Большое спасибо за уточнение! (не переживайте, это была не единственная путаница с jessie/stretch) Тогда всё в порядке, пользователи jessie переводят дух!
Ну вот по п.3 кстати не все с таким ограничением согласны. Придумать «что-то новое» это одно. А вот идентифицировать проблему в области своей экспертизы и придумать решение этой проблемы и на этой базе стартап тот же запустить — это на протяжении всей активной карьеры реально. Т.е. и в 45 и в 55. А в скором будущем видимо и в 65 будет обычным делом.
Конечно что-то с Вами не так. Нормальный сотрудник должен мечтать о вечере/выходных/отпуске/пенсии. А Вы тут такой до отвратительного бодрый, людей смущаете :)) Сколько встречал людей, которые в 30 с хвостиком ходили да кряхтели, мол ой годы уже не те. Вы же их в депрессию вгоняете!
А если серьёзно, вон тут же пишут что в некоторых западных корпорациях 40 лет опыта — обычное дело. У нас просто в целом индустрия молодовата в силу объективных причин, плюс в целом в России привычка такая — «старородящие», «старопрограммирующие» ;)
Не то чтобы в «развитых» странах такого нет, но там то ли за счет культурных особенностей, то ли за счет более давнего достижения демографического плато такие заморочки несколько менее актуальны.
Так что понятно что с Вами не так — просто чуть более продвинуты по отношению к основной массе населения. :)
Спасибо за труды, серьёзно. Потому и любопытно, что же там происходило. Со вторым кейсом разобрались, там не jessie вовсе был. :)
С кейсом, под которым комментируем, скорее всего тоже ситуация иная — либо через другую дыру ломанули, либо в jessie руками запихивали уязвимую версию.
Ну студенту лет в 17 и пятикурсники-то кажутся более-менее пенсионерами :)
Так и «гуру» этому в 29 вполне могло казаться что после какой-то цифры (на цифре 30 многие почему-то сильнее всего ломаются) какой-то рубильник переключится. Гм.
Знаю кучу людей которые в 20 замученнее жизнью и пассивнее чем другие в 50 с чем-то например. Причём и ментально и физически. Так что согласен с Вами что это всё с определенным ехидством стоит воспринимать.
С другой стороны, согласитесь, такая ситуация зачастую складывается из-за того что «течение занесло, а сил выбраться нету».
Если человек на руководящей позиции какие-то деньги подкопит и/или пассивный доход себе какой-то сделает заранее, чтобы суметь позволить себе не залезать в тупые неинтересные проекты без финансовой возможности вылезти оттуда («т.к. ипотека и пр, а работа круглосуточно за копейки»), а планомерно будет заниматься актуальными и интересными (и желательно потенциально доходными конечно) делами — в чём проблема-то.
Если склонность к такому есть, конечно, а не из-за хайпа в эту сторону тянет)
Вангую что дальше будет веселее, после очередной порции тормозов будет выходить сообщение наподобие: VS 202X предупреждает — Вы ввели строку кода, которую встроенный AI менеджер оценил как потенциально неоптимальную. Ваш код отправлен на аудит, сходите попейте чайку.
С одной стороны это логично и правильно. С точки зрения продуктивности, как Вы правильно подметили, будет не столь однозначно…
Можете попробовать подход, который я описал (вторая половина длинного коммента).
С учётом руководящей должности думаю сможете неплохо оценить бизнес-ценность разных вариантов, и подобрать нишу, в которой срочный платежеспособный спрос в данный момент сильно выше предложения :) Само по себе это не гарантия чего-либо, но согласитесь что шансы заметно повысятся.
Либо можете начать просто с проектов под себя, решающих какие-то свои задачи (даже если это будет изобретение велосипеда — главное это понимать). Если будете чем-то постоянно пользоваться и дорабатывать — вот и отличный способ опыт наработать.
Я даже более того скажу — тот факт что кто-то сейчас взламывает серваки обсуждаемым в данной теме способом и оставляет конкретный явно детектируемый троян, вовсе не означает что другие люди уже, ранее, не использовали ту же дыру и не насажали своих скрытых троянов. :)
Ведь 4.92 выпущена была ещё зимой, а о дыре в более старых версиях заговорили в мае. Но вполне возможно что все эти месяцы кто-то не говорил, а просто пользовался)
А про восстановление файлов по возможности не со скомпрометированного сервера, а из локального хранилища (которое, будем надеяться, не скомпрометировано?...) — Вы верно подметили, тоже добавлю в пост. Спасибо.
Да, Вы правы, хорошо бы и более гибкую-удобную сторону двигаться (в БД), и от рута стараться не запускать лишнего)
К сожалению, конкретно в этом случае запуск не от рута, увы, видимо не помогает. Так что всё равно обновляться надо.
Вот кстати да. Security through obscurity своего рода — увы, достаточно в кастомщинке пару не кастомных дырявых строк кода…
(не говоря уже о том что «секретный» самопис по идее с большей вероятностью может содержать глупые дырки чем код, который смотрели другие люди, в частности публично)
Интересная подборка, спасибо. Думается что в первую очередь тут больше от человека зависит — если кто хочет ехать как трамвай по рельсам, не изучая новое, то довольно быстро можно упереться в обрыв. Независимо от возраста)
С другой стороны, если в более-менее любом возрасте человек хочет и готов изучать новое — это уже хороший задел, т.к. если изучить и применить что-то новое и узкоспециализированное (где пока конкуренции не много), будут с руками и ногами отрывать — банально из-за отсутствия других вариантов)
В общем, тут скорее обычная экономика. Баланс спроса и предложения. Если предложения много, то (как тут выше правильно пишут) при прочих равных организации может быть выгоднее взять менее обремененного обязательствами и делами сотрудника (на которого не давит ипотека и не отвлекают дети и пр).
Обратная сторона медали — сложнее долго удержать на месте, поэтому специфика компании/проекта диктует не режим «бегом, бегом, всё надо вчера» а более долгосрочную и стабильную деятельность, то (опять же, чисто экономически) может быть выгоднее отдать приоритет сотруднику с ипотекой и пр, скорее всего дольше проработает.
А если предложения мало, а спрос есть — тут уже рынок разработчика. Проблема с этим больше такая что люди все в своей колее работают, и хорошо если изучают новинки в рамках используемых технологий. А на изучение чего-то принципиально нового нет времени/сил/желания — ну тогда сорри, если не можете чего-то уникального предложить, то и конкурировать придётся с более широким кругом коллег.
Пример из жизни: я давно хотел определённые аспекты блокчейна изучить, смарт контракты интриговали для некоторых околоюридических применений. Времени/сил не было. И вот однажды разозлился на себя и добрался-таки (несмотря на «ну некогда/не могу себе позволить») поизучать, параллельно написав об этом публично. И спустя буквально месяц-другой, когда я ещё погружался только в тему, мне прилетел запрос помочь проекту схожему… с дебагом.
С дебагом!? Я же только начал разбираться?! К счастью, не отказал людям, пошел посмотрел. В итоге смог разобраться и всё им наладить, и сам в реальном проекте сразу намного больше всего понял. Тут же следом ещё один проект принесли, а потом ещё один. Ну и хобби получилось. И всё это из-за того что поле там было довольно узкое и специфичное, не слишком много народу конкретно таким вопросом занималось, а людям было очень нужно.
Поэтому я по сути с опытом в данной теме в пару месяцев :) был нарасхват. Я это конечно прямо говорил, мол общий опыт большой, но данной темой только-только начал заниматься. И обязательно — если за стадию концепта пойдёт — потом и аудит нужен будет профессиональный и пр.
Но суть в том что всем было абсолютно плевать на мой возраст, я мог быть хоть трижды на пенсии и с любой группой инвалидности и неизвестного пола и моральных убеждений (насчет последнего — увы).
У людей/компаний проблема — им нужно решение. Если можете решение предложить, которое актуальнее альтернативных (за счёт цены/скорости/стабильности/гарантий/… — смотря что компании нужнее; и это если альтернативы вообще есть), отказаться от Вашего предложения будет сложно. :)
Надеюсь что такой небольшой «лайфхак» поможет коллегам, которые переживают что из-за возраста/пола/чего угодно ещё не могут найти себе новый проект/работу/… Удачи, друзья!
Всё верно пишите, очень странная ситуация, скорее всего взлом через другую дырку был. Но лучше не отмахиваться а сначала разобраться — на всякий случай, мало ли.
Те ли симптомы (код дроппера тот же?), не обновлена ли версия exim руками до больной (многие же любят похимичить) и т.д.
Почему это считаю важным — тут ещё пишут что jessie поломан.
Стоит посмотреть, что там творится — лучше убедиться что проблема там другая, чем успокаивать себя что ну не может же этого быть) Верно?
Мда, важный момент, а то тут много комментов было про запуск рута и идиотов. Спасибо, добавлю в пост, а то умные люди могут себя успокоить что от рута не запускают и не обновиться.
Ещё вопрос — а какая версия Debian-exim там стояла?..
4.89-2+deb9u3 на оф.сайте прямо указана как уязвимая версия, которую требуется обновить.
Скажите пожалуйста, а с каких таких серверов обновления качаете? Если у них такой несвежачок, это Вы ещё внимание обратили, а другие ведь могут попасть.
Тут в комментах для CentOS то же самое было — голландский какой-то сервак содержал старые версии в репозитории. Пришлось ручками переключаться на другой репозиторий и оттуда всё свежее встало сразу.
А обновиться Вам нужно срочно, чудо если ещё не заражены.
Ну вообще на оф.сайте Дебиана эта версия указана как содержащая фикс. stretch (security) 4.89-2+deb9u4 fixed
и Fixed Version = 4.89-2+deb9u4
Уточните, пожалуйста, у тех кто даёт отличной от официальной информацию: на чём основано их утверждение? они что-то знают, чего официалы не знают? пусть тогда срочно команде дебиана расскажут в первую очередь :)
Что касается 7 дней — гм, любопытно, но что любопытнее то по срокам вот такое совпадение получается: эксплойт заметили в деле 10 числа, ровно спустя неделю после "2019-06-03 This announcement to exim-users, oss-security".
Связано ли это как-то или нет? Кому не лениво узнать, пишите :)
Тем временем вопрос про jessie снят — в обуждаемом случае тоже был stretch, jessie не при делах, как Вы и говорили.
А если серьёзно, вон тут же пишут что в некоторых западных корпорациях 40 лет опыта — обычное дело. У нас просто в целом индустрия молодовата в силу объективных причин, плюс в целом в России привычка такая — «старородящие», «старопрограммирующие» ;)
Не то чтобы в «развитых» странах такого нет, но там то ли за счет культурных особенностей, то ли за счет более давнего достижения демографического плато такие заморочки несколько менее актуальны.
Так что понятно что с Вами не так — просто чуть более продвинуты по отношению к основной массе населения. :)
С кейсом, под которым комментируем, скорее всего тоже ситуация иная — либо через другую дыру ломанули, либо в jessie руками запихивали уязвимую версию.
Так и «гуру» этому в 29 вполне могло казаться что после какой-то цифры (на цифре 30 многие почему-то сильнее всего ломаются) какой-то рубильник переключится. Гм.
Знаю кучу людей которые в 20 замученнее жизнью и пассивнее чем другие в 50 с чем-то например. Причём и ментально и физически. Так что согласен с Вами что это всё с определенным ехидством стоит воспринимать.
Если человек на руководящей позиции какие-то деньги подкопит и/или пассивный доход себе какой-то сделает заранее, чтобы суметь позволить себе не залезать в тупые неинтересные проекты без финансовой возможности вылезти оттуда («т.к. ипотека и пр, а работа круглосуточно за копейки»), а планомерно будет заниматься актуальными и интересными (и желательно потенциально доходными конечно) делами — в чём проблема-то.
Если склонность к такому есть, конечно, а не из-за хайпа в эту сторону тянет)
VS 202X предупреждает — Вы ввели строку кода, которую встроенный AI менеджер оценил как потенциально неоптимальную. Ваш код отправлен на аудит, сходите попейте чайку.
С одной стороны это логично и правильно. С точки зрения продуктивности, как Вы правильно подметили, будет не столь однозначно…
С учётом руководящей должности думаю сможете неплохо оценить бизнес-ценность разных вариантов, и подобрать нишу, в которой срочный платежеспособный спрос в данный момент сильно выше предложения :) Само по себе это не гарантия чего-либо, но согласитесь что шансы заметно повысятся.
Либо можете начать просто с проектов под себя, решающих какие-то свои задачи (даже если это будет изобретение велосипеда — главное это понимать). Если будете чем-то постоянно пользоваться и дорабатывать — вот и отличный способ опыт наработать.
Я даже более того скажу — тот факт что кто-то сейчас взламывает серваки обсуждаемым в данной теме способом и оставляет конкретный явно детектируемый троян, вовсе не означает что другие люди уже, ранее, не использовали ту же дыру и не насажали своих скрытых троянов. :)
Ведь 4.92 выпущена была ещё зимой, а о дыре в более старых версиях заговорили в мае. Но вполне возможно что все эти месяцы кто-то не говорил, а просто пользовался)
А про восстановление файлов по возможности не со скомпрометированного сервера, а из локального хранилища (которое, будем надеяться, не скомпрометировано?...) — Вы верно подметили, тоже добавлю в пост. Спасибо.
К сожалению, конкретно в этом случае запуск не от рута, увы, видимо не помогает. Так что всё равно обновляться надо.
(не говоря уже о том что «секретный» самопис по идее с большей вероятностью может содержать глупые дырки чем код, который смотрели другие люди, в частности публично)
С другой стороны, если в более-менее любом возрасте человек хочет и готов изучать новое — это уже хороший задел, т.к. если изучить и применить что-то новое и узкоспециализированное (где пока конкуренции не много), будут с руками и ногами отрывать — банально из-за отсутствия других вариантов)
В общем, тут скорее обычная экономика. Баланс спроса и предложения. Если предложения много, то (как тут выше правильно пишут) при прочих равных организации может быть выгоднее взять менее обремененного обязательствами и делами сотрудника (на которого не давит ипотека и не отвлекают дети и пр).
Обратная сторона медали — сложнее долго удержать на месте, поэтому специфика компании/проекта диктует не режим «бегом, бегом, всё надо вчера» а более долгосрочную и стабильную деятельность, то (опять же, чисто экономически) может быть выгоднее отдать приоритет сотруднику с ипотекой и пр, скорее всего дольше проработает.
А если предложения мало, а спрос есть — тут уже рынок разработчика. Проблема с этим больше такая что люди все в своей колее работают, и хорошо если изучают новинки в рамках используемых технологий. А на изучение чего-то принципиально нового нет времени/сил/желания — ну тогда сорри, если не можете чего-то уникального предложить, то и конкурировать придётся с более широким кругом коллег.
Пример из жизни: я давно хотел определённые аспекты блокчейна изучить, смарт контракты интриговали для некоторых околоюридических применений. Времени/сил не было. И вот однажды разозлился на себя и добрался-таки (несмотря на «ну некогда/не могу себе позволить») поизучать, параллельно написав об этом публично. И спустя буквально месяц-другой, когда я ещё погружался только в тему, мне прилетел запрос помочь проекту схожему… с дебагом.
С дебагом!? Я же только начал разбираться?! К счастью, не отказал людям, пошел посмотрел. В итоге смог разобраться и всё им наладить, и сам в реальном проекте сразу намного больше всего понял. Тут же следом ещё один проект принесли, а потом ещё один. Ну и хобби получилось. И всё это из-за того что поле там было довольно узкое и специфичное, не слишком много народу конкретно таким вопросом занималось, а людям было очень нужно.
Поэтому я по сути с опытом в данной теме в пару месяцев :) был нарасхват. Я это конечно прямо говорил, мол общий опыт большой, но данной темой только-только начал заниматься. И обязательно — если за стадию концепта пойдёт — потом и аудит нужен будет профессиональный и пр.
Но суть в том что всем было абсолютно плевать на мой возраст, я мог быть хоть трижды на пенсии и с любой группой инвалидности и неизвестного пола и моральных убеждений (насчет последнего — увы).
У людей/компаний проблема — им нужно решение. Если можете решение предложить, которое актуальнее альтернативных (за счёт цены/скорости/стабильности/гарантий/… — смотря что компании нужнее; и это если альтернативы вообще есть), отказаться от Вашего предложения будет сложно. :)
Надеюсь что такой небольшой «лайфхак» поможет коллегам, которые переживают что из-за возраста/пола/чего угодно ещё не могут найти себе новый проект/работу/… Удачи, друзья!
Те ли симптомы (код дроппера тот же?), не обновлена ли версия exim руками до больной (многие же любят похимичить) и т.д.
Почему это считаю важным — тут ещё пишут что jessie поломан.
Стоит посмотреть, что там творится — лучше убедиться что проблема там другая, чем успокаивать себя что ну не может же этого быть) Верно?
Ещё вопрос — а какая версия Debian-exim там стояла?..
Скажите пожалуйста, а с каких таких серверов обновления качаете? Если у них такой несвежачок, это Вы ещё внимание обратили, а другие ведь могут попасть.
Тут в комментах для CentOS то же самое было — голландский какой-то сервак содержал старые версии в репозитории. Пришлось ручками переключаться на другой репозиторий и оттуда всё свежее встало сразу.
А обновиться Вам нужно срочно, чудо если ещё не заражены.
stretch (security) 4.89-2+deb9u4 fixed
и
Fixed Version = 4.89-2+deb9u4
Уточните, пожалуйста, у тех кто даёт отличной от официальной информацию: на чём основано их утверждение? они что-то знают, чего официалы не знают? пусть тогда срочно команде дебиана расскажут в первую очередь :)