The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.03.2018 22:07  Утечка параметров аутентификации через незащищённые серверы etcd

Исследователь безопасности Giovanni Collazo опубликовал результат анализа некорректно настроенных распределённых хранилищ etcd, принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.

Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.

Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch.

  1. Главная ссылка к новости (https://elweb.co/the-security-...)
  2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
  3. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  4. OpenNews: Незащищённые Hadoop-серверы отдают более 5 Пб данных без аутентификации
  5. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: etcd, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AntonAlekseevich (ok), 22:25, 25/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Мораль такова, надо нормально настраивать конфиги демонов.
    А ещё лучше обкатывать каждый .+ конфиг через каждый эксплоит-тест.
    А ЕЩЁ лучше не использовать etcd на критических объектах.
     
     
  • 2.19, Аноним (-), 00:48, 26/03/2018 [^] [ответить]    [к модератору]
  • +/
    > А ЕЩЁ лучше не использовать etcd на критических объектах.

    Внезапный вывод. Может поделишься с менее смышлёными, чем же так плох etcd на «критических объектах»?

     
     
  • 3.22, Аноним (-), 01:55, 26/03/2018 [^] [ответить]    [к модератору]
  • +12 +/
    > чем же так плох etcd на «критических объектах»?

    Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.

    Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.

    Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.

    В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.

    Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).

    Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.

    Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.

    Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.

    Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.

    И всё повторится заново.

     
     
  • 4.25, Аноним (-), 04:23, 26/03/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
    Если очень надо из интернета соединяться можно ssh тунель делать
     
     
  • 5.58, XoRe (ok), 16:04, 26/03/2018 [^] [ответить]    [к модератору]
  • +9 +/
    > Полно протаколов не поддерживающих аудантифирацию и шифрование и что?

    Вы заставляете мои глаза кровоточить.

     
  • 4.27, Аноним (-), 05:03, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    etcd 8212 специализированное хранилище Его в основном используют для взаимод... весь текст скрыт [показать]
     
     
  • 5.37, Moomintroll (ok), 10:56, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > будет никогда не меняемый пароль, который будут руками забивать в каждый образ

    Puppet/Ansible/Chef/Saltstack...

     
     
  • 6.41, Аноним (-), 13:12, 26/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А плейбуки с паролями будут на гитхабе лежать?
     
     
  • 7.42, kazh (?), 13:43, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А плейбуки умеют генерить пароли.
     
     
  • 8.44, Аноним (-), 14:05, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Пересобирать весь кластер ежемесячно ради смены пароля?
     
     
  • 9.75, mogwai (ok), 07:16, 27/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Или использовать лдап и цербера
     
  • 7.68, angra (ok), 21:14, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    8220 Vault 8221 is a feature of ansible that allows keeping sensitive data s... весь текст скрыт [показать]
     
  • 5.47, пох (?), 14:17, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    в этом месте обычно поднимают табличку BULLSHIT три слова совпали,ага посколь... весь текст скрыт [показать]
     
  • 5.76, Аноним (-), 07:45, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    В hashicorp эту проблему помешали, но красношляпа такая шляпа
     
  • 4.85, Аноним (-), 14:43, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.
     
  • 3.90, AntonAlekseevich (ok), 14:02, 05/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Это не внезапный выход, а перенос Театра безопасности в компьютерную сферу На... весь текст скрыт [показать]
     
  • 2.24, Аноним (-), 04:21, 26/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    мораль такова. Нужно включить фаервол на блокирование всех входящих соединений кроме нескольких нужных.
     
     
  • 3.46, Crazy Alex (ok), 14:14, 26/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Причём этой морали лет 20 уже как минимум. А дле некоторых оно до сих пор не очевидно почему-то
     
     
  • 4.62, anonymous (??), 17:07, 26/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Это понятно. Но куча серверного софта становится не нужна при таком раскладе. Тот же мускуль. Нафиг ему сервер, когда его уже никто в здравом уме наружу не выставляет?
     
  • 4.69, angra (ok), 21:20, 26/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипстеры еще не пришли в IT и не наделали всяких nosql БД без аутентификации.
     
     
  • 5.84, Аноним (-), 14:37, 27/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Нужно было всегда, и 10 лет тому, и 20, и 500 До идеи 171 кого надо пущать, о... весь текст скрыт [показать]
     
     
  • 6.86, angra (ok), 16:34, 27/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Попробуй обосновать Или ты привык следовать догмам, а не пользоваться мозгом П... весь текст скрыт [показать]
     
  • 3.49, пох (?), 14:17, 26/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > мораль такова. Нужно включить фаервол на блокирование всех входящих соединений

    еще лет через двадцать ты поймешь, что и исходящих тоже.

     
  • 2.88, Легион (?), 23:05, 28/03/2018 [^] [ответить]    [к модератору]  
  • +/
    etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.
     
     ....нить скрыта, показать (23)

  • 1.2, Анотоним (?), 22:29, 25/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –22 +/
    Он русские сервра проанализировал Давайте пригласим на семинар Статья 272 УК Р... весь текст скрыт [показать]
     
     
  • 2.3, Crazy Alex (ok), 22:32, 25/03/2018 [^] [ответить]    [к модератору]  
  • +21 +/
    Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
     
     
  • 3.5, ага (?), 22:52, 25/03/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    Таков типичный девопс
     
     
  • 4.21, vantoo (ok), 01:21, 26/03/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Тогда нечего удивляться Новомодные хипстеры-девопсы это такие мартышки, которые... весь текст скрыт [показать]
     
     
  • 5.39, Аноним (-), 12:25, 26/03/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    удалить и накатать образ стоит 15 минут и 2 бакса на админа,
    разобраться что же не так - потребует 2 часа и дорогого админа.

    Сами же понимаете что лучше для бизнеса ?

     
     
  • 6.50, пох (?), 14:19, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство д... весь текст скрыт [показать]
     
     
  • 7.63, anonymous (??), 17:09, 26/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Через пару месяцев про этот "бизнес" никто не вспомнит. А банкротство - это часть рабочего процесса. И никакие 5-10 килобаксовые девопсы это не изменят.

     
  • 5.45, Crazy Alex (ok), 14:12, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну я вот более вменяемых вижу. А здесь карикатура какая-то
     
  • 3.7, anonymous (??), 23:24, 25/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Это он намекает на то, что исследователь безопасности у нас рискует присесть. Поэтому и чесаться, будучи админом, не имеет смысла.
     
     
  • 4.13, pavlinux (ok), 00:28, 26/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    >... исследователь безопасности у нас рискует присесть.

    Ну не присесть, но объяснительную напишешь :)

     
     
  • 5.28, anonymous (??), 08:56, 26/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Лет 10 назад может быть. Сейчас уже не уверен.
     
  • 4.71, Анотоним (?), 21:46, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по... весь текст скрыт [показать]
     
  • 2.6, Аноним (-), 23:18, 25/03/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Поэтому надо оставаться анонимом Слишком много сброда всякого кругом ... весь текст скрыт [показать]
     
     
  • 3.26, YetAnotherOnanym (ok), 04:37, 26/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > копирования не было

    Кагбэ, именно что было: "рекурсивный запрос всех ключей ("GET http://..."

     
     
  • 4.43, Аноним (-), 13:48, 26/03/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Запрос ключей чтобы посчитать статистику.
     
  • 2.9, IRASoldier (?), 23:27, 25/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не им... весь текст скрыт [показать]
     
     
  • 3.11, anonymous (??), 23:56, 25/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Ты прям Америку переоткрыл Статей уголовных вагон Поэтому любая деятельность, ... весь текст скрыт [показать]
     
     
  • 4.17, Аноним (-), 00:38, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарн... весь текст скрыт [показать]
     
     
  • 5.23, anon66 (?), 03:30, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    если хотите разобраться ищите "яхве против баала". как осилите копайте дальше. всё не так просто как малюют уже 6 тыс. лет.
     
     
  • 6.38, IRASoldier (?), 11:19, 26/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ...когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов facepalm.jpg
     
  • 5.29, anonymous (??), 08:59, 26/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Какая есть. Никто же не виноват, что людишки не могут без регулирования.


     
     
  • 6.33, anonymous (??), 10:13, 26/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    да да да
     
     
  • 7.34, anonymous (??), 10:14, 26/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Я  так думаю!
     
  • 3.12, Аноним (-), 00:06, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    может, появились какие-то надежные средства у "крыши"? не может же быть человеку всё равно ушли данные или нет.
     
  • 3.36, amonymous (?), 10:15, 26/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!

    Тычо. Это щаз не модно, и без смузи. Контейнерчик в докере запилил - и хорошо.

     
  • 2.32, Sindzicat (?), 09:37, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
     
     
  • 3.51, Аноним (-), 14:22, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих ве... весь текст скрыт [показать]
     
  • 3.64, anonymous (??), 17:34, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Начнём, с того, что домушники стимулируют людишек хранить деньги в банках Поэто... весь текст скрыт [показать]
     
     ....нить скрыта, показать (27)

  • 1.30, рыба ест людей (?), 09:25, 26/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
     
     
  • 2.52, пох (?), 14:24, 26/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    вы никуда не годный хипстер, не видать вам халявных монерок Через etcd нужно ра... весь текст скрыт [показать]
     
  • 1.31, Нанобот (ok), 09:34, 26/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
     
  • 1.35, amonymous (?), 10:15, 26/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
     
  • 1.40, Аноним (-), 12:34, 26/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Новость срочно в номер Если приехать на парковку у супермаркета и оставить маш... весь текст скрыт [показать]
     
     
  • 2.48, Crazy Alex (ok), 14:17, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    В основном ругаются потому что доступы режут совершенно невменяемо и не предоста... весь текст скрыт [показать]
     
     
  • 3.59, пох (?), 16:26, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс ... весь текст скрыт [показать]
     
  • 2.53, Аноним (-), 14:30, 26/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    дружище, новость-то не об этом если бы все так делали, я бы давно на работу не ... весь текст скрыт [показать]
     
  • 1.57, anonymouse (?), 15:40, 26/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Оо, жаркий спор ansible-docker хомячков. Лол.
     
     
  • 2.60, freehck (ok), 16:32, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А что не так с ansible?
     
     
  • 3.61, MoronDude (?), 16:50, 26/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочку валидаций и проверок безопасности.
     
     
  • 4.70, angra (ok), 21:35, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ansible это инструмент, как нож или топор Если его использует умный человек, то... весь текст скрыт [показать]
     
     
  • 5.72, нах (?), 22:24, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    умным не нужен ansible - они создают свой Заточенный строго под их задачи И эт... весь текст скрыт [показать]
     
     
  • 6.73, MoronDude (?), 02:10, 27/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Согласен Если нужно настроить новые сервера с одинаковой конфигурацие можно вос... весь текст скрыт [показать]
     
     
  • 7.77, foobar (??), 07:55, 27/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному ... весь текст скрыт [показать]
     
     
  • 8.80, забыл_пароль_от_тигар (?), 09:29, 27/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    только почему-то зовут именно их оттуда, когда девопсики обосpались и щас конте... весь текст скрыт [показать]
     
     
  • 9.81, ыы (?), 09:32, 27/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    не, этих не зовут :)
    нафиг они нужны если ansible не знают?
    пусть продолжают локалхосты админить.
     
  • 7.79, ыы (?), 09:25, 27/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ansible  -это такой, своеобразный (ну.. какой есть) аналог групповых политик от домена активдиректори.
    вы не понимаете зачем нужен ансибл? зачем нужны групповые политики? рассуждаете о компрометации контроллера домена?

    Претензии которые вы высказываете - смехотворны.

    Я еще раз повторю ранее высказанную кем -то мысль:

    "сначала я думал что это троли, но потом понял [с ужасом] что они всерьез."

     
     
  • 8.87, MoronDude (?), 17:00, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Я по большей части троил. Но если серьезно то автомацией не все проблемы решаются.
    Наши крап-о-аднины юзают puppet, все началось очень даже хорошо - общие шаблончики, а закончилось тем что оказывается на каждую пару а то и индивидуальный сервер нужны свои поправки, так и получаеться что на сервер ходи и правь сам или ставь процесс от рута чтобы делать за тебя.  Мне как бы было бы пох если бы не infosec, иметь процессы которые работают от root и послушно выполняет все поручения, меня пугают.
     
     
  • 9.89, Легион (?), 23:21, 28/03/2018 [^] [ответить]    [к модератору]  
  • +/

    > так и получаеться что на сервер
    > ходи и правь сам

    Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками/манифестами/как-их-там и ни в коем случае не ручками на хостах.

    Ты в любое время должен поднять нулёвый инстанс, накатить на него конфиг и получить конечный рабочий экземпляр. Автоматом, без всяких ручек.

     
  • 7.83, angra (ok), 13:00, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > для существующих нужно все менять в ручную с полной проверкой на каждом сервере.

    Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного.

    > Если твой ansible хост скомпрометирован, можно смело сжигать сервера.

    Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"
    Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени.

     
  • 6.82, angra (ok), 12:56, 27/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > умным не нужен ansible - они создают свой. Заточенный строго под их задачи.

    И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами.

    > ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.

    И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом.

    > к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами.

    Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой.

    > Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.

    Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком по-программерски для тру админов?
    Как раз для регулярных изменений лучше использовать не ansible, а свой инструмент.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor