SourceForge зеркало взломан. Bitcoin может быть следующей целью.

Убедитесь, что вы используете PGP, чтобы проверить загрузку перед установкой Bitcoin.

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

котировка

Резюме

Один сервер от зеркальной системы SourceForge.net был раздаточный комплект PHPMYADMIN, содержащий заднюю дверь.

Описание

Одно из зеркал, а именно Sourceforge.net CDNetworks-кр-1, в настоящее время используется для распространения модифицированного архива PHPMYADMIN, который включает в себя заднюю дверь. Этот бэкдор находится в файле server_sync.php и позволяет злоумышленнику удаленно выполнять PHP-код. Еще один файл, JS / cross_framing_protection.js, также был изменен.

Строгость

Мы считаем эту уязвимость критически.

Очевидно, что хакеры собираются изменить хэш на сайте, а также. Как вы знаете, у вас есть хороший хэш? Это проблема.

Цитата: Блинкен 26 сентября 2012 года, 9:12:49 PM

Использование PGP подписи Гэвины вы можете проверить файл SHA256SUMS.asc, чтобы увидеть, если хэш в файле законен.

EDIT: Смотрите эту тему

Проверка подписи PGP в порядке, но я подозреваю, что это не процедура средний пользователь будет делать.
Не представляется возможным установить специальный, закалены и полностью выверенный сервер, только для Bitcoin хранилища обновлений?

Цитата: Gusti 26 сентября 2012, 09:36:37 PM

Это обсуждалось некоторое время назад. Bitcoin дэвы считается хостинг загрузки на GitHub, который использует SSL и является более безопасным, но уязвимый.

Максимальная безопасность заключается в использовании PGP.

Цитата: jimbobway 26 сентября 2012 года, 9:39:25 PM

Цитата: Gusti 26 сентября 2012, 09:36:37 PM

Я понимаю, PGP является безопасным, но это не удобно для среднего Джо. Держу пари, что подавляющее большинство пользователей никогда не проверяли загрузку раньше. В то время как выделенный сервер, отличие от GitHub, может быть проверен и уточнена командой разработчиков на уровне файлов перед каждой загрузкой.

Цитата: Gusti 26 сентября 2012, 09:36:37 PM

Один сервер не очень помогает от DDoS, и Bitcoin сайты часто были жертвами DDoS в прошлом.

Несколько серверов + активная команда администратор может сделать это ... но в этот момент вы просто заново SourceForge или CloudFlare.

Если вы идете через DDoS закаленной прокси, вы снова доверять SF / CF / ...

Цитата: Gusti 26 сентября 2012, 09:50:48 PM

Gavin, вероятно, сказать что-то подобное, "Вы хотите сделать это?"

Цитата: jimbobway 26 сентября 2012 года, 9:53:52 PM

Цитата: Gusti 26 сентября 2012, 09:50:48 PM

Gavin, вероятно, сказать что-то подобное, "Вы хотите сделать это?"

Конечно, почему бы и нет, хотя Джефф прав по вопросам DDoS. Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна?

Цитата: Gusti 26 сентября 2012, 10:03:34 PM

Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна?

Абсолютно. Это прекрасный пример децентрализованного действия на работе ... нам нужно, как многие люди, как можно проверить эти вещи.

Цитата: jgarzik 26 сентября 2012, 10:07:06 PM

Цитата: Gusti 26 сентября 2012, 10:03:34 PM

Я как раз собирался сказать то же самое; если бы было несколько людей во всем мире загрузки и проверке двоичных файлов против подписей PGP, которые были бы замечательно, и был бы гораздо более надежным против всех различных атак, которые могут произойти (отравление DNS на некотором подмножестве в Интернете, ставя под угрозу одно зеркало, и т.д. и т.п. и т.д.).

Эта ссылка может быть полезна на SourceForge зеркале:

http://sourceforge.net/apps/trac/sourceforge/wiki/Mirrors

Цитата: jgarzik 26 сентября 2012, 10:07:06 PM

Цитата: Gusti 26 сентября 2012, 10:03:34 PM

Этот сценарий будет скачать и проверить установки Bitcoin, и отправить по электронной почте, если любая проблема найдена. пакет Mailutils необходим.

Код:

#! / Bin / Баш

кд / путь к файлам /

если [ ! -f gavinandresen.asc]
тогда
Wget http://bitcoin.org/gavinandresen.asc
фи

гт -f SHA256SUMS.asc
гт -f Bitcoin-0.7.0-win32-setup.exe

Wget http://sourceforge.net/projects/bitcoin/files/Bitcoin/bitcoin-0.7.0/SHA256SUMS.asc
Wget http://sourceforge.net/projects/bitcoin/files/Bitcoin/bitcoin-0.7.0/bitcoin-0.7.0-win32-setup.exe

GPG --import gavinandresen.asc
GPG --verify SHA256SUMS.asc

sha256sum Bitcoin-0.7.0-win32-setup.exe > shafile.txt
кошка SHA256SUMS.a | Grep Bitcoin-0.7.0-win32-setup.exe > shafile2.txt

если разница shafile.txt shafile2.txt >/ DEV / нуль; тогда
эхо ""
еще
эхо "Проверьте проблемы!" | почта -s Bla xxx@yyyy.com
фи

Просто импортировать ключ Гэвина один раз, а не один раз каждый раз, когда вы запускаете скрипт.

Цитата: jgarzik 26 сентября 2012, 11:57:19 PM

Просто импортировать ключ Гэвина один раз, а не один раз каждый раз, когда вы запускаете скрипт.

Да, я думаю, что это только импортирует его один раз, если файл не существует.

Скрипт проверяет, правильно ли подписан файл SHA256SUMS.asc или нет, а затем игнорирует результат и продолжает ли не действительна подпись.

простите мое невежество, но эм

что о битовом потоке?

Цитата: dooglus 27 сентября 2012 года, 4:58:58 AM

Да, вы правы, скрипт очень простой (я не программист, на самом деле) и не проверяет достоверность подписи.

Я вывешу новый сценарий + PHP-версию, чтобы поставить его на общий хостинг - для людей, которые только что ...

Когда я пост - буду рад за пожертвование

162QsQNozzpF242K3n7nXuzkBAtbjcsbQF

Не может кто-то просто создать скрипт мониторинга, с помощью PHP, и скажите нам, если текущий файл действителен? Каждый может запустить это на своем собственном сервере или разместить его для других.

26 сентября 2012, 5:06:49 PM	# 1
jimbobway Сообщения: 1398 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Убедитесь, что вы используете PGP, чтобы проверить загрузку перед установкой Bitcoin. http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php котировка Резюме Один сервер от зеркальной системы SourceForge.net был раздаточный комплект PHPMYADMIN, содержащий заднюю дверь. Описание Одно из зеркал, а именно Sourceforge.net CDNetworks-кр-1, в настоящее время используется для распространения модифицированного архива PHPMYADMIN, который включает в себя заднюю дверь. Этот бэкдор находится в файле server_sync.php и позволяет злоумышленнику удаленно выполнять PHP-код. Еще один файл, JS / cross_framing_protection.js, также был изменен. Строгость Мы считаем эту уязвимость критически.

26 сентября 2012, 9:12:49 PM	# 2
Блинкен Сообщения: 337 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Получил 1806 Биткоинов Реальная история. Очевидно, что хакеры собираются изменить хэш на сайте, а также. Как вы знаете, у вас есть хороший хэш? Это проблема.

26 сентября 2012, 9:19:23 PM	# 3
jimbobway Сообщения: 1398 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: Блинкен 26 сентября 2012 года, 9:12:49 PM Очевидно, что хакеры собираются изменить хэш на сайте, а также. Как вы знаете, у вас есть хороший хэш? Это проблема. Использование PGP подписи Гэвины вы можете проверить файл SHA256SUMS.asc, чтобы увидеть, если хэш в файле законен. EDIT: Смотрите эту тему

26 сентября 2012, 9:36:37 PM	# 4
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Проверка подписи PGP в порядке, но я подозреваю, что это не процедура средний пользователь будет делать. Не представляется возможным установить специальный, закалены и полностью выверенный сервер, только для Bitcoin хранилища обновлений?

26 сентября 2012, 9:39:25 PM	# 5
jimbobway Сообщения: 1398 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: Gusti 26 сентября 2012, 09:36:37 PM Проверка подписи PGP в порядке, но я подозреваю, что это не процедура средний пользователь будет делать. Не представляется возможным установить специальный, закалены и полностью выверенный сервер, только для Bitcoin хранилища обновлений? Это обсуждалось некоторое время назад. Bitcoin дэвы считается хостинг загрузки на GitHub, который использует SSL и является более безопасным, но уязвимый. Максимальная безопасность заключается в использовании PGP.

26 сентября 2012, 9:50:48 PM	# 6
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: jimbobway 26 сентября 2012 года, 9:39:25 PM Цитата: Gusti 26 сентября 2012, 09:36:37 PM Проверка подписи PGP в порядке, но я подозреваю, что это не процедура средний пользователь будет делать. Не представляется возможным установить специальный, закалены и полностью выверенный сервер, только для Bitcoin хранилища обновлений? Это обсуждалось некоторое время назад. Bitcoin дэвы считается хостинг загрузки на GitHub, который использует SSL и является более безопасным, но уязвимый. Максимальная безопасность заключается в использовании PGP. Я понимаю, PGP является безопасным, но это не удобно для среднего Джо. Держу пари, что подавляющее большинство пользователей никогда не проверяли загрузку раньше. В то время как выделенный сервер, отличие от GitHub, может быть проверен и уточнена командой разработчиков на уровне файлов перед каждой загрузкой.

26 сентября 2012, 9:51:45 PM	# 7
jgarzik Сообщения: 1484 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: Gusti 26 сентября 2012, 09:36:37 PM Проверка подписи PGP в порядке, но я подозреваю, что это не процедура средний пользователь будет делать. Не представляется возможным установить специальный, закалены и полностью выверенный сервер, только для Bitcoin хранилища обновлений? Один сервер не очень помогает от DDoS, и Bitcoin сайты часто были жертвами DDoS в прошлом. Несколько серверов + активная команда администратор может сделать это ... но в этот момент вы просто заново SourceForge или CloudFlare. Если вы идете через DDoS закаленной прокси, вы снова доверять SF / CF / ...

26 сентября 2012, 9:53:52 PM	# 8
jimbobway Сообщения: 1398 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: Gusti 26 сентября 2012, 09:50:48 PM Я понимаю, PGP является безопасным, но это не удобно для среднего Джо. Держу пари, что подавляющее большинство пользователей никогда не проверяли загрузку раньше. В то время как выделенный сервер, отличие от GitHub, может быть проверен и уточнена командой разработчиков на уровне файлов перед каждой загрузкой. Gavin, вероятно, сказать что-то подобное, "Вы хотите сделать это?"

26 сентября 2012, 10:03:34 PM	# 9
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: jimbobway 26 сентября 2012 года, 9:53:52 PM Цитата: Gusti 26 сентября 2012, 09:50:48 PM Я понимаю, PGP является безопасным, но это не удобно для среднего Джо. Держу пари, что подавляющее большинство пользователей никогда не проверяли загрузку раньше. В то время как выделенный сервер, отличие от GitHub, может быть проверен и уточнена командой разработчиков на уровне файлов перед каждой загрузкой. Gavin, вероятно, сказать что-то подобное, "Вы хотите сделать это?" Конечно, почему бы и нет, хотя Джефф прав по вопросам DDoS. Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна?

26 сентября 2012, 10:07:06 PM	# 10
jgarzik Сообщения: 1484 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: Gusti 26 сентября 2012, 10:03:34 PM Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна? Абсолютно. Это прекрасный пример децентрализованного действия на работе ... нам нужно, как многие люди, как можно проверить эти вещи.

26 сентября 2012, 10:13:49 PM	# 11
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: jgarzik 26 сентября 2012, 10:07:06 PM Цитата: Gusti 26 сентября 2012, 10:03:34 PM Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна? Абсолютно. Это прекрасный пример децентрализованного действия на работе ... нам нужно, как многие люди, как можно проверить эти вещи. Я как раз собирался сказать то же самое; если бы было несколько людей во всем мире загрузки и проверке двоичных файлов против подписей PGP, которые были бы замечательно, и был бы гораздо более надежным против всех различных атак, которые могут произойти (отравление DNS на некотором подмножестве в Интернете, ставя под угрозу одно зеркало, и т.д. и т.п. и т.д.).

26 сентября 2012, 10:15:15 PM	# 12
jimbobway Сообщения: 1398 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Эта ссылка может быть полезна на SourceForge зеркале: http://sourceforge.net/apps/trac/sourceforge/wiki/Mirrors

26 сентября 2012, 11:52:48 PM	# 13
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: jgarzik 26 сентября 2012, 10:07:06 PM Цитата: Gusti 26 сентября 2012, 10:03:34 PM Я также думаю в настройке скрипт, который каждый час будет загрузить и проверить PGP файлы, и послать сигнал тревоги по электронной почте, если увидеть любую проблему. Как вы думаете, что процедура может быть полезна? Абсолютно. Это прекрасный пример децентрализованного действия на работе ... нам нужно, как многие люди, как можно проверить эти вещи. Этот сценарий будет скачать и проверить установки Bitcoin, и отправить по электронной почте, если любая проблема найдена. пакет Mailutils необходим. Код: #! / Bin / Баш кд / путь к файлам / если [ ! -f gavinandresen.asc] тогда Wget http://bitcoin.org/gavinandresen.asc фи гт -f SHA256SUMS.asc гт -f Bitcoin-0.7.0-win32-setup.exe Wget http://sourceforge.net/projects/bitcoin/files/Bitcoin/bitcoin-0.7.0/SHA256SUMS.asc Wget http://sourceforge.net/projects/bitcoin/files/Bitcoin/bitcoin-0.7.0/bitcoin-0.7.0-win32-setup.exe GPG --import gavinandresen.asc GPG --verify SHA256SUMS.asc sha256sum Bitcoin-0.7.0-win32-setup.exe > shafile.txt кошка SHA256SUMS.a \| Grep Bitcoin-0.7.0-win32-setup.exe > shafile2.txt если разница shafile.txt shafile2.txt >/ DEV / нуль; тогда эхо "" еще эхо "Проверьте проблемы!" \| почта -s Bla xxx@yyyy.com фи

26 сентября 2012, 11:57:19 PM	# 14
jgarzik Сообщения: 1484 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Просто импортировать ключ Гэвина один раз, а не один раз каждый раз, когда вы запускаете скрипт.

26 сентября 2012, 11:58:49 PM	# 15
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: jgarzik 26 сентября 2012, 11:57:19 PM Просто импортировать ключ Гэвина один раз, а не один раз каждый раз, когда вы запускаете скрипт. Да, я думаю, что это только импортирует его один раз, если файл не существует.

27 сентября 2012, 4:58:58 AM	# 16
dooglus Сообщения: 2366 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Скрипт проверяет, правильно ли подписан файл SHA256SUMS.asc или нет, а затем игнорирует результат и продолжает ли не действительна подпись.

27 сентября 2012, 5:04:38 AM	# 17
Draino Сообщения: 168 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. простите мое невежество, но эм что о битовом потоке?

27 сентября 2012, 11:03:34 AM	# 18
Gusti Сообщения: 1102 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Цитата: dooglus 27 сентября 2012 года, 4:58:58 AM Скрипт проверяет, правильно ли подписан файл SHA256SUMS.asc или нет, а затем игнорирует результат и продолжает ли не действительна подпись. Да, вы правы, скрипт очень простой (я не программист, на самом деле) и не проверяет достоверность подписи.

28 сентября 2012, 3:09:00 AM	# 19
Intel-Core-i7 Сообщений: 86 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Я вывешу новый сценарий + PHP-версию, чтобы поставить его на общий хостинг - для людей, которые только что ... Когда я пост - буду рад за пожертвование 162QsQNozzpF242K3n7nXuzkBAtbjcsbQF

28 сентября 2012, 3:53:08 AM	# 20
kokojie Сообщения: 1722 Цитировать по имени цитировать ответ	Re: SourceForge зеркало взломан. Bitcoin может быть следующей целью. Не может кто-то просто создать скрипт мониторинга, с помощью PHP, и скажите нам, если текущий файл действителен? Каждый может запустить это на своем собственном сервере или разместить его для других.

Заголовок