The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак

28.02.2018 11:50

Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).

Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз может превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш Memcached большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).

В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 134 КБ (усиление в 9000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.

Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение доступа на уровне межсетевого экрана. Некорректная настройка позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ.

Всплеск DDoS-атак с привлечением memcached зафиксирован 24 февраля и продолжает нарастать. Если первые дни в атаке было задействовано около 400 серверов, то к 28 февраля их число удвоилось. Всего по предварительной оценке в сети насчитывается 93 тысячи общедоступных серверов Memcached, которые потенциально могут быть вовлечены в атаки.

При запуске по умолчанию memcached прикрепляется ко всем сетевым портам и принимает соединения по UDP (для привязки к localhost и отключения UDP следует запускать memcached с опциями "--listen 127.0.0.1 -U 0"). При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам.

Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. Разработчики Memcached оперативно выпустили обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту (для обращения к memcached всеми современными клиентами обычно используется TCP). Для проверки своего сервера на возможность доступа по UDP можно при помощи команд:


   $ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 192.168.1.1 11211
   STAT pid 21357
   STAT uptime 41557034
   STAT time 1519734962
   ...
или

   nmap 192.168.1.1 -p 11211 -sU -sS --script memcached-info
   PORT      STATE         SERVICE
   11211/tcp open          memcache

Дополнение: Зафиксирована рекордная DDoS атака на GitHub. Благодаря применению усилителя на базе memcachced удалось добиться потока в 1.3 терабит в секунду с интенсивностью 126.9 млн пакетов в секунду.



  1. Главная ссылка к новости (http://www.senki.org/memcached...)
  2. OpenNews: Критические уязвимости в Memcached
  3. OpenNews: DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов
  4. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  5. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  6. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: memcached, ddos, udp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (73) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ne01eX (ok), 12:20, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ещё текста (с картинками) на русском: https://habrahabr.ru/company/qrator/blog/350074/
     
  • 1.2, Зануда (?), 12:24, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кб = килобит
    КБ = килобайт
    Ну что сложного? Почему каждый раз люди просто пишут "кб" и вынуждают читателя догадываться (а иногда это невозможно из контекста определить). А разница так-то почти на порядок.
     
     
  • 2.3, Зануда (?), 12:26, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В этой статье же вообще используется Кб в значении КБ.
     
     
  • 3.10, Аноним (-), 12:45, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    тех. спецы знают, что канальная скорость изм. в битах, а прикладной объем в байтах, зачем мне еще думать про какие-то буквы, товарищ читатель )
     
     
  • 4.52, pavlinux (ok), 23:43, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > канальная скорость изм. в битах,...

    боды слышал, не?

     
     
  • 5.72, t28 (?), 11:57, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > боды слышал, не?

    В бодах измеряется скорость манипуляции.

     
  • 2.5, A.Stahl (ok), 12:38, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    На самом деле всё не так уж и плохо. В местах где это действительно важно, таких ошибок нет, а в масштабе подобных новостных статей ошибка на порядок несущественна.
    Хотя откуда вообще такая ошибка берётся мне непонятно. Маленькая литера означает маленький кусок данных, а большая -- большой. Элементарно же.
     
     
  • 3.19, Аноним (-), 13:51, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда вы лезете? Килобит всегда пишут полностью, «Кбит», чтобы не путаться. Какие ещё «маленькие», «большие»?
     
     
  • 4.24, Ага (?), 14:10, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как определить, всегда ли они пишет "Кбит", чтобы не путаться, или нет?
     
     
  • 5.31, Crazy Alex (ok), 15:22, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Очень просто - либо понятно из контекста, либо ты не в теме и тебе пофигу
     
  • 5.42, пох (?), 18:41, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как
    > определить, всегда ли они пишет "Кбит",

    банально - если тебе пишет оператор "вы опять превысили лимит траффика" - это биты (скорее гига, чем кило)
    если админ "ваш бэкап опять не помещается в нашу хранилку" - байты.

     
  • 4.49, Аноним84701 (ok), 21:11, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Откуда вы лезете?

    Подозреваю, что некоторые – с Нибиру.
    >  Килобит всегда пишут полностью, «Кбит», чтобы не путаться.

    33k/56k модемы.
    Факсы — тоже вполне себе официально:
    http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=an&subtype=ca&html
    > 1996
    > Speeds: 28.8K, 26.4K, 24.0K, 21.0K, 19.2K, 16.8K 14.4K, 12.0K, 9.6K, 7.2K, 4.8K, 2.4K, 0-300 bps

     
     
  • 5.69, _ (??), 22:00, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >bps

    Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше

     
     
  • 6.71, Аноним84701 (ok), 00:19, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>bps
    > Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше

    Боды что ли? Не, не согласный я.
    Если bps = baud per second, то получается какое-то масло маслянное, т.к. бод ~ кол. символов в секунду.

     
     
  • 7.74, t28 (?), 12:10, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Верно.
    Там, ЕМНИП, техническая скорость ~3400 бод, что давало 28800 бит/с.
     
  • 7.77, SysA (?), 16:03, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>>bps
    >> Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше
    > Боды что ли? Не, не согласный я.
    > Если bps = baud per second, то получается какое-то масло маслянное, т.к.
    > бод ~ кол. символов в секунду.

    bps - это "bits per second!" или бод!

     
     
  • 8.78, Аноним (-), 16:53, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не или 1 Бод 1 bps ... текст свёрнут, показать
     
  • 4.73, t28 (?), 12:04, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Килобит всегда пишут полностью, «Кбит»

    Ага.
    Некоторые дауны вмето системной единицы с, пишут сек. Это чтобы людЯм понятнЕе было.

     
  • 2.7, АНГЫВНАГЫНВАШЩ (?), 12:42, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    под текстом статьи есть кнопка "Исправить"
     
     
  • 3.8, A.Stahl (ok), 12:44, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вода мокрая.
     
     
  • 4.12, Аноним (-), 12:50, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А Стахл?
     
     
  • 5.21, Аноним (-), 14:04, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    А стахл — стухл
     
  • 2.9, Аноним (-), 12:45, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Кб = килобит
    > КБ = килобайт
    > Ну что сложного?

    По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?

     
     
  • 3.26, Andrey Mitrofanov (?), 14:17, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?

    А киби- какой буквой обхзначается?

    Мне-то не надо, и все эти буквовахтёры ... эээ... шумят без полезного сигнала.

    Но!

    Не смог удержаться, чтом не спросить. Вдруг, что новое... //ну и пошуметь само: пшпшпш, вжвжвжв

     
     
  • 4.29, 1 (??), 14:35, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кибибайт = КиБ
     
     
  • 5.53, pavlinux (ok), 23:47, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > КиБ

    Король и Бульмень?

     
  • 2.14, Аноним (-), 12:54, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Всё просто, те кто учился до 2000-ых пишут килобайт как Кб, а килобит как Кбит.
    КБ и кибибайты это уже новомодные изобретения.

    Килобит как Кб вообще никто никогда не писал и не пишет, это какие-то левые умозаключения.

    Кб для килобайтов  официально допускается  "В качестве графического сокращения наряду с «Кбайт» допускается использование Кб" Русский орфографический словарь. Российская академия наук. Институт русского языка им. В. В. Виноградова, 2012 год. стр 863.

     
     
  • 3.47, RobotsCantPoop (?), 20:37, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.
     
     
  • 4.75, scorry (ok), 15:05, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.

    А вот зря же человека минусуют!

     
  • 2.54, pavlinux (ok), 23:48, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кб = килобит
    > КБ = килобайт
    > Ну что сложного?

    Чайник, чо.

    КБ - это ЕСКДшное сокращение Конструкторского Бюро.

     
  • 2.65, Не занудствуй (?), 10:08, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Вашем замечании не раскрыта тема кибибитов. :)
     
  • 2.79, Ыеуз0 (?), 13:30, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    тожы самое с разделением разрядов запятой, на эвропейский манер. Ужас.
     

  • 1.4, Аноним (-), 12:35, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Про то, что memcached UDP умеет забыли даже разработчики memcached. Не всегда сохранение обратной совместимости идёт во благо.
     
     
  • 2.6, Blind Vic (ok), 12:42, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В Убунту это отключено, так что дело не только в разработчиках.
     
     
  • 3.57, pavlinux (ok), 23:56, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В Убунту это отключено, так что дело не только в разработчиках.

    Во всем виноваты одмины.

     
  • 2.13, пох (?), 12:51, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    они не забыли и udp по сей день является лучшим выбором для подобных приложений.
    Они забили на безопасность своей поделки прямо на этапе ее придумывания - это да.
    В том числе потому, что были - разработчики, думать как админы - не обучены (в данном случае - о том, что проблема будет не у косорукого, не догадавшегося не торчать чем попало во внешние сети, а у совсем других людей).

     
     
  • 3.20, Crazy Alex (ok), 13:56, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не хватало.

    Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо в данном случае все крутилки есть и предельно тривиальны.

     
     
  • 4.22, пох (?), 14:07, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Разработчики продукта и должны думать как разработчики продукта.

    ну правильно, а то ж лохи не будут платить qrator и cloudlflare миллионы денег за защиту от того, что вы наразрабатываете.

    > В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не
    > хватало.

    типикал подтверждение, что и как разработчик ты - г-но. (надеюсь, всем остальным понятно, из чего сделан вывод, а этому экземпляру объяснять не стоит)

    > Корректная интеграция - забота разработчиков систем с мемкешедом и

    а проблема эта, вот удивительно - не разработчиков, а тех, кому прилетело полтерабита в секунду. И сделать с этим они не могут ровно ничего (ну вот разьве что поискать там сип, как некоторые советуют), потому что никак не могут повлиять ни на профнепригодных разработчиков типа тебя, ни на профнепригодных админов миллиарда чужих дерьмовых хостингов.

     
     
  • 5.27, Crazy Alex (ok), 14:25, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не неси фигню, а?

    Абуза прекрасно рубит таких "дерьмохостеров", аж гай шумит. После этого шевелятся они крайне резво.

    Всё остальное - гон человека, не понимающего, кто за что отвечает и какие продукты дохнут, а какие - используются. Ты всерьёз думаешь, что самопальная авторизация в каждой софтине - это хорошо? Оно либо будет крайне тормозным, либо дырявым. Скорее всего - то и другое. И ты ровно так же будешь прикрывать это дело файрволлом и держать во внутренней сети.

    А если бы они не сделали биндинг на 0.0.0.0 - то мемкеш вообще бы не взлетел, а взлетело бы что-то, что не требует никаких настроек полсе установки. Ну просто потому, что он пришёл оттуда, где настройками никто не заморачивается.

    А сейчас если разворачивать его кошерно, то есть в контейнере - один хрен получишь либо приватную сетку, либо явно будешь прописывать, к каким интерфейсам у него досуп есть.

     
     
  • 6.41, пох (?), 18:32, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мнение разработчика о том что он краем уха слышал мне очень интересно, да А гла... текст свёрнут, показать
     
     
  • 7.64, забыл_пароль_от_тигар (?), 09:57, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Верный - очевидно, сразу же цепляться исключительно к loopback (не работало бы
    > на доисторических bsd jails да и хрен бы с ними, это

    а что такое "доисторических bsd jails" ?

     
     
  • 8.70, пох (?), 22:50, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    2005й или когда там мемкэш только изобрели - у jail был только один интерфейс, т... текст свёрнут, показать
     
  • 6.46, Moomintroll (ok), 19:31, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > если разворачивать его кошерно, то есть в контейнере

    Мемкеш в контейнере? Но зачем?

     
     
  • 7.48, пох (?), 20:44, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    они по другому уже не умеют.
     
  • 7.76, scorry (ok), 15:08, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> если разворачивать его кошерно, то есть в контейнере
    > Мемкеш в контейнере? Но зачем?

    Это такая новая иллюзия безопасности.

     
  • 4.23, Аноним (-), 14:07, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной
    > на максимально высокую скорость и простоту, только авторизации и не хватало.
    > Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо
    > в данном случае все крутилки есть и предельно тривиальны.

    Просто разработчики давно здоровьем своей задницы не отвечали за написанное, потому и заботы на каких-то других людей переложены, у которых документации от внедряемого поде⁠лия, окромя твитера и слайдшаре (запрещённой в россии террористической организации), отродясь не было.

     
     
  • 5.28, Crazy Alex (ok), 14:31, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То есть man - это не документация, а слайдшара - террористическая организация. Круть.
     
     
  • 6.43, пох (?), 18:54, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > То есть man - это не документация,

    нет. man sendmail до понимания.

    > а слайдшара - террористическая организация.

    угу. Товарищ майор подтвердит. Кажется, они хостились на серверах террористической организации linkedin (запрещена в России).

     
  • 5.35, Аноним (-), 17:11, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А вы ничего не путаете?! С каких пор разработчики являются экспертами по безопасности?
     
     
  • 6.37, Аноним (-), 17:47, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы ничего не путаете?! С каких пор разработчики являются экспертами по
    > безопасности?

    даун, открывающий по-умолчанию порты на улицу без авторизации, это действительно не эксперт по безопасности.

     
     
  • 7.38, Аноним (-), 17:54, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я бы на их месте - вообще оставлял бы конфиги пустыми. Пусть каждый "крутит" так как хочет и несет ответственность за это сам. Нашли крайних...
     

  • 1.11, Аноним (-), 12:48, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на порт 11211 ;)

    Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов и они не закрыли мемкеш из мира ?

     
     
  • 2.15, пох (?), 12:54, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на
    > порт 11211 ;)

    мм... у меня не сложился, что я делаю не так?
    (а то может это неплохой способ attack mutigation - заодно может и сип где найдется...)

    > Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов
    > и они не закрыли мемкеш из мира ?

    у людей, у которых мемкэш торчит во внешние адреса (админы гoвнохостингов, поскольку у любого другого кэш будет не на фронтенде и при любом раскладе извне недоступен) нет такой проблемы.
    Они либо вообще не знают что у них что-то упало, либо давно уже приставили daemontools/systemd к быстрому автоподнятию и не парятся.

     

  • 1.17, Аноним (-), 13:24, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию

    Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их стали использовать как тяжелое метательное оружие.

     
     
  • 2.18, пох (?), 13:35, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
    > стали использовать как тяжелое метательное оружие.

    видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли, хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим комом - побочный веселый эффект.

     
     
  • 3.25, Аноним (-), 14:10, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
    >> стали использовать как тяжелое метательное оружие.
    > видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
    > хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
    > комом - побочный веселый эффект.

    какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза совсем уже обускорялись?

     
     
  • 4.33, Andrey Mitrofanov (?), 16:13, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>> Я представляю сколько сессий
    > какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза
    > совсем уже обускорялись?

    --Плслушайте, Штирлиц! А Вы в курсе как в нашем мирке интырпрайза размножаются ёооожжжики!?

     
  • 3.30, Аноним (-), 14:40, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
    >> стали использовать как тяжелое метательное оружие.
    > видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
    > хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
    > комом - побочный веселый эффект.

    Вот не надо про ежей! Ежи оне все по талонам!

     
     
  • 4.56, pavlinux (ok), 23:55, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
    >>> стали использовать как тяжелое метательное оружие.
    >> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
    >> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
    >> комом - побочный веселый эффект.
    > Вот не надо про ежей! Ежи оне все по талонам!

    мозг

     

  • 1.32, Ананимус242564248 (?), 15:59, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я не понимаю, баг кто-нибудь в РедХат откроет? Пусть локалхост слушает по-умолчанию, кому надо - поправят конфиг

    Реально, открывайте issue

     
     
  • 2.34, Andrey Mitrofanov (?), 16:15, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все говорят:

    > Реально, открывайте issue

    А ты купи ELLLLLLLLLL суппорт! Рассказать тебе сказочку про бELLLLLLого бычка?

     
  • 2.39, Crazy Alex (ok), 17:56, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Там, где используют RHEL, мемкеш не держат на том же хосте, что и его клиентов, а разворачивают его в приватной подсети и прикрывают файрволлом. Поэтому смысла для редхата делать дефолт localhost-only - никакого.
     
  • 2.44, пох (?), 18:57, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не понимаю, баг кто-нибудь в РедХат откроет?

    могу в rhel 5.2 открыть. На нее есть контракт. Тебе легче станет?

     

  • 1.45, annual slayer (?), 19:16, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ничему монга людей не научила, всё еще слушают не на локалхосте по дефолту
     
     
  • 2.50, kewlhaxzor (?), 21:22, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
    Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто новенькое - настолько дырявое by design, что с его помощью можно поиметь весь мир.

     
     
  • 3.59, annual slayer (?), 02:20, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
    > Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто
    > новенькое - настолько дырявое by design, что с его помощью можно
    > поиметь весь мир.

    и с коачем парой лет ранее я что-то похожее тоже припоминаю

     

  • 1.58, YetAnotherOnanym (ok), 01:06, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе - давайдавайдавай быстрейбыстрейбыстрей, десять заданий с дедлайном вчера и ещё новые валятся - я не удивлён, что у них Memcached наружу торчит ничем не прикрытый.
     
     
  • 2.60, pavlinux (ok), 02:22, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей
    > прошлой работе - давайдавайдавай быстрейбыстрейбыстрей,

    ты с кем это?

     
  • 2.63, пох (?), 09:09, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе

    даже (на самом деле - _тем_более_) в таких условиях - не иметь на сервере файрволла с дефолтным поведением DROP, и не открывать порт, нужный только локально, для всех подряд - это, извиняй, подтверждение полного непрофессионализма.

    поэтому, видимо, они там и работают - больше никуда парашутиста-торопыгу не берут, а на его место стоит очередь из еще сотни неумех, умеющих только быстро-быстро перебирать тикеты в тикетнице.

     
     
  • 3.66, YetAnotherOnanym (ok), 13:17, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А другие туда и не идут. Я тоже сбежал, потому что отношение - "все 24 часа в сутки моего работника принадлежат мне". Я там сидел до 10-11 вечера, разгребал навоз и затыкал дыры, а когда время, уходящее на реагирование на инциденты уменьшилось, так что появилось время на какое-то развитие, хозяин решил, что я недозагружен и должен ещё и счета разносить. Тогда я плюнул и ушёл.
     

  • 1.61, Джон Ленин (?), 02:41, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >(усиление в 9000 раз)

    Over9k!!! O_o

     
  • 1.67, Аноним (-), 17:19, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром

    Плохая рекомендация, негодная. Вот хорошая:

    Рекомендуется запретить доступ ко всем сетевым портам из внешних сетей, разрешив только необходимые.

    У хорошо настроенного админа левый глаз должен дёргаться всякий раз, когда он видит, как сетевой интерфейс поднимается до настройки фаерволла. АЖ ТРИСЁТ!

     
     
  • 2.68, Stop (?), 18:48, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > У хорошо настроенного админа
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру