The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Предложен механизм уведомления о попытках взлома ядра Linux

23.12.2013 20:55

Сотрудник компании Oracle, Вегард Носсум (Vegard Nossum), в рассылке разработчиков ядра Linux предложил отслеживать попытки применения известных эксплоитов. Поскольку разные ядра Linux имеют разные уязвимости, то атакующий скорее всего попытается применить разные эксплоиты перед тем, как атака увенчается успехом. Подобную активность можно использовать для организации системы раннего оповещения о попытках эксплуатации уязвимостей в ядре. В частности, появление в логе данных о применении эксплоитов может говорить о том, что атакующие уже получили доступ к системе на уровне непривилегированного пользователя, например, через взлом web-приложения или кражу пароля.

При исправлении уязвимостей обычно добавляются дополнительные проверки валидности поступающих из пространства пользователя входных данных (например, проверяется выход за пределы массива). Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).

Вегард Носсум не ограничился теоретическими рассуждениями и представил публике достаточно объёмный патч, добавляющий контрольные уведомления для серьёзных уязвимостей, позволяющих получить права суперпользователя. Для избежания замусоривания кода ядра уведомлениями об устаревших проблемах, предлагается поддерживать только аннотации для уязвимостей, выявленных за последние пять лет. Накладные расходы от использования нового механизма проверки минимальны, а результат работы отражается только в логе, поэтому механизм выявления фактов применения эксплоитов рекомендуется включить по умолчанию.

  1. Главная ссылка к новости (https://lkml.org/lkml/2013/12/...)
Автор новости: Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38714-linux
Ключевые слова: linux, kernel, exploit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (131) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:53, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    На первый взгляд здравая идея.
     
     
  • 2.18, pavlinux (ok), 00:25, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –26 +/
    > На первый взгляд здравая идея.

    Красиво отмазался, менеджером будешь - и воздух потряс и сам не при делах.
    В итоге: КПД = 0%, а тебе бонусы за имитацию бурной деятельности.

    ---

    В общем, реквестую эту фичу в раздел [ Kernel hacking ], а не [ Security options ], там от неё больше пользы будет.
    Кривой софт можно отлаживать.  

     
     
  • 3.21, Аноним (-), 00:40, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Обсуждать обсуждения других - не мешки ворочить
     
     
  • 4.24, pavlinux (ok), 00:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –18 +/
    > Обсуждать обсуждения других - не мешки ворочить

    про себя чтоль?

     
     
  • 5.44, chinarulezzz (ok), 04:34, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    каждый может уйти в рекурсию, но начал её ты :P
     
     
  • 6.46, pavlinux (ok), 05:11, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > каждый может уйти в рекурсию, но начал её ты :P

    Чтоб понять рекурсию, нужно понять рекурсию.
    Рекурсию начал Аноним. https://www.opennet.ru/openforum/vsluhforumID3/93228.html#21

     
  • 3.48, ананим (?), 05:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Кривой софт можно отлаживать.

    Тогда вот это фичу:
    >Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).

    лучше зразу заменить на опцию, когда при передаче параметров выводятся ситуации с граничными значениями.

     
  • 3.95, Аноним (-), 14:50, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В итоге: КПД = 0%,

    Если уж на то пошло, процессоры не производят механической работы и почти не генерируют излучений. Все что они делают - переводят электричество в тепло. Так что их КПД можно считать равным нулю. С другой стороны, нечто подобное можно и про тебя сказать...

     

  • 1.3, Inome (ok), 23:02, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Так, как это пока планируется, это будет работать только на новых ядрах. Вопрос в другом - будет ли старый эксплойт работать на новом ядре ?
     
     
  • 2.14, Исай (?), 00:01, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так, как это пока планируется, это будет работать только на новых ядрах.
    > Вопрос в другом - будет ли старый эксплойт работать на новом
    > ядре ?

    В том то и задумка. Атакующий не знает какую версию ядра атакует. И будет пробовать разные эксплойты. И вот сообщения о срабатывании патча на какие то уже закрытые дыры и будут сыпаться в лог. Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

     
     
  • 3.17, Vkni (ok), 00:20, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

    А по достижении 1000 очков вы принудительно выключаете компьютер? :-)

     
     
  • 4.53, Аноним (-), 09:47, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Сервак вкалывающий  на автомате в серверной, один из 100500 - можно и автоматически выключить, для дальнейшего разбора полетов.
     
     
  • 5.65, Vkni (ok), 11:23, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Сервак вкалывающий  на автомате в серверной, один из 100500 - можно
    > и автоматически выключить, для дальнейшего разбора полетов.

    Спасибо, было смешно.

     
     
  • 6.72, Аноним (-), 11:35, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо, было смешно.

    Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.

     
     
  • 7.85, Аноним (-), 14:31, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > в большой инфраструктуре отказ 1 сервера вообще ничего не решает

    если на этом аппарате не висит несколько виртуальных

     
     
  • 8.90, Аноним (-), 14:37, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ломают обычно как раз виртуалки, т к клиентские службы висят на них ... текст свёрнут, показать
     
  • 8.130, Аноним (-), 18:40, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если у вас виртуализация - зачем вы вообще хост в интернет вывесили Увольте эни... текст свёрнут, показать
     
  • 7.109, www2 (ok), 17:11, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.

    Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.

     
     
  • 8.132, Аноним (-), 18:41, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Как известно, сдуру можно и х сломать ... текст свёрнут, показать
     
  • 8.136, Crazy Alex (ok), 18:44, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Напоминаю - чтобы запустить эти эксплоиты надо же иметь права на запуск в систем... текст свёрнут, показать
     
     
  • 9.144, Vkni (ok), 19:22, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Алекс, не обязательно Достаточно, чтобы невзломанная торчащая в сеть софтина мо... текст свёрнут, показать
     
  • 8.143, Vkni (ok), 19:00, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, только когда будет ложиться с перерывом в 25 минут в течение недели ... текст свёрнут, показать
     
  • 4.71, Pilat (ok), 11:34, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
    > А по достижении 1000 очков вы принудительно выключаете компьютер? :-)

    Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.

     
     
  • 5.110, www2 (ok), 17:16, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
    >> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
    > Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.

    Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере биллинга.

    Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".

     
     
  • 6.111, Pilat (ok), 17:22, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
    > Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере
    > биллинга.
    > Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".

    А у Вас синдром теоретика.

     
     
  • 7.146, Аноним (-), 19:57, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А ты уже реально в продакшене это применяешь? Можно примеров?
     
  • 5.112, freehck (ok), 17:30, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б ему не было.
     
     
  • 6.128, Pilat (ok), 18:34, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б
    > ему не было.

    процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?

     
     
  • 7.134, Аноним (-), 18:42, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
    > хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?

    Рассуждения папуаса на тему принципов работы микроволновки...

     
     
  • 8.138, freehck (ok), 18:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И не говорите Я думал, что готов к любой чуши, но к такому нельзя подготовиться... текст свёрнут, показать
     
  • 8.152, Pilat (ok), 08:05, 25/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    У Вас есть способности к троллингу, продолжайте ... текст свёрнут, показать
     
  • 3.19, pavlinux (ok), 00:35, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так, как это пока планируется, это будет работать только на новых ядрах.
    >> Вопрос в другом - будет ли старый эксплойт работать на новом
    >> ядре ?
    > В том то и задумка. Атакующий не знает какую версию ядра атакует.

    Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно, спрятать версию ядра.

     
     
  • 4.25, Аноним (-), 00:46, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
    > спрятать версию ядра.

    Предлагаю: за каждую попытку версии ядра - помечать бинарник как suspected malware.

    // Табличка "Sarcasm" прилагается.

     
     
  • 5.26, Аноним (-), 00:46, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Предлагаю: за каждую попытку версии ядра

    *узнать версию ядра

     
  • 5.32, rshadow (ok), 01:39, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сарказм или нет, а скайпик первый же в логах засветится...
     
     
  • 6.56, Аноним (-), 10:00, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Сарказм или нет, а скайпик первый же в логах засветится...

    Ну дык всё правильно же: suspected malware.

     
  • 6.68, Аноним (-), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Сарказм или нет, а скайпик первый же в логах засветится...

    Так малвари кусок же.

     
  • 5.74, vitalif (ok), 11:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ну тада главная малварь - это будет /bin/uname ...
     
  • 4.66, Аноним (-), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > спрятать версию ядра.

    $ uname -a
    Linux rocks! I took time machine from da LOR :) 4.0.4 (boring system crap you don't need anyway) WTF? WTF? WTF? GNU/Linux

    Ну вот такое вот безобразие может вернуть uname(). Удачи в хацкинге этой версии ядра....

     
     
  • 5.81, pavlinux (ok), 13:38, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я рад за Opennet! Первый клоун появился только спустя 12 часов!
     
  • 4.73, Pilat (ok), 11:36, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
    > спрятать версию ядра.

    Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.

     
     
  • 5.82, pavlinux (ok), 13:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
    >> спрятать версию ядра.
    > Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
    > ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.

    Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать версию ядра?!"
    - Да как два байта об асфальт! - надо всё пропатчить и пересобрать?!  (с) Шариков.

     
     
  • 6.88, Аноним (-), 14:33, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
    >>> спрятать версию ядра.
    >> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
    >> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
    > Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать
    > версию ядра?!"
    > - Да как два байта об асфальт! - надо всё пропатчить и
    > пересобрать?!  (с) Шариков.

    Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.

     
     
  • 7.92, Аноним (-), 14:38, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
    > в Росатоме, и в РЖД, и в Ростелекоме.

    И только в НПО им. Лавочкина - Арч.

     
  • 7.96, Аноним (-), 14:52, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
    > в Росатоме, и в РЖД, и в Ростелекоме.

    И при этом мы ухитряемся клещиться с штатами. Вот так разок попросит правительство штатов снести активацию "этим кoзлaм", в форме в которой MS будет сложно отказать. И нагнется у нас все рaком, от банкоматов до аэс...

     
     
  • 8.153, ананим (?), 10:52, 25/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего вы это взяли ... текст свёрнут, показать
     
  • 7.147, pavlinux (ok), 21:08, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
    > в Росатоме, и в РЖД, и в Ростелекоме.

    http://hh.ru/vacancy/9478240

     
  • 7.154, ананим (?), 10:54, 25/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.

    Точно!
    У любой секретарше именно она. Судя по пасьянсу.

     
  • 3.27, AI (?), 00:51, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    BSOD же!
     
  • 3.29, demimurych (ok), 00:59, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Здрасти пожалуйста.
    Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация о том что за ядро используется какие сервисы и так далее.
    Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.

    Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее окружение. Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
    не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.

     
     
  • 4.30, pavlinux (ok), 01:25, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
    > не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.

    Ну! - иллюзию рута, иллюзию gcc и его результатов, иллюзию интернета, ...

    Есть в далёкой Австралии мужичок, фанат Xen, так он всем раздавал рута,
    с надписью при входе "Я работаю в XEN, сломай меня если сможешь!",
    Так его особо никто и не ломал, вешали своего irc-демона и сваливали. :)

    Вопрос от журнала "Спамботы и руткиты", наши читатели интересуются, - какая хрен разница, откуда спам слать?

      

     
     
  • 5.37, plain5ence (ok), 02:27, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть шлют в иллюзию интернета, не жалко. Главное, чтобы в этих рутах вместо процессорного времени тоже была только иллюзия.
     
     
  • 6.41, pavlinux (ok), 02:38, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Пусть шлют в иллюзию интернета, не жалко.

    Да он при первом же пинге спалится, Глеб Егорыч.

     
     
  • 7.43, chinarulezzz (ok), 03:18, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нужна иллюзия пинга!
     
     
  • 8.45, pavlinux (ok), 05:06, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    iptables -t matix -I ILLUSION -m neo -s 0 0 -d 0 0 -j ILLUSION --illusion-with h... текст свёрнут, показать
     
     
  • 9.51, PavelR (ok), 08:31, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чет ты зациклился ... текст свёрнут, показать
     
     
  • 10.52, vi (?), 09:42, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Drug-level набирает ... текст свёрнут, показать
     
  • 4.117, Аноним (-), 18:26, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Здрасти пожалуйста.
    > Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация
    > о том что за ядро используется какие сервисы и так далее.
    > Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.

    Это у специалистов называется "уменьшением площади поражения" и делается, вообще говоря, в крайне желательном порядке.

    > Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее
    > окружение. Но почему тогда не пойти дальше и следуя заветам сунь
    > цзы и его искусству войны
    > не создавать иллюзию того что человек рут получил? Ну и так далее
    > и тому подобное.

    Погугли. Удивишься.

     
  • 3.59, Адекват (ok), 10:48, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование
    > на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то
    > команды.

    Вход по ssh - прибитие демона  sshd, c уведомлением админа по почте "так мол и так, обнаружена попытка входа по ssh, есть подозрение на то что это хакеры, демон sshd остановлен", да, вот прям так из Гваделупы в Урюпинск.

     
     
  • 4.70, Аноним (-), 11:30, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вход по ssh - прибитие демона  sshd,

    А что, это мысль: повесить демон на порт иной чем 22, сделать порткнок, а кто влобовую долбится на 22 - просто в файрвол его, пусть netfilter для начала хакает.

     
  • 4.89, Аноним (-), 14:35, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вход по ssh - прибитие демона  sshd, c уведомлением админа по
    > почте

    Тогда уж проще SMS подцепить.

     
  • 3.108, www2 (ok), 17:09, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

    Вот не нужно этого. Делайте с логами что хотите, fail2ban в помощь. Но в ядро это встраивать не нужно - достаточно просто логирования.

     

     ....большая нить свёрнута, показать (53)

  • 1.6, хрюкотающий зелюк (?), 23:05, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мысль неплохая, а раз уже и патч готов - так тем более.
     
     
  • 2.22, Аноним (-), 00:44, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Лишь бы это не перерасло в черезчур умную систему безопасности, и как итог запрещало делать свои вставки в модулях и/или забивать блочное устройство нулями...
     
  • 2.119, Аноним (-), 18:28, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мысль неплохая, а раз уже и патч готов - так тем более.

    В монолитном ядре??????!!!! Ню-ню.

     
     
  • 3.139, Аноним (-), 18:45, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В монолитном ядре??????!!!! Ню-ню.

    Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice). Покажи мне такой номер на каком-нибудь еще ядре? :)

     
     
  • 4.145, Аноним (-), 19:55, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice).

    Оно еще шевелится? Вроде бы оракел купил и придушил.

     

  • 1.8, makky (ok), 23:22, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А база данных эксплойтов будет обновляться как антивирус что ли?
     
     
  • 2.9, imgxx (?), 23:29, 23/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    С выходом новых ядер/ с исправлением уязвимости
     
  • 2.10, IMHO (?), 23:42, 23/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    kasperskyd или kavd будет
     
     
  • 3.55, Аноним (-), 09:55, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    systemd-kisd
     
  • 2.50, nur (?), 07:24, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    дада, здравствуй антивирус для линух!
     
  • 2.67, Pilat (ok), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А база данных эксплойтов будет обновляться как антивирус что ли?

    В данном случае не так важно иметь актуальную базу эксплоитов - так как не эксплоиты ловятся, а их деятельность, причём ловится как раз деятельность устаревшая аж на 5 лет.

     
     
  • 3.150, Аноним (-), 07:02, 25/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > устаревшая аж на 5 лет

    В пределе. А так-то и вчерашняя сгодится.

     
  • 2.120, Аноним (-), 18:28, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А база данных эксплойтов будет обновляться как антивирус что ли?

    Есть идеи умнее?

     

  • 1.11, vbv (ok), 23:50, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Хорошо!
    Допустим, узнали что нас ломают...
    Дальше, что?
     
     
  • 2.13, Аноним (-), 23:59, 23/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Допустим, узнали что нас ломают...
    > Дальше, что?

    Идём искать дырявое web-приложение, через которое смогли запустить эксплоит, и начинаем разбираться каких спамерских ботов, DDos-скриптов и открытых прокси назапускали под тем пользователем. Для того чтобы начать спамить, DDoS-ить и взламывать других можно без root обойтись.

     
     
  • 3.91, Аноним (-), 14:38, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Допустим, узнали что нас ломают...
    >> Дальше, что?
    > Идём искать

    Именно так. http://lenta.ru/news/2013/12/24/utechka/ Ищешь, потом докладываешь в уполномоченный орган, потом тебя наказывают. Если не доложить, накажут еще больше. Так что очень актуальная заметка.

     
     
  • 4.93, Аноним (-), 14:40, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если не доложить, накажут еще больше.

    ЛПП. Если не доложить - не накажут.

     
  • 2.35, PnD (??), 02:00, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий (в списке понятно не значащийся) и на этом ку-ку. Так что разве что для хонейпота сгодится.
     
     
  • 3.69, Pilat (ok), 11:30, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий
    > (в списке понятно не значащийся) и на этом ку-ку. Так что
    > разве что для хонейпота сгодится.

    Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать что какое-то пользовательское приложение, с пользовательскими правами, пытается получить рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при этом может и устоять.

     
     
  • 4.80, Аноним (-), 13:31, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать
    > что какое-то пользовательское приложение, с пользовательскими правами, пытается получить
    > рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при
    > этом может и устоять.

    Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся бесполезны.

     
     
  • 5.84, Pilat (ok), 13:52, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном
    > случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся
    > бесполезны.

    Ну почему же. Отчёт о попытке взлома может уйти до реального взлома. В любом случае цель патча - именно отловить попытки взлома, а не сам взлом или защититься от него.

     
     
  • 6.94, Аноним (-), 14:41, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну почему же. Отчёт о попытке взлома может уйти до реального взлома.

    Логика и здравый смысл подсказывают, что сначала будут тестироваться самые свежие сплойты. И если они сработают, до старых дело не дойдет.

     
  • 5.98, Crazy Alex (ok), 15:05, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Еще раз. Если пытаются рутовать - то уже надо принимать меры, даже если ядро устоит. Потому что уже в систему как-то влезли. То есть да, против 0-day не устоит (хотя может и выжить - допустим, с вариантом ядра не угадал атакующий), но в остальных случаях - отмаякует, а не подарит атакующему шанс, не получив рута, мирно ботнетить и спам слать.
     

  • 1.12, Baz (?), 23:53, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересно будет видеть надстройку, которая будет реализовывать монитор таких событий и предоставлять быстрый доступ к необходимым интерфейсам ответных действий.
     
  • 1.15, Аноним (-), 00:18, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Адназначна плюсовый новость,  а то последнее время только про новые ботнеты видно...
     
  • 1.16, Аноним (-), 00:20, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.
     
     
  • 2.123, Аноним (-), 18:30, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.

    "Ты не поверишь.....", но ядра определяются не только по uname.

     

  • 1.20, A.Stahl (?), 00:35, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Сотрудник компании Oracle ... предложил

    Бойтесь данайцев, дары приносящих.

     
     
  • 2.23, Аноним (-), 00:44, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Сотрудник компании Oracle ... предложил
    > Бойтесь данайцев, дары приносящих.

    Предлагаю запретить принимать в Linux патчи от негров. Ибо.

     

  • 1.33, lucentcode (ok), 01:43, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея интересная. Но лишний код в ядре - это как-то не правильно. Ядро и так объёмное. Может, можно вынести основную часть данного функционала в юзерспейс?
     
     
  • 2.34, all_glory_to_the_hypnotoad (ok), 01:56, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
     
     
  • 3.38, pavlinux (ok), 02:29, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
    > каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.

    echo "%d%d, 0x42a75ed3,$(pidof spambot)" > /proc/'pidof apache2'/smaps
    echo - это попытка взлома?

     
  • 3.40, lucentcode (ok), 02:30, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
    > каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.

    Тоже верно. Нечего засорять ядро. Так в него могут много чего запихать.


     
     
  • 4.75, Andrey Mitrofanov (?), 11:46, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> данный функционал просто не нужен.
    > Тоже верно. Нечего засорять ядро.

    Ну, пусть сделают  trace point-ы, неактивные по умолчанию и практически бесплатные _в _смысле производительности, а к ним ещё auditd, fail2ban или [k]analize какой -- включающий исторожащий следовую полосу. Для тех, кому надо.

    Но да, tracepoint-ы - часть API, для некоторых, и поддерживать конкретные пойнты (=много всех этих) "всегда в будущем", эти некоторые могут не согласиться. А API для перечисления-обнарпужения именно этих t-p -- так прочсто подарок именно тем самым кракерам.

    Зовите академиков и Шнайера!

     

  • 1.42, chinarulezzz (ok), 03:14, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    т.е ядро должно будет поставляться еще с базой данных известных эксплойтов? Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные, чтоб разработчики ядра исправили уязвимость. Зачем вводить проверку в ядро, и к тому же нагружать ядерщиков дополнительной работой? На случай, если я невнимательно слежу за безопасностью и не обновляю ядро с исправлениями?

    Может это на случаи, когда не хочется обновлять парк машин с версиями ядер без исправлений безопасности, полагаясь на "авось никто и не взломает", а когда начнут взламывать - сразу затрубить об этом? Пока гром не грянет, мужик не перекрестится - по оракловски?))

    P.S. Судя по тому, как они исправляют уязвимости в java, я б не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж о самой оракл.

     
     
  • 2.49, count0krsk (ok), 06:11, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я таки вам отрою секрет. Не все админы в России, Индии и Китае, после с геморром развернутого парка машин где-нибудь на аутсорсе, таки следят за ним.
    Доходит до того, что тачка встает колом из-за того, что /log забился. Приезжаешь, чистишь, смотришь не ломанули ли за это время, уезжаешь.
    -----
    Прошло 2 года...
    -----

    Если в логе будет WARNING-WARNING, его можно будет прикрутить к какому-нибудь парсеру, который шлет куда-нибудь мыло, и кто-то принимает меры.
    А не тогда, когда к нему дяди со значками придут выяснять, как так получилось, что с подопечного вам ПК взломали сайт президента.

    -----
    Да, ССЗБ, и поделом. Но с данными патчами мир станет чуточку добрее, разве не так?

     
  • 2.60, Аноним (-), 10:58, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?

    Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ и библиотек - левак в ядро можно и случайно отправить.

     
     
  • 3.76, Andrey Mitrofanov (?), 11:51, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ
    > и библиотек - левак в ядро можно и случайно отправить.

    В смысле _случайно отправить в ядро патч с _уже _известным эксплойтом? :))) Дойдёт до Л.Т. интересно?

    Или ты про аргументы-вызовы? За то _есть trinity http://codemonkey.org.uk/tag/trinity/ , граница на "замке".

     
     
  • 4.100, Crazy Alex (ok), 15:07, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    И как trinity поможет отследить, что твоя (или не твоя) софтина в каки-то случаях шлет в ядро бред?
     
     
  • 5.121, Andrey Mitrofanov (?), 18:29, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И как trinity поможет отследить, что твоя (или не твоя) софтина в
    > каки-то случаях шлет в ядро бред?

    Сколько изней Вселенной понадобится, чтобы обезья^W"твоя (или не твоя) софтина" _случайно послала эекспойт в ядро? И сама в ботнет записалась?

     
  • 2.61, еще один аноним (?), 11:00, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вы совсем невнимательно читаете новость, там же все написано нет При исправлен... большой текст свёрнут, показать
     
  • 2.62, Адекват (ok), 11:05, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > P.S. Судя по тому, как они исправляют уязвимости в java, я б
    > не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж
    > о самой оракл.

    Блин ну что ты разворчался - ну захотели ребята свой бекдор встроить в ядро, ну подумаешь.

     

  • 1.54, Аноним (-), 09:51, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не составляет труда.
     
     
  • 2.126, Аноним (-), 18:32, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не
    > составляет труда.

    Его и удаленно как правило узнать труда не составляет. Открой для себя fingerprinting.....

     
     
  • 3.140, Аноним (-), 18:47, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > fingerprinting.....

    Да, заодно не забудь рассказать как он работает на практике. Пример можно посмотреть в nmap.

     

  • 1.58, Адекват (ok), 10:41, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что-то мне подсказывает что будут ложные срабатывания.
    И если пользователь-админ не будет понимать происходящих процессов, не будет разбираться в предмете, то будет ситуация вида "ой меня взломали, гуглить-гуглиьт-гуглить, патчить, патчить, патчить - сломалось, чинить-чинить-чинить".
     
     
  • 2.63, vn971 (ok), 11:13, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ложное срабатывание мне симпатичней чем отсутствие срабатывания. Хотя, всё ещё от деталей зависит, конечно.
     
     
  • 3.79, Аноним (-), 13:29, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Слышали притчу про человека, который кричал "Волки!"?
     
     
  • 4.87, Andrey Mitrofanov (?), 14:32, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Слышали притчу про человека, который кричал "Волки!"?

    Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей про один популярный в узких кругах продавцов железа дистрибутив.

     
     
  • 5.105, Аноним (-), 15:50, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей

    Миллион мух не может ошибаться.
    Если бы можно было отключить file permissions - их бы тоже отключали.

     
     
  • 6.107, vi (?), 16:51, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей
    > Миллион мух не может ошибаться.
    > Если бы можно было отключить file permissions - их бы тоже отключали.

    file permissions - есть уже давно (это не оправдание, а показатель того, что раньше люди работающие с вычислительной техникой были немного более ответственными и более развитыми в области компьютерных наук).
    Плюс ко всему file permissions "немного" проще в понимании (да он и проще на самом деле).
    SELinux же, сложнее и моложе.

    Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?


     
     
  • 7.113, Аноним (-), 17:59, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?

    Это надо ядро хакать. Типовому автору типовых статей "настроим LAMP в три команды apt-get... ой, то есть yum" это не по силам.

     
  • 3.159, arisu (ok), 23:10, 28/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ложное срабатывание мне симпатичней чем отсутствие срабатывания.

    так не проблема: сделай себе утилиту, которая пишет в сислог «а-а-а-а-а, сплоеты, хацкеры, ламаютспасите!», повешай в крон — и будет тебе ЩАСТЬЕ.

     
  • 2.101, Crazy Alex (ok), 15:10, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так пользователю-хомяку не надо алерты на экран выводить, а в случае нужды в диагностике - кто-то более понимающий в лог глянет. А на сервере - тем более в самый раз, там уже и правила для анализа прикрутить можно. Тем более, что ложные срабатывания могут только вида "баг в клиентском софте" - нефиг мусор в сисколлы слать.
     

  • 1.86, Sw00p aka Jerom (?), 14:32, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    два часа ночи - запустил подборку сплоитов, система записала в логи попытки и один сплоит пробил рута, что дальше ? чистим те самые логи ))

    помоему безнадёжно, народ хнёй страдает в место того, чтобы реально что-то делать

     
     
  • 2.97, хоть бы кто (?), 15:02, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    по-моему  народ херней страдает и пишет на форумах, вместо того, чтобы что-то делать. ))
    как показывает практика, пробить експлоитом какое нибудь web приложение в юзерспейсе гораздо проще, чем поднять привилегии через уязвимость в ядре. а значит - в большинстве случаев уведомление от ядра будет полезным. а логи можно вести на удаленной машине, там же держать и систему мониторинга таких сообщений.
     
     
  • 3.106, Sw00p aka Jerom (?), 16:21, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    там где используют удалённое хранение логов, просто так сплоиты не поюзаешь значить,
    что мешает забить логи и они сротируются а в дальнейшем вовсе затрутся
     
  • 2.102, Crazy Alex (ok), 15:12, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А дальше - в момент подбора, разумеется, ушли нотификейшны на внешнюю систему. Дальше - по обстоятельствам. Где админ зашевелится, где всем пофигу, а где подозрительную систему просто вырубит автоматика до разбирательства.
     

  • 1.99, Аноним (-), 15:05, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Возможно как-то определять все невалидные данные, не только связанные с эксплоитом? Тогда в логи попадут и ошибки программ, которых вроде как быть не должно, и новые неизвестные угрозы. А юзера, который сильно гадит можно банить автоматом.
     
     
  • 2.104, Crazy Alex (ok), 15:16, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Теоретически можно, но на практике - получим жирный оверхед, скорее всего. А так - имеем выборочные тесты именно на поиск уязвимостей.

    Хотя предложенный вами мониторинг как именно отладочная фича (активируемая при соответствующих флагах ядра) имеет право на жизнь, конечно. Но фишка предложенного оракловцами варианта в том, что его можно более-менее уверенно включать по дефолту.

     
  • 2.160, arisu (ok), 23:12, 28/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Возможно как-то определять все невалидные данные, не только связанные с эксплоитом?

    именно дл таких случаев и придуманы коды ошибок, которые система таки возвращает, если её просят о странном. или ты уверен, что входные данные никто вообще не валидирует?

     

  • 1.103, Crazy Alex (ok), 15:13, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как по мне - очень здравая и практически дармовая фича.
     
     
  • 2.148, vi (?), 21:10, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как по мне - очень здравая и практически дармовая фича.

    http://opennet.ru/openforum/vsluhforumID3/93228.html#20

     
  • 2.149, vi (?), 21:12, 24/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как по мне - очень здравая и практически дармовая фича.

    http://opennet.ru/openforum/vsluhforumID3/93228.html#79

     
     
  • 3.155, svsd_val (ok), 13:39, 25/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тут то тебе не человек орёт а ядро тихо шепчет - да и не просто так =)
     
     
  • 4.157, vi (?), 16:08, 27/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну тут то тебе не человек орёт а ядро тихо шепчет -
    > да и не просто так =)

    У ядра и так задач хватает!
    http://http://www.la-samhna.de/samhain/

     
  • 2.161, arisu (ok), 23:13, 28/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как по мне - очень здравая и практически дармовая фича.

    нафиг бесполезная чушь, которая к тому же добавляет в ядро бесполезный код. типичное решение «в корпоративном стиле», по методологии «выключаем мозги, включаем кодогенератор».

     

  • 1.156, psv (??), 16:10, 26/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    индустриальный стиль "решения" :)

    вместо того что бы с таким же интузиазизмом вести набор правил для selinux сделать велосипед незащищающий ни от чего, но вешающий в ядро кучу ифов :)

     
  • 1.158, arisu (ok), 23:02, 28/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надеюсь, эту чушь никто в mainline не возьмёт. пусть там оракуль свой анбрыкабл уродует в уголке.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру