Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Взломана инфраструктура проекта Gentoo на GitHub, opennews (??), 29-Июн-18, (0) [смотреть все] Стоило, значит, продаться, и вот , Аноним (1), 09:20 , 29-Июн-18, (1) +21 // https www opennet ru opennews art shtml num 48715, Аноним (7), 09:34 , 29-Июн-18, (7) +1 Граждане храните свой код в gitlab кассе , если конечно он у вас есть Где-то, Аноним (2), 09:24 , 29-Июн-18, (2) +6 // Угу, можно подумать GitLab не взламывали Граждане, храните ваш код на собственно, Аноним (46), 11:36 , 29-Июн-18, (46) +4 // gitlab можно и на свой сервер поставить, utoplenick (ok), 12:18 , 29-Июн-18, (50) // чтобы его там взломали, Аноним (52), 12:54 , 29-Июн-18, (52) +5 А мне BitBucket больше нравится, Аноним (78), 18:09 , 29-Июн-18, (78) // У богатых свои причуды https cdn fishki net upload post 2018 04 06 2561237 t, Инсайдер (?), 23:43 , 29-Июн-18, (84) Свой код храним в SVN Сборка по трекингу коммитов в Redmine Ничего не имею про, ptr (??), 11:02 , 30-Июн-18, (93) +1 После известных событий, Github открыл охоту на опенсорс , Аноним (-), 09:25 , 29-Июн-18, (3) +2 Ребята не мелочатся , An (??), 09:33 , 29-Июн-18, (6) +2 // Есть ничем не потверждённое мнение, что этот коммит сделан для отвода глаз, чтоб, A.Stahl (ok), 09:36 , 29-Июн-18, (8) +12 // Очень может даже быть, Ano (?), 09:43 , 29-Июн-18, (10) // Я вот не понимаю это же гит, он и запушить то не даст если дерево хоть как то из, kvaps (ok), 09:56 , 29-Июн-18, (11) +5 А ты попробуй пойми Не всё лежит на поверхности Ведь главное - это не статична, Аноним (-), 10:13 , 29-Июн-18, (18) +5 Сломав rebase -i и не сделав заранее старый добрый тарбол, засаживаюсь смотреть , Michael Shigorin (ok), 00:01 , 30-Июн-18, (85) –2 Я тоже всегда ищу под фонарем Там светлее , anonymous (??), 20:49 , 30-Июн-18, (99) reflog - это локальная штука, reflog какира посмотреть не получится, Аноним (112), 19:40 , 28-Ноя-18, (112) Зачем вообще diff делать, залейте по новому свежую ветку и всё , Юрий (??), 10:27 , 29-Июн-18, (23) +3 Видимо есть желание не просто восстановить инфраструктуру, но и разобраться в пр, A.Stahl (ok), 10:45 , 29-Июн-18, (33) +3 Залить рабочую на гит, а копию повреждённой потом изучай , Юрий (??), 10:51 , 29-Июн-18, (35) +3 На жидхабе можно включить перезапись коммитов и сделать git push --force , Аноним (64), 14:41 , 29-Июн-18, (64) +2 Да все ок там Просто ради прикола пару echo добавили тут и там Рекомендую загр, Наркоманка (?), 16:48 , 02-Июл-18, (104) Эта репа на гитхабе была исключительно для приёма pull-реквестов, причем PR-ы не, Аноним (20), 10:21 , 29-Июн-18, (20) и какая же , Аноним (22), 10:24 , 29-Июн-18, (22) Там же подписи, ничего не спрячешь, Crazy Alex (ok), 10:37 , 29-Июн-18, (28) точно микрософт линуксоиды не забыли бы добавить --no-preserve-root, dksbmjdrh (?), 10:08 , 29-Июн-18, (15) +8 // --no-preserve-root не нужен при удалении всех файдов без самого корня , Аноним (27), 10:36 , 29-Июн-18, (27) +4 И это в ебилдах работает Топорно, глупо и по-детски Добавили бы хоть что-то вр, Внимательно читающий (?), 10:20 , 29-Июн-18, (19) +1 // Это сработает, если стоит nosandbox в make conf, что не так по умолчанию, а так , nrndda (ok), 10:45 , 29-Июн-18, (32) +3   // Тут смотря в какую фазу был добавлен rm -rf В фазах pkg_ например pkg_posti, Аноним (20), 10:59 , 29-Июн-18, (40) +1   Эти гм вставили первой строкой в каждый ебилд , Внимательно читающий (?), 11:24 , 29-Июн-18, (43)   Тогда код по идее тоже должен выполниться от рута и без песочницы Но надо прове, Аноним (20), 11:50 , 29-Июн-18, (48)   очередное напоминание линуксойдамкак там доверие к репозиториям поживает паке, J.L. (?), 15:21 , 29-Июн-18, (70)   Но ведь репозитории как раз и не пострадали , Аноним (71), 15:48 , 29-Июн-18, (71) +1   везение или недосмотр , J.L. (?), 15:56 , 29-Июн-18, (72)   Непонимание разницы между первоисточником и зеркалом, соответственно и между их , Michael Shigorin (ok), 00:02 , 30-Июн-18, (86) +1   тоесть то, что тому админу после поблочили учётки на всех серверах вы считаете п, J.L. (?), 13:53 , 30-Июн-18, (98)   Ты умееешь ставить пакеты в не от рута Или у тебя пакеты тарболлы , слакварщик (?), 10:59 , 30-Июн-18, (92)   чисто из любопытства а зачем вам firefox в руте , J.L. (?), 13:40 , 30-Июн-18, (96)   nix например умеет ставить не в рутно пока инструкция установки для линукса буде, J.L. (?), 13:45 , 30-Июн-18, (97)   хотя бы банально для того, чтобы не каждый, вызвавший в нем remote code exec, мо, нах (?), 14:48 , 03-Июл-18, (108)   я не живу всё в хомяк , и фокс от другого юзерано в пакетной системе при устано, JL2001 (ok), 09:42 , 10-Июл-18, (111)   Сатанизм какой-то Оставьте нас в покое У нас и так мало времени, еще и гитхаб , Gentoo Developer (?), 09:38 , 29-Июн-18, (9) // Очередное напомниание о том, что безопасность - это не просто фантом Мы не до, Аноним (-), 10:04 , 29-Июн-18, (14) +1 // Наоборот - надо чётко понимать, от чего именно прикрываешься, и использовать соо, Crazy Alex (ok), 10:41 , 29-Июн-18, (31) +4 // Это да, 1Затягивание гаек по безопасности там, где не требуется, наносит удар п, Аноним (-), 11:09 , 29-Июн-18, (41) +2 Да, так мало времени, что в новости не стали указывать о блокировании аккаунтов , Внимательно читающий (?), 10:29 , 29-Июн-18, (25) А пруф будет Ведь если это перепивший админ или злоумышленник, завладевший паро, Аноним (13), 10:03 , 29-Июн-18, (13) –2 // Админа, чей пароль утёк, уже установили и заблокировали , Аноним (63), 14:41 , 29-Июн-18, (63) +1 некоторое время ебилдов не ждите, Клыкастый (ok), 10:22 , 29-Июн-18, (21) +3 // Да ну https gitweb gentoo org repo gentoo git , Аноним (20), 10:28 , 29-Июн-18, (24) // насыпает Анониму горсть чувства юмора , Клыкастый (ok), 13:51 , 29-Июн-18, (57) +3 Нельзя не ждать ебилдов В этом смысл жызни , Анонимист (?), 10:39 , 29-Июн-18, (29) // Мы не можем ждать ебилдов от мейнтейнеров Написать их - наша задача В И Ленин, Клыкастый (ok), 13:55 , 29-Июн-18, (58) +5 Началось Ждем ответного удара по ауру , Аноним (30), 10:40 , 29-Июн-18, (30) –2 Кстати, я вчера с гитхаба обновлял ебилды существенно раньше 20 00 UTC, и прилет, Crazy Alex (ok), 10:46 , 29-Июн-18, (34) // Но в тот момент это не вызывало особых подозрений , Внимательно читающий (?), 11:29 , 29-Июн-18, (45) // Вызвало, так что обновляться не стал, решил посмотреть поподробнее, когда будет , Crazy Alex (ok), 00:43 , 30-Июн-18, (88) Зачем ты обновлял ebuild ы c репозитория для разработки Он не предназначен для, yep (?), 15:11 , 29-Июн-18, (68) // Обновления ради разработки Не , A (?), 20:51 , 29-Июн-18, (80) // Ты с них систему обновляешь Не надо так делать Этот реп не для обновления дере, yep (?), 20:58 , 29-Июн-18, (81) Проверил - нет, не настолько плох, обновлялся с https github com gentoo-mirror, Crazy Alex (ok), 00:45 , 30-Июн-18, (89) // я пока на всякий случай на обновления через rsync вернулся,а насчёт многих обнов, yep (?), 02:09 , 30-Июн-18, (90) https www gentoo org news 2018 06 28 Github-gentoo-org-hacked htmlтут ещё раз , yep (?), 09:28 , 30-Июн-18, (91) Насамом деле, мелкософт действительно хотел лишь помочь, но что-то пошло не так , шутник (?), 10:55 , 29-Июн-18, (37) +4 // А получилось как всегда , Аноним (42), 11:10 , 29-Июн-18, (42) +1 // Да загадочно подмигивая, опустив при этом голову , шутник (?), 12:17 , 29-Июн-18, (49) +1 там просто после rm -rf был запуск установщика 10-чки Но setup exe не запу, 1 (??), 11:36 , 29-Июн-18, (47) +8 Жесть, вообще Как раз читаю уже несколько дней Gentoo Handbook, собираюсь накат, danonimous (?), 13:15 , 29-Июн-18, (53) // При установке gentoo по handbook скомпрометированные ебилды с жидхаба в систему , Аноним (56), 13:39 , 29-Июн-18, (56) // Это уже неактуальная информация При синхронизации через rsync проверка целостно, Аноним (59), 14:05 , 29-Июн-18, (59) +2 // Каким образом Только что распаковал последний стаж, там sys-apps portage собран, Аноним (56), 16:01 , 29-Июн-18, (73) +1 Ха А стейджи действительно собраны без rsync-verify tar xOf stage3-amd64-2018, Аноним (59), 16:43 , 29-Июн-18, (76) мы пятнадцать лет так собирали, и так раздавали, проверками озаботились вот, на , gentoo (?), 22:07 , 29-Июн-18, (82) +1 Не синхронизируй их при установке , слакварщик (?), 11:14 , 30-Июн-18, (94) У меня она второй день при обновлении через rsync не проходит, обязательно для к, yep (?), 02:17 , 02-Июл-18, (101) Это бывает, когда напоролся на параллельное обновление В таком случае надо повт, SysA (?), 17:41 , 03-Июл-18, (109) Написано, что github использовался также для зеркалирования - это что имеется в , danonimous (?), 14:47 , 29-Июн-18, (65) // Имеется ввиду, что данное зеркало предназначалось для разработчиков, в том числе, yep (?), 15:18 , 29-Июн-18, (69) +4 Т е оно и было выбрано для добавления rm -rf из-за отсутствия контрольных су, danonimous (?), 16:26 , 29-Июн-18, (75) Можно и контрольные суммы было б подменить, если б они там лежали, но пришлось б, yep (?), 16:53 , 29-Июн-18, (77) Не для разработчиков, у девов есть коммит Для юзеров, заместо багзиллы, слакварщик (?), 11:20 , 30-Июн-18, (95) Что есть Девелоперы имеющие права коммитить в webgit gentoo org могут коммитить, yep (?), 02:15 , 02-Июл-18, (100) сколько безысходности в этой фразе а тут ещё PR на GH не отправишь жесть к, Клыкастый (ok), 14:39 , 03-Июл-18, (107) Не натворил бы portage, емнип, не допускает запуска bash команд снаружи функций, yep (?), 02:21 , 02-Июл-18, (102) +1 // а тут говорят что допускаетhttps www opennet ru openforum vsluhforumID3 114710, JL2001 (ok), 09:34 , 10-Июл-18, (110) Вот поэтому я не доверяю новомодным дистрибутивам и мелкомягким Вечно с ними ку, Аноним (55), 13:25 , 29-Июн-18, (55) // небось лфс конпеляешь по ночам , имя (?), 14:39 , 29-Июн-18, (62) +1 // шлакваре - сказано же, новомодным не доверяет Твой lfs, если верить викивракии,, . (?), 14:11 , 03-Июл-18, (106) +1 А в новостях-то киберпреступники , хакеры Но по исполнению похоже на обы, user90 (?), 14:10 , 29-Июн-18, (60) +1 // Иногда то, что лежит на поверхности - это только лишь то, что лежит на поверхнос, Клыкастый (ok), 16:04 , 29-Июн-18, (74) +2 Там они еще и на freenode прыгнули https freenode net news security-update-, кочегар духовки (?), 14:20 , 29-Июн-18, (61) +2 https i imgur com meklXMw jpg, Аноним (66), 15:06 , 29-Июн-18, (66) +4 Видимо французы не любят Генту Странно, думал они любители всяких извращений , VINRARUS (ok), 15:08 , 29-Июн-18, (67) –7 микрософт как никак , Аноним (79), 18:28 , 29-Июн-18, (79) +2 // Да ладно, на первый раз же случайность - Совпадение и закономерность -- два п, Michael Shigorin (ok), 00:08 , 30-Июн-18, (87) +1 ничего не произойдёт в генту ебилды и сборка выполняются в chroot и sandbox е сп, runoverheads (ok), 11:36 , 02-Июл-18, (103) +1 Подробности компроментации не всплыли , Аноним (105), 19:19 , 02-Июл-18, (105) 1,2,3,6,9,13,21,30,34,37,53,55,60,61,66,67,79,103,105

Сообщения

[Сортировка по времени | RSS]

	32. "Взломана инфраструктура проекта Gentoo на GitHub"	+3 +/–
	Сообщение от nrndda (ok), 29-Июн-18, 10:45
	Это сработает, если стоит nosandbox в make.conf, что не так по умолчанию, а так же если кто-то ставит ебилды ручками из-под рута "ebuild *.ebuild merge". В остальных случаях подобные ебилды тупо удалят старые файлы и не поставят ничего, либо вообще свалятся на стадии install с ошибкой sandbox violation. Даже нормальные ебилды порой поставить нельзя, если какой-то код хочет что-то прочитать из /. Так что делал либо дилетант, либо наоборот знающий, но не желающий нанести реального вреда.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Взломана инфраструктура проекта Gentoo на GitHub"	+1 +/–
	Сообщение от Аноним (20), 29-Июн-18, 10:59
	Тут смотря в какую фазу был добавлен rm -rf /. В фазах pkg_* (например pkg_postinst) оно бы сработало.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от Внимательно читающий (?), 29-Июн-18, 11:24
	Эти ...гм... вставили первой строкой в каждый ебилд.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от Аноним (20), 29-Июн-18, 11:50
	Тогда код по идее тоже должен выполниться от рута и без песочницы. Но надо проверять.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от J.L. (?), 29-Июн-18, 15:21
	> Тогда код по идее тоже должен выполниться от рута и без песочницы. > Но надо проверять. //очередное напоминание линуксойдам как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от рута и запускать прост/пред-инстал скрипты?
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Взломана инфраструктура проекта Gentoo на GitHub"	+1 +/–
	Сообщение от Аноним (71), 29-Июн-18, 15:48
	>> Тогда код по идее тоже должен выполниться от рута и без песочницы. >> Но надо проверять. > //очередное напоминание линуксойдам > как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от > рута и запускать прост/пред-инстал скрипты? Но ведь репозитории как раз и не пострадали.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от J.L. (?), 29-Июн-18, 15:56
	>>> Тогда код по идее тоже должен выполниться от рута и без песочницы. >>> Но надо проверять. >> //очередное напоминание линуксойдам >> как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от >> рута и запускать прост/пред-инстал скрипты? > Но ведь репозитории как раз и не пострадали. везение или недосмотр?
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Взломана инфраструктура проекта Gentoo на GitHub"	+1 +/–
	Сообщение от Michael Shigorin (ok), 30-Июн-18, 00:02
	>>> как там доверие к репозиториям поживает? >> Но ведь репозитории как раз и не пострадали. > везение или недосмотр? Непонимание разницы между первоисточником и зеркалом, соответственно и между их копрометацией.  А везением это считать или недосмотром, разберитесь сами...
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от J.L. (?), 30-Июн-18, 13:53
	>>>> как там доверие к репозиториям поживает? >>> Но ведь репозитории как раз и не пострадали. >> везение или недосмотр? > Непонимание разницы между первоисточником и зеркалом, соответственно и между их копрометацией. >  А везением это считать или недосмотром, разберитесь сами... тоесть то, что тому админу после поблочили учётки на всех серверах вы считаете перестраховкой и так как это было "всего лишь зеркало, да и вообще девелоперское" - первоисточники неприкосновенны?
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от слакварщик (?), 30-Июн-18, 10:59
	>> Тогда код по идее тоже должен выполниться от рута и без песочницы. >> Но надо проверять. > //очередное напоминание линуксойдам > как там доверие к репозиториям поживает? пакеты всё ещё правильно ставить от > рута и запускать прост/пред-инстал скрипты? Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы?
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	96. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от J.L. (?), 30-Июн-18, 13:40
	> Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы? чисто из любопытства а зачем вам firefox в руте?
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от J.L. (?), 30-Июн-18, 13:45
	>> Ты умееешь ставить пакеты в / не от рута ? :))) Или у тебя пакеты=тарболлы? > чисто из любопытства а зачем вам firefox в руте? nix например умеет ставить не в рут но пока инструкция установки для линукса будет такая - какая разница куда ставятся пакеты??? wget https://dist.ipfs.io/go-ipfs/v0.4.13/go-ipfs_v0.4.13_linux-a... tar xvf go-ipfs_v0.4.13_linux-amd64.tar.gz cd go-ifps sudo ./install.sh зы: раздел "инсталяция на линукс": Install prebuilt packages We host prebuilt binaries over at our distributions page. From there: Click the blue "Download go-ipfs" on the right side of the page. Open/extract the archive. Move ipfs to your path (install.sh can do it for you). From Linux package managers Arch Linux Nix Snap //недоотправилось раньше
	Ответить | Правка | Наверх | Cообщить модератору

	108. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от нах (?), 03-Июл-18, 14:48
	хотя бы банально для того, чтобы не каждый, вызвавший в нем remote code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри всерьез и надолго. чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы живете во времена ms-dos - "все в хомяк!" ?
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

	111. "Взломана инфраструктура проекта Gentoo на GitHub"	+/–
	Сообщение от JL2001 (ok), 10-Июл-18, 09:42
	> хотя бы банально для того, чтобы не каждый, вызвавший в нем remote > code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри > всерьез и надолго. > чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы > живете во времена ms-dos - "все в хомяк!" ? я не живу "всё в хомяк", и фокс от другого юзера но в пакетной системе при установке точно скрипты запускать от рута не стоит, как и разворачивать пакет сразу на файловую систему без верификации чего он там поназапишет
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема