Archiv verlassen und diese Seite im Standarddesign anzeigen : curl | bash - Faulheit vs. Sicherheit
https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/
... wo die "Technik" doch gerade so in Mode kommt...
... dann noch in Verbindung mit http://www.linuxforen.de/forums/showthread.php?274988-quot-Sicherheits-quot-L%FCcke-in-Copy-Paste hat man seine eigene kleine Engine, um auf fremden Rechnern ggf. mit root-Rechten lustige Dinge zu tun.
... und das nur, weil irgendjemand halt mal wo ein bisserl c&p gemacht hat :-)
BetterWorld
20.04.16, 13:37
Geil.
Danke.
Ich hab solchen Dingern immer misstraut. Jetzt kenne ich einen guten Link, um das zu begründen.
Wenn möglich -und ist eigentlich immer möglich- lade ich das Script erst runter, guck kurz rein, checke die Prüfsummen, wenn möglich und rufe es dann auf.
tja, brain.exe ist vielleicht alt - aber oft immer noch der beste Contentfilter, Malware- und Virenscanner auf dem Markt.
BetterWorld
20.04.16, 13:55
Leider wurde der Verkauf schon lange eingestellt
und neue Versionen oder Bugfixing kennt man gar nicht.
DrunkenFreak
20.04.16, 14:49
Sehr perfide...
Ich gucke mir zwar auch vorher das Skript an, rufe es aber dann trotzdem meist per curl | bash auf.
http://www.xkcd.com/1654/ ;)
http://www.xkcd.com/1654/ ;)
da fehlt pecl und cpan :-)
Ganz ehrlich: coole Technik, aber ich schätze die meisten "Invasionen" erzielt man immer noch mit "paris_hilton_nude.bin" o.ä. auf irgendwelchen "grauen" Servern. Ich glaube nicht dass solche technisch anspruchsvollen Tricks überhaupt nötig sind.
Auf nem Server wird hoffentlich kaum jemand "untrusted scripts" ausführen.
Auf nem Server wird hoffentlich kaum jemand "untrusted scripts" ausführen.
* https://curlpipesh.tumblr.com/
* war das nicht (ok, inzwischen nicht mehr) auch mal bei letsencrypt so vorgesehen?
* schon oft gesehen in Foren. Spart einem das chmod +x und so...
Ich finde curl | bash noch zu mühsam. Kann man da nicht noch irgend einen Link im Browser so vorbereiten, dass der automatisch als Bash Script ausgeführt wird? Praktischerweise natürlich per Javascript beim Laden der Webseite. Bonuspunkte gäbe es noch für eine Implementierung, die es erlaubt darüber ohne jegliche Nutzerbelästigung Software zu installieren. Linux ist ja ohnehin viel zu sicher. Man könnte am besten natürlich als Standardbrowserprotokoll bash:// einführen. Damit wäre das dann cross-browser und wenn Windows irgendwann die Bash als feste Shell mit liefert sogar noch cross-platform.
Hm, Du meinst sowas wie 1Click-Install auf OpenSuse, MSI-Files (früher) bei Windows?
Ansonsten - DriveBy-Installer sind über flash und Konsorten ja im Viren-Umfeld durchaus nicht selten. Aber leider machen einem ja die ganzen Browser-Hersteller immer mehr einen Strich durch die Rechnung. Zudem laufen solche Tools ja meist nicht mit root-Rechten...
Zudem laufen solche Tools ja meist nicht mit root-Rechten...
Schade.... :)
P. S.: Habe leider gerade keine Ironie-Tags mehr auf Lager. Sind aus.
BetterWorld
21.04.16, 12:51
Mal ehrlich: Zeigt dieses Forum nicht täglich, dass die Userinteraktion nur Ärger bringt?
Warum nicht via magic einfach die Scripte rufen, egal von wo sie kommen,
und dafür STDIN einfach abschalten?
Jetzt verstehe ich endlich was "bashen" heißt :)
BetterWorld
21.04.16, 17:12
"bashen" ist nun mal systemnah, um nicht gleich immanent zu sagen.
Netter kleiner Nachschlag: https://twitter.com/ryanhuber/status/790674855981002752
Think curl | sh is bad? This beats it:
curl http://[linux iso] | dd of=/dev/sdb
Installer 2.0b
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.