Slammer ukazuje neschopnost adminů

Přiznám se, že nechápu větu "Adrenaline ... nezvládl DoS útok generovaný jeho směrem." To znamená, že SQL server Adrenaline byl na uvedených portech volně přístupný z Internetu... To není příliš dobrá vizitka :(

Adrenaline je velmi zle nastaveny web.
Skuste si pridat do host-ov:
127.0.0.1 ad.adrenaline.cz.
nie je to sice koŢer, ale zive ide o polovicu rychlejsie. a najma sa stranky nacitaju aj ked je adrenaline spadnuty.

tebe tu nebudou mit cprasata radi ;)

--chita

Diky schizo, moc jste mi pomohl

Veta redaktora je trochu matouci.

Prelozeno do srozumitelneho jazyka (asi). Zahlceni pretizilo routery, provider routery proste vypnul a pak se resilo co a jak s odpojenymi servery, respektive nedostupnymi. Toto neni ani tak problem konkretniho serveru, ale vsech za tim routerem. Pravidlo nejslabsiho clanku v retezu.

Příspěvek ze včera:



Odebírat reakce:
Datum přidání: 26.01. 10:46
Autor: Root
Re: ostudy

Pane Holciku, lzete. Vase servery byly tim, co zahltilo segmenty , ne servery okolo... A na to mam pochopitelne i dukazy.

Odpovědět

Jo, osamocený výkřik bez těch důkazů.

Jak poznam, jakou mam instalovanou verzi u MS SQL 2000 ?

C) Users can verify installation of this patch by verifying the following files are at version 8.00.568:
ssmslpcn.dll
dbmslpcn.dll

Obecne v Query Analyzeru: SELECT @@VERSION

Ale teď vám z hlavy nepovím, co by se mělo objevit.

SELECT SERVERPROPERTY('ProductLevel')

Vazne minena otazka? Pokud ano, tak jste pomerne odvazny. Ani netusite, co v systemu mate  Pak se divime, ze je internet plny deravych instalaci. Neberte se ti osobne, ale pocitacum lidi vaseho typu by krome adresy typu 127.0.0.1 mely byt odebrany vsechny dalsi,  a to vcetne privatnich.

Třeba je to chudák BFU  a teď to chudák hledá na svým komplu (kde to pochopitelně nemá)

Jste dobrej ubozak. Kdyz jste takovej borec, tak mu radsi poradte, misto toho buzerovani. Ne kazdej je odbornik na computery, treba je dobrej v necem jinym. Co kdyz je to normalni uzivatel a ne nejakej korporatni admin. A jenom se zeptal ... Evidentne na spatnym serveru.
Kolik normalnich (opakuji normalnich) uzivatelu vi, co skutecne v pocitaci ma ?

Zrejme jste nepochopil, ze normalniho uzivatele nemusi zajimat jaka je na serveru verze programu. A pokud to nevi administrator, tak co s nim?

To si snad delate legraci.. normalni uzivatel na ma svem pocitaci MS SQL server? Vec, za docela hodne tisic korun? Hodne vtipny. Podivat se do seznamu instalovaneho software v control panelech snad zvladne kazdy, vcetne BFU. Problem se nekde jinde - ne v tom, kdo je a kdo neni BFU nebo v tom, jestli BFU vi, co ma v pocitaci. Problem je v tom, ze si dnes kazdy instaluje na svoji stanici cokoliv se mu dostane pod ruku proste proto, "aby to mel".

Nechapu, proc by kdokoliv, kdo ani nevi, co "v pocitaci" mel mit na stroji serverove sluzby, nedejboze otevrene do internetu. Tohle neni problem toho, co delam, jestli jsem korporatni admin nebo ne, to je vec zdraveho rozumu. Je to asi to same, jako polozit nabitou zbran na okno a cekat, az si nekdo zkusi vystrelit. Ze by vas to ani nenapadlo, protoze je to nebezpecne? Protoze netusite, jake by to mohlo mit nasledky? A jaky je v tom rozdil proti bezhlave instalaci cehokoliv? Snad jen ten, ze software nezabiji. Aspon ne doslova.

Divil by jste se, ale worm neútočí jen na MSSQL 2000 ale i MSDE (nebo jaxe to přesně jmenuje), a to používají mimo jiné některé naše banky ve svých home-banking aplikacích... a včera neexistovala ŽÁDNÁ oprava pro tento software, a pochybuju že v dohledné době bude ((

Nepřipadá mi pravděpodobné, že tito uživatelé měli firewall, nebo dokonce správně nakonfigurovaný firewall

zacinam mit dojem ,ze ten .NET bude pkny pruser...

Co s tím má společného .NET? Kromě původce, samozřejmě

Existuje jak SP2 s příslušným hotfixem (z června 2002), tak ode dneška či dnešní noci SP3 pro MSDE.

jo, naštěstí už to je fakt... ale přinejmenším služba myslím (tzn INFORMACE BEZ ZÁRUKY, ALE CHCE PROVĚŘIT), že ProfiBanka sice má SP2, ale bez hotfixu...

Mel sem na mysli hlavne MSDE, ktery je zadarmo a siri se s mnoha aplikacemi. Kolik uzivatelu tehle aplikaci vi, ze ma neco jako SQL Server. Mate bohuzel mylnou predstavu, ze MS SQL znamena MS SQL Server Enterprise Edition.
Nicmene to nic nemeni na faktu, ze ste delal ramena, buzeroval a (stale jeste) neodpovedel na otazku, jak to zjistit.
Tecka.

Když už jsou podle vás administrátoři takoví břídilové, rád bych se zeptal, co jste udělal vy proti tomuto červu? Proč ještě včera odpoledne nebylo na Živě o červu ani zmínka a spousta adminů jen bezradně tápala a netušila, proč jim nejede síť??? On po bitvě je každý generál...

A když jsem u těch service packů - myslíte, že adminové nemají na práci nic jiného než instalovat security bulletiny? A co teprve ve vývojářském prostředí, kde se testovací počítače běžně instalují každý den několikrát. Service packy lze považovat za standard, ale SP3 vyšel teprve 17. 1. a navíc ještě stále nebyl vydán SP3 pro MSDE! Čímž bych chtěl také "poděkovat" lidem z Microsoftu, kteří mají na stránkách matoucí zmínky o SP3 pro MSDE, který ve skutečnosti není, díky čemuž jsem na jejich stránkách strávil zbytečně hodinu času.

Pro úplnost: Na MSDE je zatím třeba nainstalovat SP2 a hotfix http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

Drobná oprava: Microsoft přes noc dodal SP3 pro MSDE, který tam včera ještě nebyl (asi tam z toho mají velkej průšvih...)

http://www.microsoft.com/downloads/details.aspx?FamilyId=9032F608-160A-4537-A2B6-4CB265B80766&displaylang=en

Ano, mate pravdu, admin ma maji na praci hlavne udrzovat svuj system v co nejlepsim provozuschopnem stavu, takze stahovani zaplat k tomu rozhodne patri!!! A neohanejte se servicepackem z 17.1. - za prve je to deset dnu a to i nejpomalejsi admin by mel svuj system zaplatovat a za druhe a hlavne - ta chyba byla znama uz pul roku!

Chrante nas pred lidmi jako vy, kteri si mysli, ze my jsme tu pro adminy ne oni pro nas ...

ti lepsi admini vedia, ze po instalacii zaplat od MS prestanu dost casto fungovat kriticke aplikacie. preto sa tieto zaplaty najprv skusaju na servisnych masinach a az po niekolkych dnoch bez problemov sa mozu nasadir naostro. hawgh

A na to je pul roku ale i 10 dni dost casu.

Zaplatpanbuh, ze uz s Win nedelam, ale: 10 dni neni rozhodne dostatek casu na odzkouseni funkcnosti ci korektnosti SP. Sprava serveru je totiz a musi byt velmi konzervativni cinnost. Mnohe procesy na serverech jsou provadeny v dennim ci tydennim rezimu a neradno do nich vrtat, obzvlaste ne na takovem paskvilu jakym servery od MS jsou. Myslim tim, ze nechapu jak muze nekdo rozumne spravovat system, na kterem je rizikem i spusteni prohlizece, nebo pouhy restart sluzby. A utok slammeru je toho dukazem. Mozna, ze se totiz v mnoha pripadech nejedna o lenost adminu, ale o strach, ze aplikaci neceho opravneho se dostanou do neresitelnych a velmi choulostivych potizi. Co ovsem skutecne nechapu, je proc je neco takoveho jako port SQL serveru otevren ven do internetu. Jinak ochranu pred DOS utoky velmi dobre resi unix. utilita LaBrea.

Konečne nějaký konstruktivní ohlas....

Jestlize jsem velka korporace, tak nemam pristupne SQL servery primo z Internetu; ale mam je za firewallama a podobne. Na provazbu s WEBEM opet nepouziji (uz kvuli vykonu a bezpecnosti) jeden server, na kterem bezi IIS a SQL, ale dva a opet me nemusi trapit nejaky cerv.

Jestlize jsem mala firma, ktera nema na 2 servery a trosku slusne udelanou bezpecnost, pak holt musim aplikovat service packy hned a modlit se aby se nic nestalo, nebo si klidne nechat zavirovat server, coz opet nechapu u serveru ktery stoji desetitisice. Jestli mam radove 10-100vky tisic na servery, tak se najde dalsich 100 000 na poradnou bezpecnost.

Nebo pouziji Linux ci Unix a ty penize vykvajznu za nej. Tak jako tak ty penize dam. Tak to opet nesvadejme na Microsoft.

Neuplatnuj nesmyslne argumenty. Za ten linux "vyplaznes" i s zelezem tak 30-50.000 (u male firmy). Takze, Microsoft reseni je radove drazsi a radove nebezpecnejsi. Navic, uz me zacinaji vadit argumenty Win adminu, ze je lepsi mit tohle na tohle a tamto na tamto. Rozhodne je lepsi mit vse na jednom dobrem stroji. Uz jenom kvuli bezpecnosti a stabilite reseni. Vykon je otazka vybavy stroje. To je UNIX perspektiva. Za to, ze Vam na Windows nebezi poradne 2 veci zaraz nikdo jiny krom Vas a MS nemuze.

Pokud jeden stroj odejde, at s nim odejde vsechno, tot Tva filozofie?

Linux? Stale dokola tytez argumenty? Copak administrujes, smim-li vedet? Jakepak databazove reseni mi nabizis na Linuxu, navic za 30-50 000? Sahodlouhy odstavec o MySQL radeji hned pust z hlavy.

Jeden stroj neodejde. Odejde disk, radic, procesor, motherboard. Za kazdych okolnosti je zde velmi rychla nahrada. Disk bych mel mit hot spare, procesor problemem neni. Problemem muze byt deska nebo SCSI radic. Proto by takovyto server mel by z co nejstandardnejsich zarizeni, zadne specky, motherboard a radic v zaloze. Radeji jeden vykonny procesor nez dva mene vykonne. Data se zalohuji, pokud odejde radic a data s nim, obnova je hotova behem par hodin. Dnes jsou IT systemy tak provazane, ze kdyz neco klekne, pak se povetsinou jedna o fatalni problem. At se jedna o router, DNS, databaze nebo web server. Pokud mam oddelit procesy, mam zde virtualni masiny, UML nebo chroot prostredi. Jedine co ma smysl mit samostatne, je firewall a masina zalohujici pres SSH data na siti, pokud mozno nekam do sklepa. Linux? Stale dokola tytez argumenty. Co chces spravovat? Cache, DB2, nebo vyresit konektivitu IS na DRDA na AS/400. Chces provozovat IS. Tak chces Oracle nebo Firebird. Sorry ale s MSSQL na me nechod. Chces replikovat a distribuovat databaze po svete, chces to mit zabezpecene? SSH tunell, zadne otevrene porty nekam do sveta. Port 22 staci mezi dvema duveryhodnymi masinani naprosto staci. Pro jakoukoliv interni komunikaci. Firewallovany pomoci iptables, sifrovany OpenSSL. Co potrebuje mala firma za super databazove reseni za vice nez 0,- Kc? Nemluvim o IS. Mluvim o databazovem backendu. Ad MySQL? Dle meho dnes asi 100x uzitecnejsi nez cele podelane MS SQL. Sahodlouhy odstavec k nemu netreba, dokumentaci ma skvelou na www.mysql.com. Uz me unavuje presvedcovat radoby experty pracujici na radoby supersystemech za superceny s predponou MS, presvedcujici ostatni ze tohle a tamtohle nejde a tak se musi upgradovat, nakupovat a utracet. Znam skupinu 5 lidi, nejdrive potrebovali nutne Exchange, potom, ze uz tolik mailu (asi po pul roce) Exchange nezvlada tak jako db backend MSSQL a dle Vasi filozofie spec. masinu k tomu. A byli to "odbornici" - na MS reseni evidentne. Co je tohle za zvasty. Kolik je hodne emailu v databazi. Jenom ve sve schrance jich mam 60.000 (asi 1GB) a nikdy jsem zadny SQL k IMAP serveru nepotreboval. A to je nas takovych 30. Tak si to vynasob. Zadne potize, zpomaleni, vse integrovane v jedne masine.

Dobra, prece jen ses rozepsal . Pokusim se byt srozumitelny a strucny. Zkus nad tim popremyslet ane jen zacit povidat o "radoby expertech".

1. Odesel-li disk, deska, radic, pak odesel stroj. System je zde pro uzivatele, pro uzivatele jde o cernou skrinku, nefunguje-li z jakehokoliv duvodu (treba disk), proste nefunguje. Takze odejde-li disk, odeslo vse. Nebo snad svym uzivatelum vysvetlujes, ze se nestalo nic tak hrozneho - "to je jen disk, nebojte se"?

2. Bylo by potreba vedet o jakych systemech se tady bavis. Pokud jsi spravcem nekde v ISP firme a mas na starosti stroj, na kterem bezi prevazne staticke weby, nejake to DNS, SMTP, POP3, FTP pristup k webum, pak rozumim, ze muzes mluvit o jednom stroji. Zkus si predstavit reseni, ve kterem mas firmu s mnoha pobockami, IS system spravujici komplet firemni agendy, v databazich obrazova data (fotky atd.), denni prirustek dat cca 300 MB, denni datovy tok do a z IS cca 20 GB, klient tohoto systemu jede jako Win aplikace. Nad timto systemem mas webovske rozhrani, ktere pouziva pouze podmnozinu data a z jistych duvodu nepristupuje do zivych dat, ale do transakcni repliky. Krom toho ve firme spravujes mnoho terminalovych serveru (nez se budes chtit navazet do MS Terminal Services, dobre to zvaz, DNS server, mail server, stroj s weby klientu, ktere musi byt oddelene od internich zalezitosti atd. Opravdu mi doporucujes pro tento system jeden stroj a kdyz odejde disk, tak na tom par hodin pracovat? Zamyslel ses vubec nad tim, ze nekde dvouhodinovy vypadek znamena ztratu v milionech? Pokud bys rekl vedenoi firmy, ze vypadek bude jen na par hodin, tak by sis rovnou mohl sbalit svych par svestek. Takze dokud mi nevysvetlis, ze toto vse ma byt na jednom stroji, budu stale tvrdit, ze specializovane stroje jsou vhodnym resenim se soucasnou replikaci jednotlivych casti systemu krizove na nekolik stroju vzajemne mezi sebou. Kazdy subsystem muze vzdy bezet z nekolika stroju s aktualnimi daty. Jeden stroj vypadne - dotceny subsystem zacne automaticky okamzite bezet z jineho po dobu opravy.

3. Co myslis temi standardnimi komponentami?

4. Pokousis se v pripade Linuxu argumentovat, ale jdes na to stejne jako vsichni ostatni - viz. "Sorry ale s MSSQL na me nechod". Tohle je relevantni argument? OK, tak mi, prosim, vysvetli, proc na Tebe s MS SQL nemam chodit? V cem Te osobne zklamal a neslouzil tak, jak ma?

5. Prosim, nerikej nesmysly - vysvetlit mi nizkou kvalitu MS SQL tim, ze nejakym pomatencum nevyhovoval jiny produkt od tehoz vyrobce (MS Exchange), to je opravdu nesmysl a sam to citis. Mozna Te prekvapi, ze postu nemam na MS Exchange (prilis "nabubrely" produkt pro nase potreby) a ani na nej upgradovat nehodlam. Ale to nic nemeni na tom, ze nastroje se maji pouzivat, k cemu jsou urceny a tak, jak se pouzivat maji. Pokud nekdo mel problem s Exchangem pri 5 lidech, pak zcela jiste nebyl problem v Exchange (tojsi nemyslel vazne, vid?), ale v tom, kdo se prohlasoval za jeho "spravce".

Ad 1. Slovickareni - ne/odesel stroj ale/a take jeho komponenta, cast, subsystem. A po vymene komponenty stroj projde vesmes uspesnou resuscitaci )
Ad 2. Slovickareni - existuji zduvodnene pripady, zvlast kdyz je firma dislokovana po republice, ale o tom snad rec nebyla. Spolehlivost je lepe resit clusterem, zvysuje to bezpecnost systemu, spravujes jen jeden, mas 2,3 ... nasobnou spolehlivost HW. Denni prirustek 300MB, co to je?, datovy tok 20GB, to je 6-hodinovy tok na 10Mbit ethernetu. Jaky rozdil je mezi obrazky a jinymi daty??? BTW: obrazky ne do databaze! Jinak pochop, skutecne se od doby co jsem opustil Win servery nebojim behu vicero komponent na jedne masine. Jak rikam, jde jen o vykon. Neber mne za slovo, pokud bude existovat skutecna technicka prekazka (take rozdilnost platforem), coz v pripade dislokace existuje, pak ma smysl nasadit vicero stroju.
Ad 3. Bezne komponenty jsou komponenty bezne v dane tride HW. To je snad na vykladovy slovnik. Pokud chces rici, ze super stroje se neskladaji z komponent pak mas pravdu. Kdyz Ti odejde motherboard, prijede technik s IBM a budes-li mit stesti, vymeni ti jej jako nahradni dil. Pokud to nepujde doveze Ti novy stroj, prendas pole a jedes. V kazdem pripade musis mit situaci havarie dobre pojistenou u dodavatele. U jednoho nebo 10 stroju, neni v tom rozdil.
Ad 4. Nechod na mne s MSSQL, protoze bezi na Win serverech )
Ad 5. Pozastavval jsem se nad uvazovanim lidi, ne nad kvalito MSSQL. Ta je snad vysoka. Skoda, ze bezi na Win.

Dal to nema smysl rozebirat, jiste jsi pochopil o co mi slo. Nic neni cerne ani bile, vse ma sve pro a proti. Ty jsi zastancem jednoho ja druheho a oba jsme schopni se navzajem pochopit.

Pano Vojta, co to pisete za demagogii. Chcete tim snad rici, ze pokud mam pul milionu na to abych si koupil auto na jezdeni, tak zi klidne muzu koupit i druhy jako pojistku abych to mel sychr, ze, i kdyz jej asi nikdy nevyuziju? Neboli jinak, pokud mam 100 tisic na server, kterej nezbytne nutne potrebuju ke kazdodenni praci, urcite uz musim mit i dalsich jednou tolik na dobrej firewall, ze (ve skutecnosti spis dvakrat tolik)? Pokud si to opravdu myslite, tak je videt, ze jse opravdu "in" a orientujete se v realite dnesnich podnikatelu v CR. Moje zkusenost je spise takova, ze kazdy radeji riskuje bezpecnost, protoze cena dat (ktera jsou zazalohovana a realne zneuziti i v pripade odcizeni vetsinou nehrozi) a reinstalace OS je vetsinou miziva ve srovnani s cenou dobreho FW + admina k pravidelne udrzbe, a zejmena mensim spolecnostem se urcite vice vyplati radeji resit az aktualni problemy, nez investovat do prevence. To je bohuzel smutna realita dneska.

Jak jsem si ted precetl na news.com tak cervik sejmul i vnitni sit microsoftu.
Nesvadejme to na Microsoft, muzou za to martani

Znam jednu velkou spolecnost, kde chteli prejit z NT na w2k severy. DODNES NEMAJI HOTOVE TESTY, a to zamestanvaji snad nejlepsi odborniky na M$ produkty v CR, ketri upravujou a doprogramovavaji system a update nastaveni delaji vzdalene pres registry.

Ale uz maji hotove testy na stanice. Servery jeste porad testuji.

Ajajaj, nechcem vidiet ich Total Cost of Ownership...

jsem admin, ale nastetsti nespravuju zadne duchapritomne uzivatele jen nekolik ostrych serveru s klientskymi aplikacemi(pro bankovnictvi, obchodni retezce apod), myslim zadnej normalni admin neprskne na ostry provoz 'latest SPxx', dost provozovanych aplikaci se k SP3 nechovaji uplne korektne, podobnej hazard sem si dopral se SP3 pro W2K, modemove brany od SW602 zacly pri zatizeni systemu >50% delat hodne neprijemny veci, krom toho diky FW a blokovani vseho na dotycny DB server sem v pohode i ted co se NETem siri ten zmetek(DB pouziva IIS a AS na jinych strojich)

Omlouvám se, teď vidím, že na serveru byla 25. krátká zpráva  Internet zkolaboval kvůli starší chybě SQL Serveru 2000 ...

Souhlasím s váma. Nemám neustále čas procházet všemi weby a hledat kde je nějaká záplata na nějakou chybu.
Máme zde 5 serverů s choulostivýma aplikacema provozovanýma 24 hodin - účetnictví, CRM,... (a zálohujeme a zálohujeme).
Pokud vše funguje tak se v tom zbytečně nevrtáme (toto tvrdí i Oracle - pokud vám to funguje tak to neměňte).

Tento článek s tímto tónem mohla napsat jen osoba, která má na strarost dve SQL servery pro web aplikace .
A co ten co vztvořil tohoto červa.... a co Microsoft který vydá produkt a za týden má SP8 ????
Grrrrrrrrrr

Chce to nebyt uplny lajda a zaregistrovat se na odber secury bulletinu. Jak MS, tak Oracle je dodavaji mailem a neni tam problem. Je tam popis problemu, oprava a nemusite nic sledovat a hledat v tenatach webu.

Jestlize na to nemate cas nebo Vam vase IS za to nestoji, pak si nestezujte na jejich chyby.

No, na zive se zrpava objevila se zpozdenim prave proto, ze i zie bylo utokem postizeno. Vzhledem k tomu, ze jsem vice nez pul roku psal o bezpecnosti pro Svet Namodro, hodne jsme se o tom naucil. Daniel Docekal je sice ras, ale o bezpecnosti neco vi a hlavne dokaze cloveka donutit, aby se ji zabyval. I proto mam firewall i na swem osobnim PC a bezpecnostni updaty kontroluju kazdy den. Chapu, ze pro administratora velke site je updatovani vetsi problem. Ale pul roku stara chyba, ktera zpusobi pad pulky internetu, to je na me proste prilis. Pokud navic neopravena chyba produkuje DoS utok, pak se me to dotyka vic nez kdyz nekomu jen spadne server. Ja jen doufam, ze se Korejci vytahnou a toho chytraka, kterej tuhle lavinu spustil, chytnou.

Tak tak.
Ja se vubec nedivim, ze zaplatu nema mnoho lidi nainstalovanou. Pokud by mi nekdo rekl at mu to treba za penize nainstaluji, ale musim mu rucit ze mu to pak pojede tak bych to nebral ani nahodou.

Takze pokud ma admin zopovednost za funkcnous SQL, tak si bez testovani nikdy nelajzne updatovat M$ SQL, ja bych updatnul PostgreSQL, MySQL, ale na produkdy M$ bych radsi nesahal.

bohuzel musim konstatovat, ze zive.cz takovehoto cerva ani nepotrebuje. funkcnost zive.cz se totiz cim dal tim vice blizi nule

Take si rikam... je lepsi jednodenni vypadek nebo pulrocni casta nefunkcnost?

Small.

dle meho neni problem hlidat bezpecnostni patche a instalovat je, jsou k tomu ruzne pomucky jako HFNetCHk od shavlik.com, problem je spis ten ze spousta patchu je diky microsoftu tak dokonale udelanejch ze ve spolupraci s ostatnima patchema jsou schopny obcas vyradit alespon nejakou tu fci v systemu.....

Nic proti, takovéto útoky jsou sice hrozné, ale dokáže si někdo představit, jak by to vypadalo, kdyby neexistovali viry a takovéto útoky? Myslim že celý internet a všechen software by byl jako domeček z karet. A to by to ani nemuseli být windowsy windowsama a přišel by den kdy by všechno spadlo....................

Myslim, že jako díky autonehodám máme stále bezpečnější auta, tak díky virům a hackerům máme stále bezpečnější internet........

Je to neustálý boj dobra se zlem, který nás stále žene k pokroku........... Ale zase nás tento fakt nesmí ukolébat, jnak by zlo vyhrálo ..............

U nas se vedelo jak o chybe tak o "servis packu tri " bohuzel po instalaci "trojky" nam prestaly fungovat nektere velice narocne aplikace, tak jsme toho nechali.

My admini to mame tezky, jsme jak obranci v hokeji, smetanu ani slavu neziskame zadnou ale kdyz je nejakej pruser tak je to vzdycky na nas :-}}} ale to uz je naz osud.

No, rozumny admin mi nemel spolehat na jednu jedinou ochranu. NEDOVEDU si predstavit, ze bych mel do internetu otevreny byt jen jeden jediny port, ktery neni nezbytne nutny. Predstava, ze muj sql server je chranen pouze tim, ze tajim jmeno a heslo je pro me mirne receno neprijatelna. Od ceho jsou firewally?

Stejne tak mi prijde komicke obvinovat zive, ze zpravu o utoku zverejnilo pozde a "admini tapali a nechapali, proc jim nefunguje sit". Admin je od toho, aby byl schopen pricinu problemu vysledovat. Ne aby reagoval na magziny typu zive, to je trosku s kriskem po funuse.

Svatá slova.

No, kdyz uz jsme u tech firewallu - tak to zase tak jednoduchy neni - ten cerv beha po _UDP_/1434, takze staci mit na routeru/FW za kterym je ten web umistenej povoleny UDP/53 (treba kvuli legitimnim DNS UDP lookupum z toho serveru aby mohl zaroven odesilat pres SMTP maily); pokud by byl source port tech virovych paketu UDP/53 tak je ti tve zabezpeceni i firewall stejne na velky kulovy.

He? A proc bych mel mit na firewallu povoleny pakety se source portem 53? To budu mit povoleny pakety na destination port 53, kdyz chci DNS ne? Srovnejte si to.

"smetanu ani slavu neziskame zadnou".

Slizne kopac smetanu a slavu za to, ze vykopal rovne pangejt? Predpokladam, ze jste za svoji praci placen. Dokonce predpokladam, ze dobre placen. Stav, kdy sit bezpecne a spolehlive funguje, je vase povinnost. Normalni stav. Ne neco za co by vas mel nekdo zvlast chvalit.

Obe banky mi nainstalovaly "nejaky" SW jako bankovni klienty. Pri instalaci mi n ikdo neoznamil, ze mi tu instaluji MS SQL a ani neuvedli, ze mam provadet bezpecnostni upgrady JEJICH SW. Samozrejme dnes rano zjistuji, ze obe klientska PC zahltily firemni sit se vsemi dusledky.

1. Pokud provozujete PC ve firemni siti, nema na nej nikdo co instalovat bez vedomi spravce. A ten se ma postarat o zabezpeceni instalovaneho softu. Tuplem, pokud se jedna o bankovni aplikaci.


2. Proste vy (jako firma) to provozujete a vy jste za to zodpovedni. Prectete si smlouvu s bankou. Urcite to tam najdete

Proboha, ale ja bych nemel odvahu resit bezpecnost bankovni aplikace a jakkoliv do ni zasahovat. Pokud provedu svevolny zasah do jejich aplikace a nahodou vznikne problém s vytunelovanim meho uctu, uz vidim pravniky banky jak si me vychutnaji, ze jsem svevolne zasahl do jejich aplikace a umoznil spachani skody.

Oba bankovni ustavy si za provoz bankovniho klienta uctuji nemale penize v pausalu, berou poplatky za odchozi i prichozi platby, (vyse vsech polatku patri k nejvyssim v evrope) tak snad mohou venovat nejake usili podpore klientu

A zkoušel jste někdy hovořit s "tím" co obchází klienty a instaluje? Ať už se jedná o banky nebo TELECOM, mám pocit že narychlo rekvalifikovali kopáče a ti teď mají něco klientům instalovat. Většinou je lepší je k ničemu nepustit a udělat si to sám - za jejich přítomnosti aby jim to člověk mohl hodit na hlavu. Třeba když před lety "specialisti" z AGROBANKy zkoušeli na WinNT server instalovat DOSoveho bankovniho klienta... Nebo když technici našeho monopolního u nás v knihovně vyřešili instalaci ISDN modemu tak, že odpojili síťovky, protože to s tím neuměly rozeběhnout. A to ani nepočítám různé prodejce, kteří Vám nainstalují různé proxyservery apod. bez jakéhokoliv zabezpečení a komukoliv tak třeba zpřístupní Váš SMTP server. Inu prostě prodejci - každý problém mají snahu řešit tím že Vám něco dalšího prodají...
if(document.layers){document.captureEvents(Event.MOUSEUP);}document.onmouseup=PrxOMUp;

Microsoft presviecal zakaznikov ze jeho system nepotrebuje spravcov. Tym narobil dost skod. Teraz kto presvedci vedenie ze treba zaplatit kvalitneho admina (nie niekoho kto sa na obcas pozrie na system popri inej praci)?

Tak, tak. Doufam, ze podobnych utoku bude cim dal tim vic a admina nebude delat kdejaky idiot. A to se netyka jen windows.

No fi. co maji penize zmestavaji povetsinou schopne adminy.
Jenze s M$ produkty vypada kazdy admin jako nouma a neni to ani jeho chyba.
Proste M$ se neda rozumne spravovat, nebot nikdo nevi co se vevnitr deje a jak se to vlastne ovlivnuje.

Chces tim naznacit ze Linux administratori ctou zdrojaky aby zjistili co se uvnitr deje? Pokud tomu nekdo rozumi (takze bych rekl ze umi programovat) tak proc by se zivil jak admin? Kdyz si vydela daleko vice jako koder...

Protoze to nemusi byt vzdy jen o penezich....

Jenze administrace je oproti tvorbe programu strasna nuda... a mas pravdu, o penezich to neni, ja bych nesel administrovat za zadny penize... Jinak pro upresneni - nemyslel sem kodera ve smyslu ze dostanes vypracovanej navrh programu, to je fakt nuda, mel sem na mysli celej ten proces od analyzy pres navrh az po nakodovani (ale testovani uz zase ne, to je taky nuda)... Ta kodovaci cast ma kouzlo v tom, ze clovek neco tvori, narozdil od aminu, kteri jen udrzuji veci v chodu (a to i presto ze to nekdy neni vubec jednoduchy, ale kopani vykopu taky nemusi byt).

Tak tomu se mozna rika software engineering se vsim vsudy, ale rozhodne ne koder. A ta krasna cast je algoritmizace problemu a systemova analyza, analyza toku informaci a modularizace reseni s ohledem na budouci rozsiritelnost, vyber technologie. Ne kodovani. To je opruz, Kodovat muzes v C/C++, Jave, PHP nebo i shell skriptu. Ale proboha kdyz mas jasno co chces, tak co je krasnyho na tom neustale dokola psat if, for, while, function a return. Me by bavilo sednout a zacit diktovat: tohle bude takhle, tohle takto, tady pouzij tuto technologii, ta se na to krasne hodi a neodmlouvej proboha. Asi jsem holt na to tukani prikazu uz starej

Samozrejme ze ctou, nekolikrat jsem si takhle program upravil, doprogramoval, z administrujiciho programatora jsem se casem stal programujicim adminem. Ale: pokud myslis kodera ve skutecnem smyslu tohoto slova (moc ceske se mi nezda, spise pejorativni), tak delat kodera je nudne, unavne a vycerpavajici, zvlaste po tricitce Jako admin mohu programovat co se mi hodi, jako koder budu tezko administrovat (dlouhodobe na to nemam silu a zadny "pan koderu" mi to nebude tolerovat). Jako admin jsem pan, jako koder jsem sluha.

> Sobotní ráno se změnilo v noční můru pro velké množství internetových profesionálů po celém světě

jj ja jsem taky internetovy profesional a docela jsem chytnul shock, protoze me miliony v bank of america byli docasne fuc.

uz je vse v poradku a dokonce se mi zda, ze mi jich tam zopar pribylo

Internet bude bezpecnejsi az tehdy, prestane-li se Microsoft cpat tam, kam nema, tedy na servery... At si zustava u svych okynkovych parodii na system a servery necha na vsech tech unixech, linuxech a podobnych. A az se podari jeste vykorenit ten deravy outlook (expres), pak se snad i zmensi sireni viru pres emaily...

2Hunterz : plne s tebou souhlasim, celkem nevim, proc se maily musi zobrazovat v HTML, podle meho by stacilo XML + univerzalni sablona nebo nejaky CSS. To by pak sli do mailu vkladat bez problemu tabulky...

Zajimalo by mne, kolik serveru firmy Microsoft bylo hackovano.

Bud si JISTEJ (!!!) ze mene nez tech ostatnich

XP Mastere, HTML podle Tebe neni podmnozinou XML? Tos me neco noveho naucil, dik .

tak si skus rozjed zatizeny server na mysql kde nejsou ani storky ty idiote!!!!
Urcite je nejlepsi si koupit oracle za 1000000  ...

MySQL neni jedina databaze dostupna na unixu/linuxu. Tohle je navic lightweight databaze, pokud potrebuju neco poradnejsiho, mam toho na vyber dost, od PostgreSQL pres Firebird az po to Oracle.

Nebylo by lepší přestat podporovat ten zku...ý Microshit a začat stavět síťové systémy na něčem jiném než jeho věčně děravých programech

Tak zacni prvni ty

jasne jdeme do Linuxu - ktery je IMHO deravejsi nez Windows - viz stranky s dirama...

tak mi ukaz nejakou diru v poslednim Postgree nebo Mysql

verim, ze je tolik v  Mysql neopetchovanych bufru ve vstupnich parametrech, ze by se ti z toho zatocila hlava...

hmm tak ukazte cerva, kterej utoci na linuxovy masiny s mysql.... :) a jeste pak cislo kolik tech linuxovejch masi bylo... :))))

Ne, děravější je Windows a je to nejenom jasné, ale i prakticky prokazatelné. To je argument.

PS. Stejný jako ten Tvůj.

Nechtelo se mi verit, ze by se nenasel nejakej ko*ot, kterej si zase, zcela mimo tema clanku, nezacne prihrivat tu svou ohranou a trapnou pisnicku typu "kazdej jinej nez MS je nejlepsi"... muzes si poplacat na ramena, jsi fakt dobrej ....

Vite, co by mne zajimalo? Zda byly proti nekteremu z adminu postizenych siti, vyvozeny dusledky. Dle meho nazoru, by totiz v tomto pripade mela spousta lidi skoncit na dlazbe a nebo bez premii. Podle mojich zkusenosti cloveka, ktery ve vetsim rozsahu dela audity funkce pocitacovych siti, cesti admini bezprecedentne zehraji na to, ze jejich praci nikdo z vedeni poradne nerozumi. Priklady firem, ktere prisly diky adminovi o statisice, mohu sypat z rukavu. A snad nikdo z vedeni techto firem netusi, ze ztraty vznikly v dusledku prokazatelneho zanedbani povinnosti jejich zamestnance. U kazde jine profese by za ztratu srovnatelneho rozsahu, byl zamestnanec tezce popotahovan.

Admini a predevsim manazeri, probudte se !!!!

Ja mam skusenosti ze ked sa nieco stane na MS serveri povie sa - to viete nespolahlivy Microsoft a vsetci su spokojny - nic sa nedeje. Ak sa stane len desatina veci na Unixe/Linuxe okamzite je ohen na streche patra sa co sa stalo, vyvodzuju sa dosledky. Tento alibizmus je vyhodny pre vsetky zucastnenych a je to jeden z dovodov uspechu Windows.

Nevidim to tak cerne. Je to jen otazka konkretniho managementu, zda dokaze identifikovat priciny problemu, vyvodit z nich dusledky a zajistit jejich neopakovatelnost. MS produkty povazuji za kvalitni a pokud s nimi jsou problemy, je pricina jasne urcitelna. Stejne jako u Linuxu, Novellu a jinych systemu, ktere znam. Vcetne jejiho puvodu, ktery samozrejme nemusi byt v praci admina, ale treba v nevhodne volbe HW, do ktere nemohl zasahnout.

100procentne s tebou souhlasim.

Pouze podotykam, ze to, ze praci adminu vedeni nerozumi, neni problem adminu, ale vedeni. Takze vedeni, sup se ucit IT, Blbost, ze? Vedeni se administrovat nebude ucit, protoze se jedna o velice specializovanou a narocnou cinnost a admini na to budou zehrat vzdy, protoze se jedna o velice spcializovanou a narocnou cinnost, u niz nelze odpovednost vyvodit nijak jednodusse. Ani sam admin nekdy nevi a nikdy neprijde na to, ze pochybil. Popotahovat muzes az pochybeni prokazes. Ale aby si se nakonec nesoudil s MS. Jeden priklad: pochybi admin tim, ze neaplikuje SP3, ktery by prokazatelne zpusobil nefunkcnost informacniho systemu firmy, nicmene tim zpusobi prehlceni eth. segmentu v dusledku neaplikace SP?

Pouze podotykam, ze to, ze praci adminu vedeni nerozumi, neni problem adminu, ale vedeni.

Pod to se podepisuju

Takze vedeni, sup se ucit IT, Blbost, ze?

Jiste. Cemu vedeni nerozumi, na to se zepta. Stejne jako u dani, pravnich zalezitosti atd.

Popotahovat muzes az pochybeni prokazes.

Nemyslim. Admin je odpovedny za chod systemu - jeho maximalni dostupnost, bezpecnost, funkcnost atd. Pokud neco z toho nefunguje s vaznymi dopady, mel by on prokazovat, ze chyba neni u nej. Proste presumpce neviny sem nepatri

Jeden priklad:

V tomto pripade bych ocekaval, ze preda problem tvurci aplikace nebo osobe odpovedne za jeji provoz a na existujici riziko upozorni management. Pripadne hleda jine reseni. A hlavne NENECHA PROBLEM VYHNIT

Mas pravdu, problem totiz vetsinou vyhnije u vedeni. Protoze, kdyz tomu nerozumi nejsou schopni posoudit vaznost situace. A je prece nebude poucovat 25-lety borecek. Tohle je ma zkusenost. Co se tyce presumpce neviny, ta tady samozrejme PLATI, protoze pokud by platila presumpce viny (a bud plati jedno nebo druhe), tak by nikdo admina delat nesel. Ani s Winama ani s Linuxem ani s Novellem.

Admin nejsem, ale vim, co ta prace obnasi. Jestli si nekdo mysli, ze patchovanim

se vsechno vyresi, tak je na omylu. Koreny problemu sou daleko v historii. MS, ktery dnes prohlasuje, jak mu zalezi na bezpecnosti, donedavna produkoval software, ktery s pocitacovou bezpecnosti nemel zhola nic spolecneho. A ted sklizi plody sve prace. A neni sam, takovych firem je vic. Admin ma na starosti i podstatne odlisne ukoly, nez je sledovat, kdy kde vysel ktery patch a co resi. Holt nastava doba, kdy si firmy zacnou platit odborniky na bezpecnost. Ono koncept administrator + auditor neni zas takova novinka. Zdar autore!