mboost-dp1
The Apache Software Foundation
Problemet er vel lige så stort på Windows Apache servere, som på Mac Apache servere, som på Linux apache servere?
Desuden syntes jeg at det er værd at ligge mærke til at problemet opstår når der bliver forbundet fra brugere der benytter sig af Yahoo messenger og Quicktime etc. Hvilket overhovedet ikke findes til Linux i Native version hvertfald.
Men tror da det er generelt at der kommer "stærkere" angreb på servere hos private brugere og sådan mindre sider, da det er her svaghederne ligger og ikke hos de store drenge der bruger millioner på at holde skidtet ude?
Desuden syntes jeg at det er værd at ligge mærke til at problemet opstår når der bliver forbundet fra brugere der benytter sig af Yahoo messenger og Quicktime etc. Hvilket overhovedet ikke findes til Linux i Native version hvertfald.
Men tror da det er generelt at der kommer "stærkere" angreb på servere hos private brugere og sådan mindre sider, da det er her svaghederne ligger og ikke hos de store drenge der bruger millioner på at holde skidtet ude?
#2
jeg antager at ved at sige windows, mener han iis... og så vidt jeg ved er der ikke et sikkerhedshul i iis der har ladet 10000 servere blive inficeret med et rootkit. (også til #4)
man kan sige meget, men her er vel et eksempel på at linux brugere ikke skal være så hellige med at deres systemer og deres programmer er så evig bedre.
det handler bare om der er en der finder et hul, og derefter udnytter det.
jeg antager at ved at sige windows, mener han iis... og så vidt jeg ved er der ikke et sikkerhedshul i iis der har ladet 10000 servere blive inficeret med et rootkit. (også til #4)
man kan sige meget, men her er vel et eksempel på at linux brugere ikke skal være så hellige med at deres systemer og deres programmer er så evig bedre.
det handler bare om der er en der finder et hul, og derefter udnytter det.
#5 He he, lad os prøve at tælle sammen alle sikkerheds fejl (Bare i XP) siden 2001 og de sikkerheds fejl fundet i linux i tidens løb og se hvem der kommer på top listen. Bagefter kan vi så se hvem der indeholder rekorten i at tage længst tid om at komme med en løsning på de problemer...
Linux er ikke fejlfrit, nej. Men det er windows langtfra hellere ikke...
Linux er ikke fejlfrit, nej. Men det er windows langtfra hellere ikke...
#7: Det er nemt at stille det så simpelt op, men virkeligheden er mere kompleks end som så, der er forskellige brugergrupper og forskellige hensyn at tage. Desuden har Windows pga. bl.a. udbredelse og et generelt had til Microsoft i blackhat miljøet altid været et interessant mål.
XP er desuden ikke særligt interessant, det er et meget gammelt operativsystem der først med SP2 blev bare nogenlunde sikkert at anvende til Internet-brug.
At kigge på fejl i et historisk perspektiv giver ikke mening i den her sammenhæng, Microsoft var ganske rigtigt lang tid om at prioritere sikkerhed højt på dagsordenen, men den ER sevet ind og der er idag et meget stort fokus på sikkerhed indenfor Microsoft-verdenen og det er vel dét der tæller og ikke hvor dårligt det historisk har set ud.
XP er desuden ikke særligt interessant, det er et meget gammelt operativsystem der først med SP2 blev bare nogenlunde sikkert at anvende til Internet-brug.
At kigge på fejl i et historisk perspektiv giver ikke mening i den her sammenhæng, Microsoft var ganske rigtigt lang tid om at prioritere sikkerhed højt på dagsordenen, men den ER sevet ind og der er idag et meget stort fokus på sikkerhed indenfor Microsoft-verdenen og det er vel dét der tæller og ikke hvor dårligt det historisk har set ud.
Humlen er vel at folk er for dårlige til at få opdateret deres apache servere. Og for dårlige til at sikre deres server i det tilfælde at der skulle være en smutter imellem.
#8
udbredelsen er det absolut dårligste argument. Du kommer sjovt nok selv med hvorfor når du skriver at Microsoft først nu her er begyndt at tage sikkerheden seriøst.
#8
udbredelsen er det absolut dårligste argument. Du kommer sjovt nok selv med hvorfor når du skriver at Microsoft først nu her er begyndt at tage sikkerheden seriøst.
#9: Hvad gør udbredelse til det absolut dårligste argument? Selvfølgelig spiller det da også en rolle.
Jeg er ret sikker på crackere hellere vil finde et hul der potentielt kan ramme 1 millard computere, fremfor at lede efter huller til et OS der har en promille af det potentiale.
Jeg er ret sikker på crackere hellere vil finde et hul der potentielt kan ramme 1 millard computere, fremfor at lede efter huller til et OS der har en promille af det potentiale.
Hvorfor kan der ikke oprettes en nyhed på Newz med "Linux", "Windows" eller "Mac" i overskriften uden der starter en masse unødig flame?
Den fejl, som bliver udnøttet, er den blevet rettet? Skyldes fejlen at systemadministratorerne ikke har fået opdateret systemerne i tide? Etc, etc. Sådanne ting kunne være rare at vide i sådan en nyhed.
Den fejl, som bliver udnøttet, er den blevet rettet? Skyldes fejlen at systemadministratorerne ikke har fået opdateret systemerne i tide? Etc, etc. Sådanne ting kunne være rare at vide i sådan en nyhed.
Hvorfor er det folk elsker den debat om hvad der er mest sikkert? I sidste ende er det relevante spoergsmaal hvad der er interessant at angribe og om det er sikkert nok i forhold til det, og her har udbredelse da i aller hoejeste grad noget at sige.
For eksempel er det ikke interessant at lave spyware til Linux, hvorfor? Der er ikke nok der bruger det og gennemsnitsbrugeren (dvs ikke alle, men de fleste) ved linux ville ikke vaere dumme nok til at aktivere halvdelen af det der er der ude. Hvis man laver spyware gaar man efter windows hvor man kan faa ram paa 5 mia, hvorimod paa Linux ville man maaske ramme 100,000, ren logik, jeg ville ikke gide ramme Linux, der er flere penge i det andet.
Hvis man som i det her eksempel vil ramme webservere gaar man da paa Apache, da den er mest udbredt, og Apache er mest normalt under Linux, that's life. Selv om iss dog er paa stor fremgang for tiden, hvilket ogsaa goer den interessant.
Saa jo udbrdelse har en del at sige, men man skal heller ikke goere det til den hellige gral i hvorfor der er markant flere til Windows, for hvis Linux var lige saa udbredt, saa ville der vaere markant flere, men der er nogle generelle sikkerhedssystemer i Linux som goer, at skaden ville vaere mindre (taget udgangspunkt i brugeren ikke er dum nok til at aktivere det med root-access hvilket de fleste Linux distro'er goer at de faerreste brugere ville goere tilfaeldigt).
Og jo Microsoft har vaeret alt for laenge om at goere noget ved sikkerheden, men man maa altsaa give dem, de er begyndt at goere et solidt stykke arbejde paa den front, haaber de vil blive ved, da det vil goere den almene forbruger meget godt.
Til slut vil jeg give ret i, at det viser hvor vigtigt det er at holde sine systemer opdaterede, jeg har ikke laest den komplette artikel endnu, saa ved ikke om det blokerer dette problem, men ellers man skal aldrig vide sig 100% sikker fordi man er opdateret, den vaerste fejl i denne kamp er fejl 40, og den er der desvaerre ingen patch til.
For eksempel er det ikke interessant at lave spyware til Linux, hvorfor? Der er ikke nok der bruger det og gennemsnitsbrugeren (dvs ikke alle, men de fleste) ved linux ville ikke vaere dumme nok til at aktivere halvdelen af det der er der ude. Hvis man laver spyware gaar man efter windows hvor man kan faa ram paa 5 mia, hvorimod paa Linux ville man maaske ramme 100,000, ren logik, jeg ville ikke gide ramme Linux, der er flere penge i det andet.
Hvis man som i det her eksempel vil ramme webservere gaar man da paa Apache, da den er mest udbredt, og Apache er mest normalt under Linux, that's life. Selv om iss dog er paa stor fremgang for tiden, hvilket ogsaa goer den interessant.
Saa jo udbrdelse har en del at sige, men man skal heller ikke goere det til den hellige gral i hvorfor der er markant flere til Windows, for hvis Linux var lige saa udbredt, saa ville der vaere markant flere, men der er nogle generelle sikkerhedssystemer i Linux som goer, at skaden ville vaere mindre (taget udgangspunkt i brugeren ikke er dum nok til at aktivere det med root-access hvilket de fleste Linux distro'er goer at de faerreste brugere ville goere tilfaeldigt).
Og jo Microsoft har vaeret alt for laenge om at goere noget ved sikkerheden, men man maa altsaa give dem, de er begyndt at goere et solidt stykke arbejde paa den front, haaber de vil blive ved, da det vil goere den almene forbruger meget godt.
Til slut vil jeg give ret i, at det viser hvor vigtigt det er at holde sine systemer opdaterede, jeg har ikke laest den komplette artikel endnu, saa ved ikke om det blokerer dette problem, men ellers man skal aldrig vide sig 100% sikker fordi man er opdateret, den vaerste fejl i denne kamp er fejl 40, og den er der desvaerre ingen patch til.
#16
Artiklen er ret mangelfuld ren teknisk.
(er der nogen som kender en bedre ?)
Som jeg læser det så:
- udnyttes en svaghed client side til at liste noget malware ind
- dette malware hapser password naar admin ssh'er ind på server og installerer et rigtigt grimt rootkit på serveren
- dette rootkit server så noget JavaScript til andre (som formentligt hjælper til at inficere endnu flere maskiner)
Artiklen er ret mangelfuld ren teknisk.
(er der nogen som kender en bedre ?)
Som jeg læser det så:
- udnyttes en svaghed client side til at liste noget malware ind
- dette malware hapser password naar admin ssh'er ind på server og installerer et rigtigt grimt rootkit på serveren
- dette rootkit server så noget JavaScript til andre (som formentligt hjælper til at inficere endnu flere maskiner)
Jackson says he is aware there is “proof-of-concept code” for a similar attack based on automated stolen-password and malware installation for Microsoft’s Internet Information Server, but he hasn’t seen it come into broad use the way the automated Linux Apache server attack is spreading.
Så burde linux / windows diskussionen være slut.
Som jeg forstår det bruges serveren til at spredde rootkits til besøgende på serveren. Sjovt der ikke er mere fokus på end-user. Virker ikke som om serveren tager nævneværdig skade af det.
#5
Mener du siden Code Red ramte over 350.000 IIS-maskiner i 2001?
Eller tæller det ikke, fordi de defacer i stedet for at "root-kitte"?
Code Red og Nimda er i øvrigt det malware som har ramt mig hårdest. De floodede begge mine Apache-logfiler til et punkt, hvor jeg måtte filtrere dem for at kunne bruge dem til noget fornuftigt.
Ét eksempel, og straks er al open source lige så slemt som selv de værste stykker software?
Jeg er bange for at det siger mere om dig, end om sikkerheden i open source. Ikke for at være personlig, men det argument kunne altså have været mere gennemtænkt.
og så vidt jeg ved er der ikke et sikkerhedshul i iis der har ladet 10000 servere blive inficeret med et rootkit.
Mener du siden Code Red ramte over 350.000 IIS-maskiner i 2001?
Eller tæller det ikke, fordi de defacer i stedet for at "root-kitte"?
Code Red og Nimda er i øvrigt det malware som har ramt mig hårdest. De floodede begge mine Apache-logfiler til et punkt, hvor jeg måtte filtrere dem for at kunne bruge dem til noget fornuftigt.
man kan sige meget, men her er vel et eksempel på at linux brugere ikke skal være så hellige med at deres systemer og deres programmer er så evig bedre.
Ét eksempel, og straks er al open source lige så slemt som selv de værste stykker software?
Jeg er bange for at det siger mere om dig, end om sikkerheden i open source. Ikke for at være personlig, men det argument kunne altså have været mere gennemtænkt.
Der er nogle saftige tekniske detaljer her:
"SecureWorks Discovers Protection Against Massive Website Attack Infecting 10,000 Linux/Apache Servers"
http://www.secureworks.com/research/threats/linuxs...
"SecureWorks Discovers Protection Against Massive Website Attack Infecting 10,000 Linux/Apache Servers"
http://www.secureworks.com/research/threats/linuxs...
#10
Nu er det jo heller ikke Apache selv der bliver udnyttet huller i, det er primært almindeligt brugte web applikationer, php osv.
Og nu har der altså været sikkerhedsopdateringer til .Net siden 2003. Hvor mange sikkerhedsopdateringer der har været til selve apache siden 2003 aner jeg ikke.
Nu er det jo heller ikke Apache selv der bliver udnyttet huller i, det er primært almindeligt brugte web applikationer, php osv.
Og nu har der altså været sikkerhedsopdateringer til .Net siden 2003. Hvor mange sikkerhedsopdateringer der har været til selve apache siden 2003 aner jeg ikke.
#5
Åh lad os se, hvad var den første kommentar til denne nyhed nu.
Så skulle du måske ikke udtale dig om ting du ikke ved noget om.
man kan sige meget, men her er vel et eksempel på at linux brugere ikke skal være så hellige med at deres systemer og deres programmer er så evig bedre.
Åh lad os se, hvad var den første kommentar til denne nyhed nu.
Jeg antager at ved at sige windows, mener han iis... og så vidt jeg ved er der ikke et sikkerhedshul i iis der har ladet 10000 servere blive inficeret med et rootkit. (også til #4)
Så skulle du måske ikke udtale dig om ting du ikke ved noget om.
Jeg håber da virkelig ikke at du snakker om bla. windows firewall når du snakker om at windows er ved at forstår sig på sikkerhed i deres systemer.
For den kunne de da ligeså godt undlade.
Linux er ikke et 100% perfekt styresystem uanset hvilken distro vi snakker om. Det har skam også sine fejl og mangler. Men hvis man samligner fordele og ulemper ved både Windows og Linux, så er de fejl og mangler i Linux til at leve med, hvorimod windows ikke er. En af de værste ting ved windows, som gjorde at jeg gang på gang var ved at smide min computer ud ad vinduet, er deres skide reg databse som sløver maskinen ned ufattelig meget, fordi man tillader sig at installere ALLE de programmer man gerne vil have.
Og med hensyn til sikkerhed, så er Linux et af de mest sikre styresystemer at køre med. Den kattegori ligger windows ikke indenfor. Har det aldrig gjort, og tvivler jeg på det nogen sinde kommer til. At et 3rd party program så går ind og lukker op for et eller andet, er noget helt andet. Det kan man ikke rigtigt give Linux skylden for. Windows derimod har aldrig haft brug for hjælp af 3rd party programmer, for at åbne diverse huller i deres systemer...
For den kunne de da ligeså godt undlade.
Linux er ikke et 100% perfekt styresystem uanset hvilken distro vi snakker om. Det har skam også sine fejl og mangler. Men hvis man samligner fordele og ulemper ved både Windows og Linux, så er de fejl og mangler i Linux til at leve med, hvorimod windows ikke er. En af de værste ting ved windows, som gjorde at jeg gang på gang var ved at smide min computer ud ad vinduet, er deres skide reg databse som sløver maskinen ned ufattelig meget, fordi man tillader sig at installere ALLE de programmer man gerne vil have.
Og med hensyn til sikkerhed, så er Linux et af de mest sikre styresystemer at køre med. Den kattegori ligger windows ikke indenfor. Har det aldrig gjort, og tvivler jeg på det nogen sinde kommer til. At et 3rd party program så går ind og lukker op for et eller andet, er noget helt andet. Det kan man ikke rigtigt give Linux skylden for. Windows derimod har aldrig haft brug for hjælp af 3rd party programmer, for at åbne diverse huller i deres systemer...
Det kan da være fuldstændig lige meget om folk vælger Windows/Linux/mac.. Hvis software ikke bliver opdateret er ingen af dem sikre.
Intet er bedre end dem der sætter det op og vedligeholder det.
Et OS er lige som et værktøj hvor man taget det man er fortrolig med og som man synes passer bedste til opgaven.
Jeg finder det dog lidt morsomt med alt den snak om Windows eller Linux er mest sikkert - Hvor bliver BSD af i denne diskution som desvære er et overset OS selvom det fleste jo ved de er kendt for deres høje sikkerhed.
Intet er bedre end dem der sætter det op og vedligeholder det.
Et OS er lige som et værktøj hvor man taget det man er fortrolig med og som man synes passer bedste til opgaven.
Jeg finder det dog lidt morsomt med alt den snak om Windows eller Linux er mest sikkert - Hvor bliver BSD af i denne diskution som desvære er et overset OS selvom det fleste jo ved de er kendt for deres høje sikkerhed.
#24
Jeg tror at forskellen på BSD og Linux ikke er så væsentlig, for de fleste i denne slags diskutioner.
Bare rolig, jeg siger ikke at der ikke er væsentlig forskel på de to. Men når vi snakker om forskellen i hvordan sikkerhed fungerer på Windows og Linux, hvor har BSD så et 3. alternativ?
Du må meget gerne bidrage med noget BSD-viden, hvis der er noget interessant at fortælle. :)
Hvor bliver BSD af i denne diskution
Jeg tror at forskellen på BSD og Linux ikke er så væsentlig, for de fleste i denne slags diskutioner.
Bare rolig, jeg siger ikke at der ikke er væsentlig forskel på de to. Men når vi snakker om forskellen i hvordan sikkerhed fungerer på Windows og Linux, hvor har BSD så et 3. alternativ?
Du må meget gerne bidrage med noget BSD-viden, hvis der er noget interessant at fortælle. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund