Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59473
Написан на безопасном языке, расходимся, тут нечего обсуждать.
Такс, а причем тут rust?
Новость читал? "Код червя написан на языке Rust"
Значит червь себя обезопасил, а redis написаный на C - не очень.
Тоже не понял откуда шум: на системе процент безопасного софта увеличился, а процент опасного уменьшился - радоваться нужно =)
Проблема в том, что червя нашли. Значит Раст плох, как инструмент создания червей. Т.к. после этого червей находят.Видимо. )))))))))))))))))))))
> Значит червь себя обезопасил, а redis написаный на C - не очень.Вообще, там написано еще и...
> выполнить произвольный код на языке Lua
Так что это классическое 🐸🐍.
Как нечего? Чудо же! На безопастном языке наконец что-то - НАПИСАНО!
В смысле не ПЕРЕ(но-чуть-чуть-НЕДО)писано, а прям с нуля?!
Да не, ерунда какая-то...
ну так никто не захочет чтобы его вирус падал из-за какого-то use-after-free или его бы взломали из-за out-of-bounds массива
это тебе не ядро линукса - тут люди деньги зарабатывают
> Написан на безопасном языке, расходимся, тут нечего обсуждать.Действительно, это гарантирует что червяк - безопасный. Казалось бы что может пойти не так? Расслабьтесь и получайте удовольствие.
>поддерживается Linux и Windows
>уязвимость Redis для Ubuntu и Debian (проблема специфична для отдельных сборок)Нипанятна...
The root cause is a simple oversight. Normally, Redis statically links Lua. The Ubuntu and Debian package dynamically links Lua. The vulnerable package disabled the use of the Lua require and module interfaces to prevent sandbox escapes, but failed to disable the Lua package interface. To fix this, Ubuntu and Debian simply set package to nil just like require and module. Here is the relevant line in Ubuntu’s rules file:echo 'luaL_dostring(lua, "module = nil; require = nil; package = nil");' >>$@
The Lua package interface can be used to load arbitrary Lua shared libraries. For example, the original proof of concept by Reginaldo Silva loads “liblua” in order to execute the shell command touch /tmp/redis_poc via os.execute:
eval 'local os_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so", "luaopen_os"); local os = os_l(); os.execute("touch /tmp/redis_poc"); return 0'
Про Дебиан с Убунтой понятно, нипанятна про винду
Redis is not officially supported on Windows. Васянские сборки - это васянские сборки.
>Normally, Redis statically links Lua. The Ubuntu and Debian package dynamically links Lua.о круто, в бабуане не только openssh патчат. в копилочку....
А вот это - типичный Дебиан. Со своей дебилизацией, то есть дебианизацией, лезут кривыми руками в код, в котором ничего не понимают. Низя статически линковать, это не по-дебиановски! Тьфу.
Тьфу - это выполнять код на lua, полученный по сети от не пойми кого. Кто так делать будет - тому никакая песочница не поможет. Так что в Дебиане всё правильно сделали.
Что сделали правильно, сломали lua-сендбокс? Да вообще молодцы, премию выдать.Понятно, что корень проблемы в торчащем в интернет Redis. Ну и что? И у администраторов этих серверов, и у дебианцев руки одинаково из известного места.
напоминаю - от https://github.com/redis/redis/security/advisories/GHSA-p8x2... твой шитбокс никак не защитил.> Понятно, что корень проблемы в торчащем в интернет Redis. Ну и что?
можно его вообще, к примеру, не запускать. Шах и мат, писатели червей! Сетевой сервис торчит в сеть, подумать только!
А вот недоязычок внутри, чорд побери, быстрого in-memory key-value store - это вот как раз феерическая идиотия. И дебиановцы вполне резонно постарались уменьшить attack surface.
Причем похоже успешно - большая часть торчащих в инет инстансов оказалась без этой фичи - потому что ее надо специально отдельно поставить.Соответственно, и зеродеи дыры существующей с версии 2 (то есть лет десять) им не прилетели бы.
Сетевой сервис, но для внутренней доверенной сети.К memcached, в котором вообще никаких механизмов авторизации нет, подобных вопросов не возникает? Так а какая разница? redis - это memcached с наворотами. Может, еще etcd с secrets наружу выставить? (Наверняка и такое найдется где-нибудь, ха-ха.)
Embedded language там нужен, чтобы дать возможность создавать свои собственные команды, выполняемые _атомарно_. Да, изначальная реализация с eval/evalsha дурная, в 7-й версии сделали нормальные functions.
> Сетевой сервис, но для внутренней доверенной сети.если она вообще есть.
(ну и такая себе конечно "заshitа" - до первого целеустремленного или засланного казачка)
> К memcached, в котором вообще никаких механизмов авторизации нет, подобных вопросов не возникает? > Так а какая разница?
существенная - мемкэш довольно бесполезен вне пределов локалхоста или хотя бы очень быстрой и не теряющей пакетов локальной сетки (но это неточно).
А вот редисы используются в распределенных кластерах, в том числе и геораспределенных.Теми кто мемкэш уже перерос.
> Embedded language там нужен, чтобы дать возможность создавать свои собственные команды,
> выполняемые _атомарно_мы используем in-memory k/v database вместо транзакционного sql-сервера, что, что может вообще тут пойти не так?
Так луа не для тех случаев, когда вместо key-value уместна полноценная РСУБД, а для того, чтобы выполнить 2-3 быстрые команды атомарно (так, чтобы между ними никто не вклинился). Там, где важна производительность, а потеря данных - вообще не то, что допустимая, а предусмотрена как отдельный сценарий с процедурой восстановления.Посмотри java-библиотеку Redisson. Это не тупой redis-клиент, там реализованы все стандартные redis-паттерны, в том числе и требующие lua-скриптинга.
ну вот мне сложно придумать юзкейс где надо суперпроизводительность и транзакции, но на потерю данных при этом наплевать совсем.авторы универсальной библиотеки молодцы, конечно, что сделали ее - универсальной, но идея не тащить в каждый инстанс развернутый из стандартного пакета такую зависимость ради очень странной фичи представляется вполне разумной. И от предыдущего бага кого-то наверняка и спасло.
А это не транзакции совсем. Это тупая фигня, блокировка на время выполнения луа-скрипта. Потому он должен быть очень простым и быстрым :) В документации на Redis не просто так указана временная сложность алгоритма каждой из встроенных команд.По сути, это был способ прекратить бесконечный рост количества встроенных команд: если нужное можно получить комбинацией двух-трёх, выполненных атомарно - вот вам Lua.
Мемкэш тоже используется в распределенных кластерах, очевидный пример - facebook
пейсбук - это очевидный пример как не надо делать (ничего).Есть подозрение, что кто-то там либо приближенный к императору, либо прямо сам сцукенберг не всегда был дЭффективным менеджером и что-то там в уголке сам двадцать лет назад накодил. И с тех пор никому нельзя трогать уродливое старое легаси в принципе, под страхом немедленного увольнения при помощи ноги.
Причем костыли которыми это заставляют работать - достигают совершенно фееричных масштабов, но при этом видимо всячески поощряется и одобряется делать их так что результат непригоден для использования вне мордокниги в принципе.
Собственный псевдо-пехепе (не работает нигде кроме мордокниги), собственный совершенно неописуемо уродливый клон mercurial (вообще непохоже что работающий), последние совершенно е6@натские изменения в memcached...
Ты ничего из этого все равно не сможешь применить.
И, главное - совершенно и незачем это делать.
Это я общеизвестный пример привел. В 2006-2009 я сам в проекте схожего размера поучаствовал (не Фейсбук, но сотни миллионов пользователей есть), у нас тоже кластер мемкешей был. Если включить мозг, даже на основе multiget+CAS можно сделать много интересного ) Но там, конечно, был свой bare metal.Кстати, фейсбуковские мультитред-патчи тогда протестировали и выбросили: они всё только замедляли. Какой-то минимально измеримый выигрыш во времени ответа начинался от 16 ядер, при этом оно жрало в 4 раза больше CPU. Так и сидели на форке 1.2, прибивая воркеры к ядрам и раскидывая по ketama hash. Туповато, зато эффективно.
> дебиановцы вполне резонно постарались уменьшить attack surface.Да ничего они не попытались.
У них своё святое писание, запрещающее в том числе статическую линковку, и весь софт приводится к "стандартам Дебиана" невзирая на причины, почему некий софт этим стандартам не соответствует. Поскольку разработчики софта эти стандарты вертели на известном месте, "дебианизацией" занимаются мейнтенеры, клепая патчи на сорцы, которые не понимают.
В любом багтрекере любого популярного СПО легко найти багрепорты такого вида:
- у меня в Debian/Ubuntu такая-то проблема
- собери из оригинальных непатченных сорцов самостоятельно, воспроизведи, потом приходи
- не воспроизводится
- ну так жалуйся мейнтенеру, фиг ли ты к нам пришел?И, что характерно, мейнтенер, даже после прямого указания на то, что он фигню какую-то сделал, будет упираться до последнего, потому что хоть он всё и сломал, но зато дебианизировал!
Хоспаде аж до слез на сколько это именно так
> У них своё святое писание, запрещающее в том числе статическую линковку,Потому что потом вулны невозможно запатчить в системе. Как вообще трекать все ли инстансы либы обновлены или нет если либа статично влинкована?
> и весь софт приводится к "стандартам Дебиана" невзирая на причины, почему некий
> софт этим стандартам не соответствует.Это имеет свои причины. Вполне осмысленные и валидные.
> на известном месте, "дебианизацией" занимаются мейнтенеры, клепая патчи на сорцы, которые
> не понимают.А тут такие эксперты собрались - предлагают создать помойки из статически линкованых бинарников. Как трекать обновление ВСЕХ инстансов либы при этом - подумаем потом, видимо.
> - не воспроизводится
> - ну так жалуйся мейнтенеру, фиг ли ты к нам пришел?Это определенные издержки стабилизации системы. А если так не делать - вон те разработчики сломают сегодня что-то в этой либе, и оно на голову свалится такое хорошее, сломав работу софта. Это делает rolling дистры непредсказуемыми и непригодными для работания работ или эксплуатации на серверах. Конечно с некоторыми оговорками.
> И, что характерно, мейнтенер, даже после прямого указания на то, что он
> фигню какую-то сделал, будет упираться до последнего, потому что хоть он
> всё и сломал, но зато дебианизировал!Это в целом не соответствует действительности. Хотя проколы бывают у всех.
В целом это совершенно разумные поавила. Но никакие правила не абсолютны. Абсолютизация доводит до полного бреда всегда.Разумно:
- отправить пулл-реквест с динамической линковкой в апстрим;
- получить фидбэк, по которому либо доработать патч, либо согласиться с их аргументацией в пользу статической линковки именно с Redis, если на то есть веские причины;
- в последнем случае считать Lua частью его кода, и уязвимость в Lua считать уязвимостью в Redis.Глупо: плохо разбираясь в коде, исключительно из соображений "у нас такие правила" наклепать патч, который не ревьюил ни один разбирающийся в данной кодовой базе человек, и запушить это в один из самых популярных дистрибутивов.
> - отправить пулл-реквест с динамической линковкой в апстрим;даже если он будет принят - это произойдет этак через три версии. Дистрибутиву нужен работающий пакет даже не сегодня а вчера - потому что все это еще и тестируется, а обновления ради обновлений - это вон вам в rolling, каждый день сломано что-то новое.
Т.е. это совершенно неэффективный подход даже если бы гордые разработчики не отшвыривали подобные патчи неглядя ровно по тому же принципу который ты приписываешь debian - "уменявсеработаит", "зачем мне лишние строчки" и вообще я у мамы самый умный.
> Глупо: плохо разбираясь в коде, исключительно из соображений "у нас такие правила" наклепать
> патч, который не ревьюил ни один разбирающийся в данной кодовой базе человекзначит не больно и хотели. Большинству вероятнее всего вообще не придет в голову включать там lua.
И, напоминаю, все это было не зря, гораздо более серьезную проблему с багом в самом редисе - не требующую никаких специально подобравшихся в /lib библиотек - таким образом перекрыли, и не пострадали те кто и слыхом не слыхал ни о каком lua в нем, за полной им ненадобностью такого костыля.
А уникальных индивидуев которым зачем-то понадобилось - оказалось аж 300 штук. Да и те могли бы год назад обновить пакет, но они настолько уникальные что и этого не сделали.
Чего они решили?
Ты думаешь, там отдельный пакет типа redis-lua, без которого Lua не ставится? Нет.
она просто вообще не ставится, если вручную не поставить.И зависимости такой у редиса - нет, даже опциональной.
(логично, кривые дебиановские скрипты 96го года не умеют в динамические модули)Так что пока сам себе яйца не отстрелишь - ничего не произойдет.
Так луа может уже стоять по миллионы причин.
Ну вот я осмотрелся в отсеках - нет у меня ни миллиона ни хотя бы одной причины.
Можно спать дальше.А так - уже аж почти тыща штук нашлась. Из 300000 висящих голым задом в интернет.
Т.е. из трех сотен находится не всегда целый один ловкий мальчик, таки ухитряющийся притащить lua.
Все правильно подумали. Сделали все неправильно, потому что, увы, админы не сильны в редисах.
Правильно по вашему мнению - это вообще не поставлять redis в репозиториях, ибо штука нишевая, кому реально нужно - тот достанет и если надо - и даже из исходников соберёт, а кому поиграться - тому лучше это не трогать?
Правильное решение - вынести опциональную и явно чреватую проблемами фигню в опциональный модуль, а не прибивать гвоздем.
В результате на всю планету уязвимых нашлось аж 300 штук.Очень жаль что оно не пришло в голову самому автору, тогда бы их, возможно, не было вовсе.
Говорили что на расте нет софта. А вот же он))
Правда 934 из 307к как-то маловато, но все еще впереди!
Надеюсь, что код без unsafe блоков
Не понимают люди гениальной концепции разделяемых библиотек.
Нужно всё же отдельно ставить, чтобы место экономить и обновлять.
Пакеты ставить и зависимости разрешать.А статически слинкованный код небезопасный.
За пределами консольки это боль и руины
Хорошо работать всегда тяжело.
Вот не совсем понял этот момент, в новости написано, что именно из-за динамического связывания уязвимость проявилась.
1. Как это обычно водится, как проверить свои редисы господа мерзкие, торгующие безопасностью не написали
2. Ну у кого хватит ума чтобы торчать редисом в интернеты ? Не выставляйте порты редиса, и не бкдет вам
> червь P2PInfect
> на языке Rust
> Ну у кого хватит ума чтобы торчать редисом в интернеты ?тем кому он нужен не на локалхосте?
> Не выставляйте порты редиса
да просто вообще им не пользуйтесь, пост, молитва, и никаких инторнетов.
> тем кому он нужен не на локалхосте?Про VPN мальчик не слышал?
Или про ограничение по адресам на уровне файрволла?
Зачем вешать редис доступным всему инету образом???
Опытного строителя костылей вижу я!
Чувак, а ты вообще в курсе, что VPN для того и придуман?
Что это Virtual Private Network
Оно придумано для того, что бы объединять разные сети в одну виртуальную частную
> объединять разные сети в одну виртуальную частнуюдопустим объединили. а что дальше ?
доверять хосту только потому что он из "нашей сети" ?
не требовать пароли и ключи, предоставлять сервисы просто так ?
Жирноват
Я боюсь твое "допустим" уже перебор. Местные эксперты если и строят vpn'ы, то в лучшем случае из своего локалхоста и ... локалхоста.Потому что чисто технически это...как бы тебе намекнуть...
> доверять хосту только потому что он из "нашей сети" ?
ну в целом периметр безопасности - тоже неплох. Но обычно нереализуем. Или внутри оказывается слишком много всего, или что-то вынужденно торчит наружу, а чаще то и другое сразу.
> не требовать пароли и ключи, предоставлять сервисы просто так ?
это место у редиса тоже, мягко говоря - не очень.
> Потому что чисто технически это...как бы тебе намекнуть...мне можно писать прямо.
> ну в целом периметр безопасности - тоже неплох. Но обычно нереализуем.
так стоит ли им заниматься ? или выгоднее потратиться на хардэнд всех хостов ?
>> не требовать пароли и ключи, предоставлять сервисы просто так ?
> это место у редиса тоже, мягко говоря - не очень.это же не ftp. предполагаю, его можно легко обернуть в SSL, а где SSL - там и ключи и сертификаты.
> так стоит ли им заниматься ? или выгоднее потратиться на хардэнд всех хостов ?или забить болт - авось пронесет на этот раз.
Вон, сотня тыщ ло...гениальных разработок трудами ребят из дебиан оказалась таки неуязвима.> это же не ftp. предполагаю, его можно легко обернуть в SSL, а где SSL - там и ключи и
> сертификаты.это не ftp. Там ключи, сертификаты, бесконечная бессмысленная й06ань. И длинный-длинный геморрой с установлением сессии и ее очисткой после завершения. Что просто вот кол в ж-пу для быстрого in-mem кэша, заточенного под максимальную возможную скорость ответа и вероятный stateless на том конце.
Даже стандартная редисовая авторизация (которая в стиле "дерни деточка за веревочку", и максимальная скорость ответа там тоже очень "удачно" легла в тему, рядом с паролями от всего плейнтекстом) создает проблему, а защищает такой замок только от честных людей, а никак не от упорных лесников.
> Зачем вешать редис доступным всему инету образом???Очевидно в хауту для дикера с редисом ничего про впн не говорилось.
Редис же это высокоскоростное инмемори херотенище, нахрена такое через интернет долбить то?
Оно именно что для локалхоста или локальной сети.
ты перепутал, для локалхоста (и то неточно) - memcached.А редис именно распределенное сетевое а не просто скоростное локалхостовое.
"Локальная сеть" в эпоху одноразовых инстансов амазона, поднимаемых-удаляемых на бегу по мере изменения нагрузок - очень эфемерное понятие.
Что-то я не улавливаю смысла, зачем?
Ну то есть какой в этом смысл если оно через интернет тормозит и тужится?
>в эпоху одноразовых инстансов амазона, поднимаемых-удаляемых на бегу по мере изменения нагрузокНе в курсе как там в амазоне, но наверное там есть такая штука как внутренняя и внешняя сеть...
Просто интересно какой-то пример конкретный редиса через интернет узнать.
В интернетах пишут что оно вроде как брокер сообщений может работать, тогда конечно видимо смысл в этом есть.-"Due to the nature of the database design, typical use cases are session caching, full page cache, message queue applications, leaderboards and counting among others"
Ну то есть кеш в интернете размещать как-то странно...?
> Что-то я не улавливаю смысла, зачем?хостинг on premises немодно, у белогривых лошариков принято все тащить в облачка.
Для большей "надежности" лучше сразу в несколько разных (требования уметь одновременно гугля амазона и что там еще за похабени - очень часты в выcepaх модных-современных hr'ов)
- ну это как бэкап базы гитляпа который был везде и нигде одновременно, чтоб денег не платить.> Не в курсе как там в амазоне, но наверное там есть такая штука как внутренняя и внешняя сеть...
фуллшмяк девелоперы и модные девопсины во-первых просто не сумеют это настроить, во-вторых это стоит денег, а их не для того нанимали чтоб еще денег платить.
> Ну то есть кеш в интернете размещать как-то странно...?
что странного в том что у тебя сервера в интернете в 2k23?
Если все еще неочевидно - ну видимо ты хреновый совсем фулшмяк девелопер. Вот тебе традиционный юзкейс редиса - у тебя не один сервер а несколько, redundancy всякое / распределение нагрузки.
Очередной запрос юзера может прилететь на любой. Поэтому к данным сессии тоже должен быть доступ у любого (можно даже не извещать об этом фулшмяк девелоперов - пехепе умеет сам, одной строчкой ini). И если ты не хочешь чтобы оно все легло из-за того что где-то сдох редис - редисов у тебя будет failover кластер.Использовать его вместо MQ довольно странная идея. Хотя если уже есть а нагрузки не предвидится - то возможно это лучше чем еще один кластер - теперь уже какой-нибудь кафки или прочего совсем невменоза. Но вообще у фулшмяков так немодно - посмотри ради интереса внутрь готового докера для onlyoffice. Потом тщательно протри антисептиком и все выбрось.
MQ на rpoplpush и луа-костылях - да, затея, мягко говоря, сомнительная. А появившиеся в 5.0 Redis streams для MQ вполне себе. Если в проекте Redis уже используется, самое то.
Прям в заметке же ссылка "используется _исправленная_ в апреле прошлого года".
А по ней "Опубликован корректирующий выпуск CУБД Redis 7.0.5". Т.е. просто нужно обновиться до 7.0.5.
Пройти по ссылке, это в так сложно!
Не мамонты должны страдать.
> 1. Как это обычно водится, как проверить свои редисы господа мерзкие, торгующие безопасностью не написалиЕсли по описанию проблемы и ссылкам на CVE ты не можешь разобраться сам, то грех с тебя не взять копеечку. Всё правильно написали, молодцы.
> 2. Ну у кого хватит ума чтобы торчать редисом в интернеты ? Не выставляйте порты редиса, и не бкдет вамНасколько я помню в дефолтном конфиге от авторов редиски в какой-то момент был бинд на звезду, а в дистрибутивных пакетах бинд на локалхост
То есть уязвимость у дурачков которые сами поправили с локалхоста на звезду и не сделали ограничений по IP до кучи
Ну то есть это не уязвимость в редиске, а уязвимость в головах
> Насколько я помню в дефолтном конфиге от авторов редиски в какой-то момент
> был бинд на звезду, а в дистрибутивных пакетах бинд на локалхост
> То есть уязвимость у дурачков которые сами поправили с локалхоста на звезду
> и не сделали ограничений по IP до кучи
> Ну то есть это не уязвимость в редиске, а уязвимость в головахПри том вон те исследователи нашли примерно 390 000 редисок и голов. Конечно, вон то не на все из них действует.
Как же так! Ведь всё же в доркере депопсы же безопасно!
И при чем это тут?
То есть ты сначала сам сделал проброс из докера не на локалхост, а на внешний интерфейс, а теперь виноваты у тебя докер с редисом?
Говорят сдуру можно и х сломать, чувак
Вот дурь у тебя все и заменяет
Уверен что докер играет в наблюдаемом явлении не последнюю роль.Но не прямую конечно.
Прости, но проброс из дыркера на локалхост никому обычно не нужен.Ну кроме васянов с локалхостом.
Проблема в том, что у местных обитателей нет понимания размахов сети
Вы говорите 390000 словно это много, а по факту при условном миллиарде-двух серверов в инете 390k ближе к нулю, чем к чему-то еще
Так же, как вы твердите про "1%" который давным давно был опровергнут, но не понимаете, что 1% от 4 миллиардов пользователей сети(такова на данный момент оценка ООН) даже 1% это 40000000 человек
То есть у вас просто нет понимания величин с которыми в сети имеют дело
По вашему докер на каждом компьютере в интернете стоит?
> Вы говорите 390000 словно это много, а по факту при условном миллиарде-двух
> серверов в инете 390k ближе к нулю, чем к чему-то ещеВы уверены что в интернете есть пара миллиардов серверов? Если виртуалок - там еще со скрипом можно поверить. И то - не факт. Просто потому что в интернете например вебсайтов примерно столько. И чертова куча - паркинги для трупиков, с газилионом вхостов на один айпишник.
> но не понимаете, что 1% от 4 миллиардов пользователей сети(такова на
> данный момент оценка ООН) даже 1% это 40000000 человекПользователь сети тоже довольно растяжимое понятие. Впрочем там давно уже не 1%, см соседнюю новость.
> То есть у вас просто нет понимания величин с которыми в сети имеют делоИсследователи нашли что-то типа 390, чтоли, хостов на весь глобус которые оно пробило. Не так уж и дофига. Хотя эта штука или ее деривативы вроде еще по ssh себя пытается забрасывать и проч, вот так оно уже бойчее наверное пойдет. Во всяком случае Mirai помнится раскидал себя на 300 000 девайсов за какие-то незначительные времена менее суток.
а причем тут замахи твоей сети?редис совершенно не для васянов с опеннета, они понятия не имеют что это и как этим пользоваться (да и некуда им его пихать на самом-то деле)
Даже если недосерверов в интернете цельный мильярд (что крайне маловероятно), большая их часть содержит только почтовик самого васяна и его вечно недописанный пет-проект (непременно на генераторе статического html!)
У васяна чуть попродвинутей там почта и веб сервер из одной странички окормляемого им подвальчика из трех человек.390тыщ торчащих голым задом в инет серверков с очень специфическим сервисом - это весьма и весьма солидно на таком фоне.
Да и червяк, как видим, расползается - при том что казалось бы, корма для него почти не должно остаться, увизгвимость годичной тухлости. Впрочем, обновления содержат ужастные трояны от NSA поэтому у васянов они конечно же не включены.
> редис совершенно не для васянов с опеннета, они понятия не имеют что
> это и как этим пользоваться (да и некуда им его пихать
> на самом-то деле)все три тезиса ошибочные. контрпример:
dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=32&CHAPTER_ID=05360
>Код червя написан на языке Rust.И в нём пути к домашней папке незадачливого вирмейкера?
>> Код червя написан на языке Rust.
> И в нём пути к домашней папке незадачливого вирмейкера?И структура проекта. А "папочкой" (вот масдай то) у этих лолок был кажись /root, о чем написано вооооон там :)
> у этих лолок был кажись /rootИли же у очень умных людей
Потому что root есть в любой системе
То есть вот root вообще ни на кого никак не укажет
При этом сборка могла осуществляться в одноразовой виртуалке
> Или же у очень умных людей
> Потому что root есть в любой системе
> То есть вот root вообще ни на кого никак не укажетНу так, мелочи, на тему умных людей ...
1) Список крейтов. При том врядли сильно популярных. Можно посмотреть кто это качал. А вдруг они таки поленились наруливать это (см ниже). Тогда довольно легко вычислить кто это. Не сильно много людей качают одновременно вон то с серваков вон тех.
2) Структура проекта восстановлена, так что если CIA/NSA/FBI/MOSSAD/MI6/whatever где-то найдет вот именно эти файлы - они знают что они добрались до вон тех.
3) Сборка под рутом позволяет жесточайше их поиметь. Например вкатив крейт поинтереснее. Еще скажите что майкрософт и амазон с гуглем не подмахнет такое в репу если вон те друзья попросят.> При этом сборка могла осуществляться в одноразовой виртуалке
Могла, но сетапить ее в виде когда вы не будете палиться качем характерных крейтов в характерной последовательности... ммм... будет скажем так, не совсем просто. Так что если они вскоре присоединятся к "anna senpai" - я лично не удивился бы такому.
> Могла, но сетапить ее в виде когда вы не будете палиться качем характерных крейтов в характерной последовательности... ммм... будет скажем так, не совсем простоНапример качая через тор и меняя круги
Не?
> Например качая через тор и меняя круги
> Не?Не знаю что за круги (circuits?) но сетапнуть работу 1-разовой виртуалки через тор, особенно в не совсем тупом виде ... все же некая отдельная канитель.
И вот заморочились ли они этим и во время девелопмента, сразу, потому что тайминги и набор крейтов достаточно характерные должны быть - вот это интересный вопрос. На месте вон тех господ я б лукапнул базы посмотреть, не отклеится ли у растишек ус случайно. Больно уж характерная последовательность должна быть.
На правах совсем жесткого эксперимента с другой стороны: собрать тайминги vs объем данных этой операции и если у ISP логинг достаточно продвинутый, посмотреть где такой {объем, тайминги} всплывали. Достоверность конечно фиговатенькая будет но как 1 из фильтров делающих из миллиардов десяток подозрительных типов может и прокатить.
>an attacker with the ability to execute arbitrary Lua code could potentially execute arbitrary shell commands.А с какого хрена удаленному подключению разрешено исполнять код на lua до аутентификации?
Чтобы ускорить скорость вестимо.
Почему для MacOS не выпустили?
Серверов с редиской на MacOS пока маловато.
Потому что мак это система для домохозяек с облачным мусором, встроенной рекламой и неотключаемой телеметрией в каждом приложении.
>серверы Redisну почему именно сейчас и именно он???
>поддерживается Linux
>Ubuntu и Debianтолько они? ух... значит на своем созданном по LFS можно не беспокоится?
ну учитывая что 70% редис торчат без логина и пароля, то странно что это все раньше в решеио не превратилось
>Проблема специфична для сборок Debian и UbuntuЮзеры *BSD могут спать спокойно, вирусня грызет только попсовых пингвинов.
спать спокойно могут тольто те, кто сам всё проверил, а не понадеялся на экспердов, т.е. никто
> червьО жесть, от такого словца повеяло 2007 годом и вин хп.