2011-12-22 12:15 keltezéssel, Laborczi Pál írta: > 2011-12-21 20:00 keltezéssel, Magosányi Árpád írta: >> On 12/21/2011 07:43 PM, Laborczi Pál wrote: >>> A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó >>> plain/text jelszavát. >> [] >>> Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, >>> tehát valamelyik frissítéssel kerülhetett bele. >>> >> Én inkább exploitra tippelnék, mint frissítésre. > > > Szerintem a kettő nem zárja ki egymást. > >> Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. >> Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. >> Egész jó doksik vannak a neten. Kezdd talán az owasp-on. >> > Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM > csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, > mert valójában nem sikerült a jelszóküldés. De aki az internetre > közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a > jelszavait már rég ellopták. És hiába változtatja meg, mert azt is > rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki > nem tud az egészről. > > És nem értem a listán csöndet. A nyílt forráskódot használó közösséget > nyilvánvalóan aljas támadás érte. Valaki jelszavakat lopkod és semmi > épkézláb reakció???
Nem akarok vulgáris kifejezést használni, de ha egy jó nő pucéran kiáll a sarokra, és minden arra járó úrra kacéran mosolyog, azt előbb-utóbb megb..szák, ha opensource, ha nem. Szóval a password authentikáción kívül van még más, ami használható, egyrészt. Másrészt az sftp-t tehetted volna chrootba is, sőt azt is megcsinálhattad volna, hogy shell parancsokat ne tudjon használni az ember, és még lehetne sorolni a praktikákat, amelyekhez - nem titok -, tele van a net how-tokkal. _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux