Tak to jsem asi nepochopil. Jakou distribuci Linuxu ten Lupper jako napada hned po instalaci? Ve vetsine distribuci se prece musi sitove sluzby, ktere uzivatel potrebuje, rucne aktivovat, zvlast kdyz uzivatel zvoli, ze chce instalovat pracovni stanici. Takze uz vidim jak pecliva sekretarka po instalaci ihned aktivuje webovy server apache (to je prvni co sekretarka po instalaci operacniho systemu na sve pracovni stanici udela, ze?) pak jeste doinstaluje nejaky balicek XML-PHP (pokud je to php4-domxml, tak ten treba nainstalovany nemam a to mam nainstalovanou kdejakou blbost, kterou nepotrebuji), rekneme teda, ze sekretarce se tento balicek nainstaloval sam, kvuli dependencim, pak si nainstaluje wiki, coz je urcite vec, ktera je potreba na kazde pracovni stanici (na serveru to nestaci, ze?), zedituje konfiguracni soubory, aby to chodilo, pripadne si sem tam neco prelozi ze zdrojaku, protoze dependence tak uplne nesedi (nevyzkousene veci se do distribuci musi dodatecne pridat, protoze tvurci distribuci je tam nedavaji). Misto wiki taky muze mit nejakou webovou ctecku neceho, no rekneme, ze ji nutne potrebuje. Pak to vsechno ta sekretarka rozchodi a pak se uz jen strasne divi, ze ji worm Lupper napadl pocitac.
Mimochodem, Lupper nemuze nic moc provest, nema rootovska prava, protoze defaultove bezi webovy server (a s nim i php scripty) pod uzivatelem nobody, nebo necim takovym (wwwrun).
Mimochodem, Lupper nemuze nic moc provest, nema rootovska prava, protoze defaultove bezi webovy server (a s nim i php scripty) pod uzivatelem nobody, nebo necim takovym (wwwrun).
Nemuze nic provest se systemem, ale muze smazat data. To je myslim docela velka ztrata.
Pod rootem rozhodne apache neodpovida na requesty. Ano apache se spousti pod rootem, aby mohl bindovat port 80, ale pak se vzda rootovskych prav a bezi uz jen pod uzivatelem, ktery se zada v polozce User souboru httpd.conf. Pak hlavne ty scripty, kterych se tykaji wormy nebezi pod rootem, takze ten vadny modul php4-xml nebezi jako root. Aby po instalaci distribuce odpovidal apache na requesty jako root, tak to by si s tim ten tvurce distribuce musel fakt dat praci, ale proc by to delal? Nebo, ktera distribuce to tak ma udelane?
Nemuze smazat data sekretarce, protoze uzivatel nobody (nebo wwwrun) nemuze mazat data sekretarce, ktera ma vlastni account. Nemuze mazat ani zadna nastaveni pocitace dokonce ani nastaveni weboveho serveru. Nemuze mazat webove stranky, protoze ty vlastni root. Jedine co muze, je prochu pomazat nejaka docasna data nejakych cgi-scriptu, treba wiki, nebo toho prohlizece rfc scriptu, nebo nejakeho prohlizece helpu. Uzivatel nobody proste nevlastni zadny soubor, ktery by se dal oznacit za dulezita data.
Muze odeslat patnact milionu spamovych mailu. Muze se snazit nakazit dalsi stroje. Muze se ucastnit DDOS utoku. Muze se pokusit DOSovat vas stroj zaplnenim syslogu, apache logu, tempu, navesenim se na CPU.
Na nic z toho nepotrebuje o moc vic nez "nobody", ne?
Keby uz o to islo, vacsina wiki a takych veci ma aj tak svoj vlastny konfig, v ktorom su ulozene v plaintexte hesla do databaz. Ktore vacsinou neobsahuju len nake balasty
