| |
| 2.7, анон (?), 22:19, 01/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.
| | |
| |
| 3.9, DmitryINdig0 (ok), 22:25, 01/03/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >>Отлично! В "приложении" к статье список потенциальных, вкусных и не очень, жертв.
> Сейчас практически все крупные публичные FTP-серверы с анонимным доступом работают на vsftpd.
...я в отношении списка серверов и версий куда ломиться кулхацкерам
| | |
|
|
| 1.2, Аноним (-), 21:28, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>если не настроен лимит на число соединений с одного IP
Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать
на публичном сервере .... мда ...
P.S. pure-ftpd наше все ;)
| | |
| |
| 2.5, анон (?), 22:14, 01/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Не понял ? Это насколько нужно быть дауном чтобы такое не настаивать на публичном сервере .... мда ...
При достаточном уровне вложенности можно практически любой сервер одним коннектом уложить, так что без разницы.
| | |
| |
| 3.11, Аноним (-), 23:16, 01/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> При достаточном уровне вложенности можно практически любой сервер одним
> коннектом уложить, так что без разницы.
А по подробнее можно ?
P.S. В pure-ftpd по умолчнию стоит -
- '-L <max files>:<max depth>': To avoid stupid denial-of-service attacks
(or just CPU hogs), Pure-FTPd never displays more than 10000 files in response
to an 'ls' command. Also, a recursive 'ls' (-R) never goes further than 5
subdirectories. You can increase/decrease those limits with the '-L' option.
| | |
|
| 2.13, Аноним (-), 23:55, 01/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd, что дальше?
| | |
| |
| 3.14, Аноним (-), 23:59, 01/03/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Когда нашли уязвимости в proftpd все кричали "vsftpd наше ффсьо". Теперь pure-ftpd,
> что дальше?
Ты что из крио-камеры что ли ?
Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
Просто некоторым не нравится его БЗД лицензия ;)
| | |
| |
| 4.15, анон (?), 00:09, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Всю жизнь пуре был более защищеный и более фичастый и более легкий ...
Ага. Помнится, ещё в 2003 году гуляли по нишм лесам remote root сплойты для него.
А сейчас он уже практически дохлый (год как не шевелится).
| | |
| 4.16, Аноним (-), 00:32, 02/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Всю жизнь пуре был более защищеный и более фичастый и более легкий
После появления 0-day remote ROOT exploit (http://www.governmentsecurity.org/forum/index.php?showtopic=10150) и последующих попыток автора pure-ftpd всячески скрыть информацию об этой дыре на pure-ftpd все поставили жирный крест, так как сапер ошибается только один раз. В vsftpd серьезных дыр за всю историю его существования еще не было.
| | |
| |
| 5.18, anonymous (??), 08:28, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> 0-day remote ROOT exploit
И что ? Сейчас есть ?
А ремоте в всфтпд тоже были тот же 205 к примеру ... Так что не нужно ляля.
> так как сапер ошибается только один раз.
Ну ну жди когды следующий раз будешь убит :)
Дело не в том были ли дыра. А как часто их тама находят и насколько быстро патчут.
Как анонимус онли - всфтпд может и тянет. Но у него слишком безобразная работа
с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
токо с такого ип, с такой то скоростью и с 8-00 до 17-00 и тд :(
| | |
| |
| 6.20, Аноним (-), 10:01, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> 0-day remote ROOT exploit
> И что ? Сейчас есть ?
> А ремоте в всфтпд тоже были тот же 205 к примеру ...
remote DoS в vsftpd, требующих дополнительных правок конфига и определенных системных настроек и remote запуск кода с правами ROOT из коробки в pure-ftpd вещи немного разного уровня, не правда ли ? В vsftpd уязвимостей приводящих к local или remote запуску кода отродясь небыло. Более того в vsftpd очень хитрая политика сброса привилегий и использования chroot, так что если и найдут там когда-либо дыру, в чем я сильно сомневаюсь, то эксплуатировать ее будет крайне сложно.
> Дело не в том были ли дыра. А как часто их тама
> находят и насколько быстро патчут.
Дело в качестве кода и отношении к безопасности авторов к проекту. Одной дыры, приводящей к возможности написания эксплоита для удаленного запуска кода, более чем достаточно, чтобы навсегда занести проект в черный список.
> с виртуальными юзерами. Замучишься делать чтобы только такой вот юзер ходил
> токо с такого ип, с такой то скоростью и с 8-00 до
> 17-00 и тд :(
С гибкостью у vsftpd действительно слабовато.
| | |
| |
| 7.23, anonymous (??), 11:30, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> remote DoS в vsftpd, требующих дополнительных правок конфига и определенных
> системных настроек
Каких еще конфигов и настроек ? Кстати решил поглядеть чанж лог на vsftpd и офигел
( я про описание что сделано в 2.3.3 и 2.3.4 ) круто слов просто нет.
Можешь дальше верить во все бредни ;)
( кстати - http://www.governmentsecurity.org/forum/index.php?showtopic=10150 у меня не открывается пишет какая то ошибка бд и лучше на будущее не давать ссылки с каких то левых
форумов )
> Дело в качестве кода и отношении к безопасности авторов к проекту.
Во правильно. Погляди vsftpd в сырцы и поймешь сразу тогда ;)
> С гибкостью у vsftpd действительно слабовато.
Гибксости конечно до фига, она сделана через ж.
И присем автор додумался запихать в парсер конфига в сам демон... мдаааа слов нету просто :)
Кстати сравнивали тут по жручести рама и загрузке проца vsftpd в полной ж... ( отностильно
pure ) ( сранивали при ~ 200 конектах )
| | |
|
|
|
| 4.17, Аноним (-), 05:40, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Pure менее фичастый чем proftpd, но не менее дырявый. Аналогов vsftpd пока нет.
| | |
|
|
|
| 1.4, User294 (ok), 21:58, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Хехе, добрые чуваки. И список потенциальных жертв дали :). Этак скоро начнут встраивать JS по типу LOIC прямо в новость: "click here to pwn 'em".
| | |
| 1.6, анон (?), 22:16, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>надежного, защищенного ... FTP-сервера
>уязвимость, которая может быть использована злоумышленниками для совершения DoS-атаки
Где-то здесь было деление на ноль.
| | |
| 1.10, Аноним (-), 23:03, 01/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да, странно в vsftp такое наблюдать. Что-то, а glob - одно из первых мест где проблемы случаются.
| | |
| 1.21, moralez (?), 10:19, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Неизвестно с какой версии проблема началась. Даже в последнем релизе убунты ещё 2.3-pre. В более старых возможно и не работает.
| | |
|
