов работают под управлением Ubuntu, 12906 - Debian, 9350 - CentOS, 3204 - Windows Server, 378 - RHEL, 216 - FreeBSD, 170 - Fedora, 152 - Gentoo, 50 - SUSE. Среди систем управления контентом лидирует WordPress - 41139, Drupal - 2256, Joomla - 1615, Typo3 - 1258, Bitrix - 330.

  1. Главная ссылка к новости (https://lynt.cz/blog/global-sc...)
  2. OpenNews: Неосторожное обращение с Subversion привело к уязвимости тысяч сайтов
  3. OpenNews: Инфраструктура проекта Apache подверглась взлому
  4. OpenNews: Взлом Savannah затронул и www.gnu.org. Хронология событий
  5. OpenNews: Утечка параметров аутентификации через незащищённые серверы etcd
  6. OpenNews: Новый поиск на GitHub привёл к выявлению забытых в репозиториях конфиденциальных данных
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (128) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:18, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Во всем виноват git? При SVN такого не было!
     
     
  • 2.5, anonn (?), 19:38, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    было же
     
     
  • 3.6, Владимир (??), 19:41, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Отродясь такого не было и вот опять же, ну.
     
     
  • 4.146, ыпр (?), 19:39, 12/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    сколько раз за сегодня эту фразу уже слышал =)
     
  • 2.11, Дуплик (ok), 19:57, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    При SVN было хуже в несколько раз:

    https://habr.com/post/70330/

     
     
  • 3.104, ano (??), 11:14, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    моя сорказм ни панемать
     
  • 3.141, КО (?), 13:07, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    С каких пор 3 тысячи в несколько раз хуже 390 тысяч?

    Хотя я не понимаю напоркуа там вообще версионка?
    Например для Java. Они что весь гит в war засовывают при сборке?

     
  • 2.18, пох (?), 20:19, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    конечно, не было:
    <Directory ~ "/(\.svn|RCS|CVS)/">
        Satisfy All
        Order allow,deny
        Deny from all
    </Directory>
    сразу следом за ~ "^\.ht" и ",v$"
     
     
  • 3.32, Ilya Indigo (ok), 21:14, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё ещё проше!
    <Directory ~ "^\.">
        Require all denied
    </Directory>
    <Files ~ "^\.">
        Require all denied
    </Files>

    P.S. А вообще нефиг в DOCUMENT_ROOT что-попало сувать, аля вордпресс!

     
     
  • 4.136, Аноним (136), 08:19, 08/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не самое худшее. Дурпал куда противнее.
     
  • 3.44, Аноним (44), 21:58, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Доооо. И нгинкс фронтендом.
     
     
  • 4.89, пох (?), 09:56, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не, это анахронизм же. "Во времена svn", когда *писали* такие конфиги, nginx был версии 0.чтототам, его как фронтенд использовали только редкие птицы.

    а сейчас-то да, nginx frontend, как я, по твоему, скачал этот конфиг? ;-)

     
  • 2.51, Аноним (-), 22:18, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я как ламо люблю собирать всякую фигню из git - доставляет удовольствие, греет ЧСВ.
     
  • 2.91, Аноним (91), 10:12, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    хостинг во всём виноват. Он должен был блокировать доступ к .git
     
     
  • 3.108, Аноним (108), 13:43, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На хостинг надейся, а сам не плошай.
     

  • 1.7, Аноним (7), 19:47, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP

    «Но похапе тут нипричом! Это погромисты плохие!»

     
     
  • 2.13, A.Stahl (ok), 20:05, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Кто-то забыл служебную информацию от системы контроля версий: виноват ПХП.
     
     
  • 3.25, Аноним (25), 20:39, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Это просто показывает, что среди лопухов, выставляющих .git в общий доступ, пыхеры составляют подавляющее большинство.
     
     
  • 4.31, Crazy Alex (ok), 20:55, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как и среди остальных сайтов
     
  • 4.33, anonymous (??), 21:15, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Типичная ошибка выжившего. Сколько там сайтов не на похапэ?
     
  • 4.34, Gemorroj (ok), 21:17, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это показывает настоящую популярность языка, а не нахайпленное инфомесиво.
     
  • 4.36, Аноним (36), 21:19, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что подавляющие большинство сайтов на php
     
     
  • 5.55, Maxim (??), 22:56, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да 96% с дырами, и 83% в среднем по миру.

    https://w3techs.com/technologies/details/pl-php/all/all

    Манки-кодеры.

     
     
  • 6.109, Аноним (108), 13:44, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну хоть ты не такой.

    Скорее покажи примеры своего кода, а мы поучимся.

     
  • 3.58, бедный буратино (ok), 23:15, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у меня в корне лежит .hg, только ты его не вытащишь

    потому что модель *что вижу, то и пою* из всего хоть сколько нибудь популярного есть только в php. и это источник 1000 неочевидных ошибок - избежишь одной, так нарвёшься на другую. 390 тыщ нарвались именно на эту

     
     
  • 4.77, qrKot (?), 08:13, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расшаренный наружу .git к php ортогонален, он в принципе не может быть ошибкой php, хотя бы потому, что .git наружу в этом случае отдает не php, а apache или nginx.
     
     
  • 5.135, anonimous (?), 19:39, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема здесь не в самом git, а в php-программистах, которые часто не программисты, а говнокодеры, из-за низкого порога вхождения языка. На других языках с более высоким порогом вхождения таких дилетантов по идее должно быть поменьше.
     
  • 4.83, нах (?), 09:23, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    то есть сайт у тебя отдается напрямую через неэффективный, гнилой и дырявый python wsgi? Включая картинки и видеофайлы (впрочем, до видео у вас цивилизация, кажется, еще не дошла) Садись, коноплев, это пять, гордись дальше.

    возможно, когда и если ты переедешь с дальнего востока куда-то, где не adsl 7мегабит является последним достижением цивилизации, и тебе доверят сайт не с полутора посетителями в час - ты узнаешь, почему остальные так не делают, совершенно независимо от того, какой именно "application service" тормозит на той стороне proxy_pass.

     
     
  • 5.124, Аноним (124), 23:32, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как бе нормальная практика - это когда приложение может само выдать все свои ресурсы, перехват статики в обход proxy_pass делается уже как оптимизация
     
     
  • 6.130, нах (?), 10:34, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну вот да, охрененная ж нормальная практика - видеоролик в пять гигабайт отдават... текст свёрнут, показать
     
  • 3.71, Sfinx (ok), 06:12, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    пхп всегда виноват, потому что гладиолус
     

  • 1.8, Аноним (8), 19:48, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Accidentally open source.
     
  • 1.9, anonymous (??), 19:48, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    SUSE совсем загнулась.
     
     
  • 2.147, Аноним (147), 02:47, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Статистика лишь показывает то, что у нубов популярна убунта и дебиан, а не реальную популярность этих дистров.
     

  • 1.10, Аноним (10), 19:55, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Апача же запрещает по-умолчанию доступ к файлам начинающимся с точки, значит во всем виноваты другие неправильно настроенные веб-серверы.
     
     
  • 2.14, Аноним (14), 20:06, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Апача же запрещает по-умолчанию доступ к файлам начинающимся с точки, значит во
    > всем виноваты другие неправильно настроенные веб-серверы.

    .git это не файл, а каталог.

     
     
  • 3.16, soarin (ok), 20:10, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > In keeping with Unix philosophy, Unix systems treat directories as a type of file.
     
  • 2.15, A.Stahl (ok), 20:08, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В каждой новости про релиз Апача обязательно найдётся несколько человек вопрошающие а зачем нужен Апач если есть офигенно-бежественно-колбасный что-то там (Блин, каждые пару недель про него новости тут как спам, а название вылетело).
     
     
  • 3.42, koblin (ok), 21:44, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    IIS?
     
  • 2.17, имя (?), 20:15, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По-умолчанию запрещает он только доступ к .ht*. Ты, вероятно, путаешь с дефолтом IndexIgnore: http://httpd.apache.org/docs/2.2/mod/mod_autoindex.html#indexignore
     
  • 2.30, Необъективный_ (ok), 20:52, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Действительно, зачем переходить по ссылкам на оригинал статьи, если можно сразу написать комментарий?..
    https://lynt.cz/media/blog/git-scan/git-http-servers.png
     
  • 2.59, Аноним (59), 23:18, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > доступ к файлам начинающимся с точки

    а к каталогам?

     

  • 1.21, Аноним (21), 20:21, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Изучение содержимого каталога ".git" показало, что 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP

    Объяснение: сайты на других языках не держат код в DocumentRoot, поскольку это не требуется.

     
     
  • 2.22, Аноним (22), 20:27, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Типа Application Server держат файлы в руте...
     
  • 2.35, Gemorroj (ok), 21:18, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так и на пхп не требуется.
     

  • 1.23, Аноним (1), 20:28, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > и по 1% на Node.js (2394)

    Нода из коробки вообще ничего не показывает наружу, как эти 1% ухитрились прострелить себе ногу? static от корня завели? Из php-мира мигрировали со своими привычками?

     
     
  • 2.100, Админ (?), 10:55, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Фронтенд поставил, для той же самой статики.
    Да, от корня - я ничего не понимаю в твоей ноде и не могу переложить статику куда-то еще.

    все, побежал - тут, говорят, с джангой такая же фигня на двух соседних серверах

     

  • 1.24, тигар (ok), 20:33, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тупые девопсики виноваты, 146%
     
     
  • 2.26, Аноним (26), 20:44, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ну так деплойчик же удобненький, гитпулл и гатоооова, можно смузи пить
     
     
  • 3.57, user (??), 23:14, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если неосилятор rsync, ну положи ты сайт в какой-нибудь www/index.html.
     
  • 3.67, user (??), 01:42, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Писать html руками - это удобненько только девопсикам, которые на всём готовом.
    А если сгенерённые коммитить - это мёржить задолбаешься.
     

  • 1.27, Аноним (27), 20:45, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Если бы админы были виндузятниками, то они бы этого не допустили. Потому что для ОС Windows файлы и каталоги, начинающиеся с точки, не являются скрытыми. Но админы использовали Linux, вот и не заметили их
     
     
  • 2.94, Аноним (94), 10:17, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Существо, которое поднимает сайт на Linux и не знает о скрытых файлах - это не админ, а ламер.
     

  • 1.28, Необъективный_ (ok), 20:47, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очень уж короткая новость получилась и результаты исследования из статьи надерганы рандомно. Например, если не зацикливаться на абсолютном количестве сайтов на php, а посмотреть на график "Programming Languages by marketshare", то выводы у читателя будут совсем другие. Ну и в целом статья интересно написана. Рекомендую всем перейти по ссылке из новости и прочитать ее. Если есть время и желание, конечно...
     
  • 1.29, DerRoteBaron (?), 20:48, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сервера на федоре?
    Как бы я не любил федору на десктопе, для сервера это очень своеобразный выбор
     
     
  • 2.37, фёдор (?), 21:24, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну то есть убунта на сервере вас уже совсем не смущает?

    (странно, где же gentoo? Не детектится, что-ли?)

     
     
  • 3.39, Аноним (39), 21:33, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Гитом умеем пользоваться :)
     
  • 3.49, DerRoteBaron (?), 22:07, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У убунты LTS-ветка к концу первого года с релиза становится более-менее стабильной и пригодной для использования, а потом ещё 4 года поддерживается, так что тут не всё так страшно.
    К тому же для большинства людей (и большой части быдлокодеров тоже) Linux === Ubuntu, а серверная ОС, это либо (прости Господи) Windows Server, либо Linux (т.е. убунта), следовательно запустят они сервер на убунте.

    А у Федоры и со стабилизацией пакетов похуже (в том числе из-за rolling-ядра), и релизы надо менять не реже раза в год.

     
     
  • 4.53, анонимный психотерапевт (?), 22:28, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> К тому же для большинства людей (и большой части быдлокодеров тоже)

    Молодец! Как всегда поделил людей на быдло и небыдло!
    Сам-то ты из какого лагеря, ась?

    Сам ответишь или постесняешься?

    А..ты же барон!!! Я сразу и не заметил! Исчезаю!

     
  • 4.80, Аноним (80), 08:39, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    запустят убунту в окружении windows server :-)
     
  • 3.85, Аноним (85), 09:27, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Gentoo - 152. Написано же.
    И да, как бы я не любил этот дистрибутив - для production server - это крайне своеобразный выбор.
     
  • 2.70, turbo2001 (ok), 04:40, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что не так с федорой? У меня все сервера на федоре, нарадоваться не могу.
     
     
  • 3.78, qrKot (?), 08:16, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Слабоумие и отвага, например.
     
  • 3.82, Gemorroj (ok), 08:56, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а как часто обновляешь?
     
     
  • 4.114, turbo2001 (ok), 16:01, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Каждый день, обожаю обновления.
     

  • 1.38, Аноним (38), 21:32, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    1С-Битрикс в десятке!
     
     
  • 2.137, Аноним (137), 07:43, 09/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, плакать надо
     

  • 1.41, ОнАнон (?), 21:40, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Я крайне удивлен, что лишь один ответ был с угрозой.
     
     
  • 2.72, htower (ok), 06:34, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Коля, звони в полицию!!!1111
     

  • 1.43, Штунц (?), 21:47, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я так понимаю, что следует папку .git размещать уровнем выше чем корневую Apache? Т.е. чтобы та была подпапкой репозитория. Верно?
     
     
  • 2.47, Аноним (47), 22:06, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В одной директории с index
     
  • 2.56, angra (ok), 23:04, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то git умеет разделять голый репозиторий и собственно рабочую директорию.
    Вот только по умолчанию они в одной директории, а из использующих git очень мало тех, кто знает его дальше пятиминутного введения. Результат предсказуем.
     
  • 2.138, Аноним (137), 07:45, 09/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, нужно просто не давать доступ к .git
     

  • 1.45, Аноним (45), 22:03, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать их для поиска уязвимостей)

    это реклама "безопасности" через неясность?


     
  • 1.46, Аноним (47), 22:05, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Это все враньё.
    Пыхеры не пользуются гитом - они редактируют либо сразу на серваке, либо заливают через ftp
     
     
  • 2.61, Василий (??), 23:41, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, кроме шуток. Был в чатике одной довольно модной ныне cms, многие чуваки, да, пользуются ftp и все прочее делают как 15 лет назад, что такое права доступа толком не знают и далее по списку.
     
     
  • 3.95, Аноним (91), 10:18, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    через ftp отдаются права доступа и их можно менять.
    И как если не через ftp?
     
     
  • 4.142, КО (?), 13:14, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    scp?
     
  • 2.69, user (??), 01:45, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >заливают через ftp

    Ну а что делать, если хостер не умеет rsync? Не заливать же через веб-морду врукопашную по одному файлу.

     
     
  • 3.93, Аноним (91), 10:17, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    через sftp наверное.
     
  • 3.143, КО (?), 13:16, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает сделать нормальную сборку с одним архивом и ее деплоить?
     
  • 2.74, пох (?), 07:22, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вывсеврети!
    Вчера аутсорсер столкнулся у нас с неодолимыми проблемами - не сумел выложить свой "продукт" на наш сервер, патамушта, барабанная дробь... git clone user@host у него ниработаит!

    (ну да, ssh наружу закрыт, даже с хоста в dmz, нам рассадник червей не нужен. Вообще-то специально для них открыт веб, но "пользующиеся гитом", видимо, еще не успели прочитать про варианты, отличные от ssh)

    будем делать ставки, получу я содержимое http://этахрень/.git/config с первой попытки, когда они все же победят выкладку?

     
     
  • 3.79, qrKot (?), 08:34, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чот не совсем понял, он не смог ВЫЛОЖИТЬ продукт на ваш сервер, или ЗАБРАТЬ прод... текст свёрнут, показать
     
     
  • 4.86, пох (?), 09:32, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    выложить. У него-то на этот сервер есть доступ по ssh (не нам же за его животными лоток выносить). А обратно ему никто вообще-то и не обещал (поскольку он и не просил ;)

    > Прикол в том, что если вы git по http открыли

    о, вы достойны работать у этого аутсорсера (кстати, ему пригодился бы админ). Разница между доступом к repository для деплоя (раз уж не продуманы более приличные варианты, впрочем, это немодно, continious development/delivery наше всьо) - возможно, не кому попало, и возможно, не по голому http даже (хотя ни нам, ни провайдеру нафиг не нужен неуловимый джо, а вот ssh-то я бы и не стал использовать, слишком много умеет лишнего) и оставленным без присмотра клоном уже в задеплоенном проекте вам, очевидно, неведома?

     
  • 4.98, Аноним (94), 10:32, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да и git clone ровно на то же намекает.

    лолшто?
    С другой стороны, может оно и хорошо, что вы не понимаете, как заливается сайт через git: есть вероятность, что вы случайно выбрали безопасный для ваших "продуктов" вариант. Хотя вот о качестве "продукта" думать даже как-то не хочется, с такими-то познаниями.

     
  • 3.96, Аноним (91), 10:20, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    можно через git через https загружать. https никто в здравом уме блокировать не будет.
     
     
  • 4.102, пох (?), 11:08, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не, нельзя. Во-первых, таки заблокирован (этим конкретно я разрешил, предвидя, хм, ньюансы, но они, как видите, меня перехитрили), во-вторых чтобы раздавать git через https уже не хватит наспех прочитанной первой страницы https://git-scm.com/book/ru/v1/Git-%D0%BD%D0%B0-%D1&# - надо дочитать хотя бы до пятой и еще и уметь в апач.

    (и да, у него вся документация такая вот отвратительная - пять страниц про ssh, одна про git server с восхвалением ненужного протокола и ровно ноль про то, что если нужен нормальный доступ с аутентификацией, то добро пожаловать в мир gogs/gitea/gitlabCE - которые не-админ хрен настроит нормально. Патамушта Линус, шлите ваши патчи в рассылку!)

    А hg вы не умеете. :-(

     
  • 4.105, user (??), 11:16, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >в здравом уме

    "Эх, бросить бы всё и уехать в Урюпинск..."

     

  • 1.50, Аноним (-), 22:16, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >  378 - RHEL

    А вот и мифическая рука RHEL вам. Где-то в глубокой опе на порядок за Windows.

     
     
  • 2.75, пох (?), 07:23, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    или они умеют настраивать свои сайты.
     
     
  • 3.81, qrKot (?), 08:39, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Они конкретно умеют, согласен. Или, погодите! 378 - примерно правдоподобная цифра для хост-площадок компании уровня RH! Может быть, это они сами и не умеют? А остальные - просто не пользуются)
     
     
  • 4.87, пох (?), 09:47, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я, конечно, свечку не держал, но что-то мне подсказывает, что за rh учитывая чт... текст свёрнут, показать
     
     
  • 5.97, Аноним (91), 10:28, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у них есть в redhat software collection. За отдельные деньги конечно же.
     
     
  • 6.99, пох (?), 10:41, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну этож отстойник для неосиляторов самим собрать - с тем же успехом можно использовать epel, если уж к nginx repo душа не лежит или про него забыли рассказать. Или даже с большим-  судя по частоте секьюрити-рассылки по продуктам из этой "коллекции", присмотра за ней нет никакого.

    кстати, apache-itk, по-моему, тоже там же только.

    типичному покупателю видимо, либо уже-не-надо, либо у него "приложения".

     

  • 1.54, Аноним (54), 22:36, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где он взял столько доменов?
     
     
  • 2.62, Аноним (62), 23:52, 04/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    alexa
     
     
  • 3.92, пох (?), 10:15, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не угадали.

    So, I used DNS log from the OpenData Rapid 7 project.  This was a 3.5TB text file in JSON format, which shows the individual queries:

    {"timestamp":"1530259463","name":"<domain>","type":"<a/cname/mx/..>","value":"<ip>"}

    Linux offers lots of handy Gzip tools (zcat,...), so processing such a large volume of data wasn't a big problem.

    There was a huge amount of various domains and subdomains on the list and it was necessary to reduce them and select only the "interesting" domains. I only filtered A queries on second-level domains of selected TLDs (generic, European + eu, other major states, popular new TLDs: top, xyz, etc.). That's how I got the list with more than 230 million domains.

    https://opendata.rapid7.com/ - качайте на здоровье.

     

  • 1.60, Аноним (60), 23:24, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    уфф, мне писем от него не приходило :)
     
     
  • 2.76, Vladim237r Smitka (?), 07:24, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ваш почтовый сервер считает почту из чехии - спамом.
     

  • 1.65, pda (?), 01:12, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сказочные программисты. Зачем их только с локалхоста выпустили?..
     
  • 1.73, arisu (ok), 06:56, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    лежит себе, никому не мешает, люди пользуются… нет, обязательно найдётся вот такой вот «исследователь безопасности», который всё испортит.
     
  • 1.84, Аноним (85), 09:23, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я один не понимаю, откуда на сайтах, написанных на Java вообще взялась папка .git  в корне? Проект же собирается отдельно и потом деплоится. Я могу понять на скриптовых языках такое - зашел, git pull - и всё, деплой обновления завершен. На Java такое не прокатит. Разве только если шаблоны отдельно хранить и обновлять как скриптовые сайты... Но к ним веб сервер доступ иметь не должен. Значит остаются только ресурсы - картинки и js либы, которые зачем-то хранятся в git, но при этом деплоятся отдельно от кода?

    Кто-то может поделиться опытом? Как у вас проект организован так, чтобы .git вообще попал в область видимости веб сервера?

     
     
  • 2.129, нах (?), 10:22, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то может поделиться опытом? Как у вас проект организован так, чтобы .git вообще попал в
    > область видимости веб сервера?

    ты хочешь статику отдавать томкэтом? Нет? Ну, вот...

    Ничего такого ужасного-ценного для кульхацкеров в том гите не будет, оно и так все либо доступно в вебе, либо было недавно, но таки да, неаккуратненько.

    Смешнее получается, когда и жабаблоб лежит себе ниже docroot, хотя никаким веб-сервером обрабатываться не должен, и его, при некотором энтузиазме, можно добыть как octet-stream. Но уговаривать разработчиков поменять пути - долго, дорого, неприятностей себе на жопу. Приходится работать из того матеръяла, что они навалили.

     
     
  • 3.144, КО (?), 13:19, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Ничего такого ужасного-ценного для кульхацкеров в том гите не будет,

    Сколько человек думают, что удалив файл с настройками (читай паролями) они сделали его недоступным?
    При условии что можно по версионке восстановить что было до того?

     
  • 3.145, КО (?), 13:24, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >ты хочешь статику отдавать томкэтом? Нет? Ну, вот...

    Ммм. А тот же war унзипнуть по scp на сервер с nginx/apache религия не позволяет?
    В одном скрипте деплоя можно же.

    Хотя если http сервером рулит другой человек, ему наверно сложно.

     

  • 1.88, Нанобот (ok), 09:48, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >по недосмотру выставили в публичное пространство без ограничения доступа

    интересно, каким образом чешский исследователь безопасности Владимир Смитка определил, что выставили именно по недосмотру, а не сознательно, потому что людям нечего скрывать? наверно он серьёзный иксперт, раз смог это определить, сидя на диване в своей чехии...

     
     
  • 2.106, user (??), 11:19, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >потому что людям нечего скрывать

    https://ru.wikipedia.org/wiki/Honeypot

     
  • 2.123, SubGun (ok), 23:32, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я же надеюсь это сарказм? Иначе сразу в цитатник "потому что людям нечего скрывать".
     

  • 1.90, пох (?), 10:11, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на самом деле не плачьте, фанаты редкоупоминаемых дистрибутивов - есть и у вас .git, просто скан был неаккуратный - глянул я в этот apps.json:
    |"CentOS": {
          "cats": [
            28
          ],
          "headers": {
            "Server": "CentOS",
            "X-Powered-By": "CentOS"
          },
          "icon": "CentOS.png",
          "website": "http://centos.org"
    },

    как-то вот так оно делает. Смотрим ближайший кривонастроенный центос:

    GET /.git/config  HTTP/1.0

    HTTP/1.1 404 Not Found
    Server: nginx/1.14.0
    Date: Wed, 05 Sep 2018 06:48:53 GMT
    Content-Type: text/html
    Content-Length: 169
    Connection: close

    ну и чего бы мы тут угадали? Количество сузей и центосов, по сей день использующих фронтендом апач?

     
  • 1.101, iZEN (ok), 11:06, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Давно пора ввести вход в Интернет "по паспортам" для всех - чтобы не шлялись просто так по чужим ресурсам без авторизации и личного токена, не оставляя следов кроме IP-адреса, с которого произошёл вход. IP-адрес можно подменить, зайти с любого публично, а личный токен для входа в Интернет - вряд ли. Так службам безопасности легче выявлять нарушителей закона о неправомерном доступе к оставленной по каким-то причинам незащищённой информации и персональным данным.
     
     
  • 2.103, товарищ майор (?), 11:11, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    погоди, как это подменить? Мы ж паспорта и так всех заставили проверять?

    и этих...публичных, тоже.

     
  • 2.127, Аноним (-), 08:57, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы не быть знакомым с тобой, то можно было бы подумать, что это лихая шутка.
     
  • 2.140, Аноним (-), 03:38, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  а личный токен для входа в Интернет - вряд ли

    А что этому помешает, интересно? Или ты думаешь, что хомяки токен будут содержать безопаснее чем свои хламежные роутеры и дырявый софт?

     

  • 1.110, Аноним (110), 13:56, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    впихивайте в разные места map query_string block default 0 ... текст свёрнут, показать
     
     
  • 2.113, пох (?), 15:27, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    дружище, погугли mod_security и не позорься, занимаясь бесполезной неэффективной фигней.
    (когда нагуглишь рекламу третьей версии и о том как nginx прекрасно с ней совместим - найди на их сайте запись вебинара, прослушай первые 30 секунд где представляется ведущий (второй) - закрой нахрен, и сделай выводы - правильные)

    и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки - а никакого ненужного вялоновна - в помине нет.

    и да, "впихивайте в разные места" - прекрасный совет, реально отражающий степень вменяемости структуры конфигов nginx. Тут и необходимость (в отличие от апача, кстати) дублировать вторую половину в каждом виртхосте, и возможность ненароком прооверрайдить ее, потому что regex-locations матчатся сверху-вниз до первого попадания, а не longest-match...

     
     
  • 3.116, Аноним (110), 17:09, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот ещё всякой хренью заниматься ставя всякие модули (и тратя моё время на чтение доков) когда проблема топика решается за 20 сек. И ничего бесполезного там нет. Имя валидного локейшена с точки? Ну так поправь на .git явно и всё. Пихайте в разные места сказано, конечно ,не для идиотов..лол
     
     
  • 4.118, пох (?), 18:00, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и действительно, вот еще всякой хренью заниматься, доки какие-то там читать - надо скорей бежать изобретать свой квадратноколесный велосипед.

    > И ничего бесполезного там нет.

    для тебя - может быть (правда, оно совершенно не относится к проблеме .git), для большинства окружающих - совершенно ненужно и вредно. Предлагая какие-то свои наколенные разработки для всеобщего обозрения - стоит иногда убедиться, что мир не придумал давным-давно решения получше и не заточенного под твой единственный-неповторимый сервер.


     
     
  • 5.119, Аноним (110), 18:26, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты идиот что-ли?  Решать проблему запрета одного локейшена с точками mod_security?
    Тебя уволить пора за профнепригодность
     
     
  • 6.121, пох (?), 18:46, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да-да, гораздо правильней решать эту проблему простыней анонимовых регекспов.

     
  • 5.120, Аноним (110), 18:31, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И да - для остальных глупых недоадминов типа тебя - этот "велосипед" описан в основной документации nginx (когда нагуглишь расскажешь всем)
     
  • 3.128, cutlass (?), 09:51, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки

    Я аж прям насторожился. А зачем тебе локейшины, начинающиеся с точки?

     
     
  • 4.131, пох (?), 13:34, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>и да, внезапно, на моих, к примеру, сайтах, есть валидные локейшны, начинающиеся с точки
    > Я аж прям насторожился. А зачем тебе локейшины, начинающиеся с точки?

    да как-то так исторически сложилось для технических адресов и механизмов - набирать удобно, по телефону диктовать легко, ни с чем внутри сайта (где механика может быть чужая) не пересечется, мамкины какеры ничего кроме /status не знают - дополнительный уровень защиты от перебора - уж всяко лучше чем навязщий в зубах /admin у не-будем-пальцем-показывать.

     
  • 2.125, SubGun (ok), 23:36, 05/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Многа непанятных букаф. Но выглядит завораживающе.
     
     
  • 3.132, пох (?), 13:39, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Многа непанятных букаф. Но выглядит завораживающе.

    говорят же вам - товарищ переизобрел mod_security, с опозданием на пятнадцать лет и криво.
    Погуглите, может вам и пригодится - определенный смысл в подобных проверках есть, но, разумеется, не настолько примитивных, и обновлять правила надо постоянно, потому что весь их смысл в защите от zero day в чужом кривом коде.

     
     
  • 4.133, Аноним (110), 14:53, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дык в чём-годно zero-day может быть - а очередное автообновление правил и под монастырь подвести может
     
     
  • 5.134, пох (?), 17:34, 06/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык в чём-годно zero-day может быть - а очередное автообновление правил и под монастырь подвести
    > может

    может, конечно, вон, даже меганз отметилась - но сравни, что более вероятно - удачный (попавший в твою версию, твою операционку, твою систему и твои другие слои защиты) remote exec через подсунутый апдейт строчек для фильтра, или звонок в пять утра субботы "у нас на сайте вот такенный $!й стоит!" потому что ты забухал в пятницу на пятнадцать минут раньше, чем всплыла очередная дыра во врот-прессе или еще хз чем, прекрасно блокируемая стандартным паттерном?

    И хочется ли тебе знать всю эту кучу муры про баги вротпрессов и жумл вообще, если ты ни разу не их разработчик?

     

  • 1.115, Аноним (110), 17:09, 05/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    вот ещё всякой хренью заниматься ставя всякие модули (и тратя моё время на чтение доков) когда проблема топика решается за 20 сек. И ничего бесполезного там нет. Имя валидного локейшена с точки? Ну так поправь на .git явно и всё. Пихайте в разные места сказано, конечно ,не для идиотов..лол
     
  • 1.139, Аноним (-), 03:31, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Адреса электронной почты были взяты из файла

    Кажется спамеры пополнят свои базы...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру