| 1.1, th3m3 (ok), 00:55, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– |
 О, смотрю у любителей всяких панелей для сервера - сегодня будет праздник :)
| | |
| |
| 2.3, sys (??), 01:17, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Никто не монитироит уязвимости. +100500 vpsочек к новой бот-сети.
| | |
| |
| 3.7, Анекдот (?), 01:31, 20/08/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Никто не монитироит уязвимости. +100500 vpsочек к новой бот-сети.
Маленькие тучки vps создавались когда-то для vpn клиенту отдали и забыли, клиенту нужно же что-то показать и как его перезагрузить в браузере. На всех всегда было проверять и ставить все пакеты раз в неделю автоматически, настроенным в самом Вебмин, потому что шаблонно, по быстрому, подняли, отдали и забыли. Правда один раз при обновлении ssl openvpn слетал, но кому нужно было сами позвонили, кто нет, тому не нужно.
| | |
|
| |
| 3.17, Аноним (17), 07:29, 20/08/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
а если что-то нехорошее с сервером уже сделали? Типа мы обновились и ничего проверять уже не надо?
| | |
| 3.20, andy (??), 07:44, 20/08/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 бекдор есть. просканить условный амазон или digitalocean на порт 10000 и написать цикл на питоне, который применит бекдор
(не призыв к дейсвию тов майор)
| | |
| 3.70, Anomaus (?), 23:00, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
По хорошему, не обновлять, а избаляться надо, по скольку это не просто уязвимость, а бэкдор. После этого должного доверия продукту нету.
| | |
| |
| 4.72, Аноним (72), 23:14, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Первый раз учит, второй убивает.
Искать следущего разраба или писать самому можно, но вряд ли это убережет от новых ошибок в новом по.
Оценивать надо по неудачам, а не по их отсутствию. Если разраб исправит проблемы и проведёт аудит, это будет в сотню раз полезнее, чем искать того новичка которому повезет не нарваться на ошибки предшественников.
| | |
| |
| 5.77, Anomaus (?), 11:56, 21/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Это не ошибка разраба, а бэкдор (как сказано в новости), т.е. умышленная закладка уязвимости. Чему будет учиться разраб в данном случае, скорее это тому чтоб в следующий раз не спалиться. И сам себя поправлю -- в таком случае доверия нету даже не продукту, а разрабу. (по моему не претенующему мнению)
| | |
|
|
|
| 2.32, Аноним (32), 09:33, 20/08/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
Такие праздники постоянно случаются у модных мальчиков, которым надо "быстро, удобно и интуитивно понятно".
| | |
| |
| 3.50, Мертвые_опята (?), 12:50, 20/08/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Модные мальчики с вебмином? С тем который старше тебя(а может и твоего отца)? :-D
Насмешил. Webmin считалось использовать идиотизмом и ламерством еще когда ты не родился, милый ребенок. Какие уж тут мальчики.
| | |
| |
| 4.51, Аноним (32), 13:00, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Первый выпуск в 97 году - это для тебя серьёзный возраст? Ну-ну, юноша.
| | |
| 4.59, пох. (?), 17:06, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Webmin считалось использовать идиотизмом и ламерством еще когда ты не родился, милый ребенок.
ну ты-то хоть с тех пор - немного повзрослел, и понял, что не всегда и не везде уместно лазить на сервер любимым ssh'ем, иногда и webmin очень даже полезен "не идиотам"?
| | |
| |
| 5.64, Мертвые_опята (?), 19:45, 20/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
webmin, как и все более поздние поделки на его тему, всякие ajenti и прочее вредны для серверов и полезны для настоящих админов. Обычно после использования подобной дряни пациент приходит ко мне или моим коллегам с просьбой починить, а мы выставляем счет x2/x3(кто как) от обычного за такое. Использование всех этих вебминов и ко приравнивается к использованию FreeBSD или прочей маргинальщины, а потому и ценник по 100 баксов за час работы(x2 по отношению к обычному)
| | |
| |
| 6.66, пох. (?), 20:23, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
ок, ладно - тебя как такой клиент пошлет куды подальше - ты мне его отдавай.
С фрей я согласен возиться даже за $35 в час, кроме поломанной конфигурации ipfw и/или netgraph - тут ценник тот же что у тебя. Но ты ж за такое, наверное, и вообще не возьмешься?
| | |
|
| 5.65, Аноним (65), 19:48, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это для чего такого загадочного "не идиотам" может быть полезен webmin?
| | |
| |
| 6.67, пох. (?), 20:24, 20/08/2019 [^] [^^] [^^^] [ответить]
| –4 +/– | |
вот еще один не выросший из детства...
ну подумай, подумай - если еще осталось, чем.
| | |
|
|
|
|
|
| |
| 2.6, admin localhost (?), 01:25, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не то что бы сильно, так как атакующий просто получит ограниченные до определенной степени права рута, и обойти это думаю будет не сложно.
| | |
| |
| 3.10, x3who (?), 02:29, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
По-моему там его ничего не ограничивает: ЕМНИП сам webmin крутится с правами рута.
| | |
| 3.28, Аноним (28), 09:24, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> атакующий просто получит ограниченные до определенной степени права рута, и обойти это думаю будет не сложно.
Ага, setenforce 0.
| | |
|
| 2.16, Аноним (16), 07:21, 20/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Нет. Ты-то сам думаешь как они через морду пакеты ставят? Думаешь они осилили двухзвенную архитектуру? Еще чего! Такая архитектура стоит тыщи долларов. А забесплатно только сыр в мышиловке.
| | |
| 2.52, Andrey Mitrofanov_N0 (??), 13:01, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А поможет ли от такого selinux?
От токсика-мусора на сорфорже? ...на гихабе??
Конечно! Больше токсика-мусора от ибмхата !!
| | |
|
| 1.5, KonstantinB (ok), 01:23, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 Веб-панель, веб-форма с обработчиком пользовательского ввода от рута, sourceforge... Прямо бинго!
| | |
| |
| 2.8, Аноним (4), 01:54, 20/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Могу поспорить там еще используется JavaScript и systemd!
| | |
| 2.21, Аноним (21), 07:44, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Как-то было дело качал с сорсфоржа под винду одну известную торентокачалку, решил проверить в вирустотале, не помню почему, и таки он нашёл кейлогера, такие дела, а в линуховой не было, после этого я с сорсфоржа пакеты не ставлю (привет deadbeef! твой автор даже не удосуживается положить чексуммы для проверки)!
| | |
| |
| 3.57, Гентушник (ok), 16:21, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Если речь о utorrent, то там в каких-то версиях был впихнут майнер от самих разработчиков.
Так что не удивлюсь если там и что-то типо кейлоггера было.
| | |
| |
| 4.69, Аноним (28), 22:57, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Откуда µtorrent на SF? Там только под софту OSI-approved лицензией можно хоститься.
| | |
|
|
|
| 1.12, svsd_val (ok), 06:20, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Хм, чёт долго он там был ... Хотя зная репутацию саржфорж для этой помойки это не в первый раз такие вещи происходят....
| | |
| |
| 2.25, timur.davletshin (ok), 08:09, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Таки правду молвите, чего только стоили рекламы сомнительных сервисов. Там софт без квеста просто так скачать даже было нельзя одно время без адблока. Как-то прослыл в компании, где работал, распространителем вирусни, когда удивлённые манагеры во время аврала по подготовке какой-то встречи в верхах увидели, что я лихо трёхстрочником гимпа фоточки батчем обрабатывал. Попросили тоже им такое замутить. Я им ссылку на вендосборку кинул и вся компания дружно подхватила вирусню, которую даже корпоративный антивирус не выловил. Вот потеха то была...
| | |
| 2.26, Аноним (26), 08:50, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Сейчас бы притворяться, что SF чем-то от GitHub и других альтернатив отличается.
| | |
|
| 1.13, InuYasha (?), 06:28, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хорошо что в более старых нет :D
Но вообще зря вы его ругаете - годный комбайн на случай всего. Хотя, конечно, кручение от рута я не одобряю.
| | |
| |
| 2.36, пох. (?), 09:41, 20/08/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
хм, webmin предназначен для делания работы - рута. Было бы крайне странным запускать его НЕ от рута - и совершенно непонятно, от каких ужостей могло бы защитить.
А вот если он у вас торчит голым задом в паблик - у меня для вас плохие новости, безотносительно тому, бэкдорнутый он или нет.
И да, комбайн вполне годный, да и уязвимость вроде бы не авторской разработки, а подброшена кем-то, в очередной раз подобравшим логины к sf.
так что продолжаем пользоваться следующие 20 лет.
| | |
|
| 1.15, Аноним (16), 07:17, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Никогда не нравился ни webmin, ни cpanel, потому что полное г. Нихера не понятно, нихера не удобно, так еще и php сам по себе всегда дыра в безопасности, а тут еще оказывается у них не зря руки из ж растут. Бэкдоры просто по дефолту по году в сборках.
"Компроментация проекта" - угу, дали 500 долларов за скачивание. Продажные твари, вот они кто.
| | |
| |
| |
| 3.22, Аноним (16), 07:52, 20/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Это не спасло. Увидел критику в редите насчет перла, а автор(ы) в ответ: у нас 500 тыс. строк за 20 лет, нам не платят, так что ешьте, что дают и закройте рот.
Я тоже перловик, но в отличие них осилил изучение как работает современный юникс и понял, что вызовы комманд из веб-морды зло. Поэтому себе сделал аналог (не для установки пакетов), но по двухзвенной архтитектуре. А они за 20 лет так и ничему не научились, зато 500 тыс. кода, туева юзеров, которых нагнули. Молодцы, че!
| | |
| |
| |
| 5.78, Аноним (78), 12:56, 21/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Они бы тоже выполнялку команд могли вынести в отдельный сервис и обращаться к нему из бэка морды. Но это сложнее по архитектуре, да и не сильно убережёт.
Что там под двухзвенной архитектурой подразумевает Анон, я не знаю. Тут могут быть субъективные представления.
| | |
|
| 4.74, Аноним (28), 23:31, 20/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Поэтому себе
> сделал аналог (не для установки пакетов), но по двухзвенной архтитектуре.
Тема не раскрыта. Где код?
| | |
|
|
| 2.75, Podcast RCMP (?), 02:35, 21/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 cPanel коммерческий продукт, за который платишь деньги. Если взломают - можно пнуть техподдержку cPanel и тебе все починят.
И за 10 лет еще ни разу не встречал ситуацию когда ломали сервер именно через cPanel.
| | |
| 2.79, Аноним (78), 12:59, 21/08/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> а тут еще оказывается у них не зря руки из ж растут
Да там подкинули, что ж вы не дочитываете. А автору за желтизну заголовка 5.
| | |
|
| |
| 2.24, HyC (?), 08:06, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Потому-что в репозитории сделано правильно, а в том шроте что на сорцфорже лежит и тоже "официальный" внедрена такая фича.
| | |
| |
| 3.38, пох. (?), 09:58, 20/08/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
собственно, из внимательного прочтения анонса вытекает, что сказки про sf в очередной раз сильно преувеличены, и поломали - сборочную систему.
К счастью, афтары не такие бедные и жадные как обычно бывает, и просто ее отрубили до окончания разбирательств, достав из кладовки другой старый pentium3 или на чем там они собирают.
| | |
|
| 2.37, mumu (ok), 09:47, 20/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Эдак можно докатится до того, что и в IMEI просто уязвимости, а не преднамеренные бэкдоры XD
| | |
|
| |
| 2.41, Аноним (41), 10:30, 20/08/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Кто-то ещё с SF качает, а не из официальных реп?
Да, кто-то качет, потому что у некоторых проектов sf это и есть официальная репа (привет, deadbeef!), такие дела, да:(
| | |
|
| 1.46, ALex_hha (ok), 12:24, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > так еще и php сам по себе всегда дыра в безопасности
просвяти об этом парней из facebook/yahoo/wikipedia, а то они не в курсе.
| | |
| |
| 2.55, Аноним (16), 14:51, 20/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Я не ставил это утверждение в абсолют. То в теме, тот с этим не спорит. К php, как ЯП, это на деле меньше относится, т.к. основные злодеи это мейнтейнеры пакетов, которые не достаточно времени уделяют настройке php.ini. А в результате школьники клепают дырявые сайты, полагая, что раз мейнтейнер за них так настроил, то значит так и должно быть.
И не надо говорить, что это моя проблема. Это и так ясно, вопрос в том, а что делали разрабы софта на пхп? Т.е. написать код, который пашет от рута и умыли руки? А где тогда конфиги, рекомендации для апача, php.ini? Ах, ну они же не it-sec спецы, а просты школокодеры. Следующий вопрос, а зачем тащить школокод в репы???
| | |
|
| 1.81, Аноним (81), 11:05, 07/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 только идиоты выставляют в интернет winbox webmin ssh rdp и прочие службы, которые приглашают ввести пароль а после дают доступ к машине
наружу должен смотреть vpn сервер. всё.
всё остальное делается внутри vpn
| | |
| 1.82, ВОПРОС ЗНАТОКАМ (?), 17:54, 08/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 я вот хочу вебмин во вне вывести, а нельзя сделать, так, чтобы с других айпи, нельзя было зайти , кромне нужно? МОЖНО! И чё тоже ломанут ? если да, то как ? А вот ваш впн упадёт, какойнить сертификат устареет, время собъётся, ну или конфиг битым станет, как там падают, эти ваши впн и как вы на машину попадёте ? а ? А ? яндекс такси ?
| | |
|
