Source [DLMURL] https://yushchuk.livejournal.com/240739.html [/ DLMURL]
I bring the material "as is". Explained, in my opinion, excellent. Author: lukamud, Source: [DLMURL] https://lukamud.livejournal.com/23151.html [/ DLMURL]
Next is a quote.
Features of the national hack. Draft records of the president’s visit to the Far Eastern Federal District in the public domain?
Recently, yushchuk, dobryi_leshii, and others are actively exploiting “one of the features” of the Apache web server to find the materials necessary for work. But it is stated in such a form incomprehensible to the average person that it made me able to write a separate post.
Forgive me colleagues, I will talk about it at the philistine level. And so, when a user accesses using a browser (the program with which they look at Internet pages) to a certain URL (this is what you type in the browser window like https://it2b.ru/company/hreshebnik/blog/ ... m = facebook com) a web or HTTP server accepts a client request, processes it and transfers the requested data. This data is processed by the browser and visualized on the screen.
The first HTTP server was invented in 1990 at the European Organization for Nuclear Research (CERN). Currently, I know about ten types of HTTP servers, the most common being Apache (Apache HTTP Server). All of them work in typical cases in approximately the same way. Therefore, in the future, we will consider the example of Apache. If you put a file with the name index.html containing some HTML code in the directory (directory, folder) that is defined as the root for the server, then the user who accesses the resource will see the corresponding page. But what happens if you don’t put a single file in this directory, or put one or more files that have names other than index.html? In this case, the server’s response depends on its settings. You can configure the server so that it will not show the contents of the directory, or it is possible so that the HTTP server automatically indexes the contents of the directory and forms the corresponding page. An approximate view of this page can be seen at the beginning of the post.
Please note that on this automatically generated page are the phrase “Index of”, the name of the HTTP server is “Apache”, the file names and the date they were modified. This fact makes it easy to find such pages using search engines.
I was interested in the question, are there many similar pages on the official state websites of the Russian Federation? To do this, I asked Google:
2010 "index + of" apache site: gov.ru
In common human language, this means that
“Dear Mr. Google, could you tell me if there are automatically created using Apache, containing the latest, 2010 information, index pages, on the hosts in the zone (on the sites whose names end with) gov.ru, used to host official sites in the Russian Federation? ”
Google promptly replied to me that there were approximately 722 of these pages. On the first page of the issue appeared the sites of the "Administration of Tambov" https://city.tambov.gov.ru/ and the site https://it2b.ru/company/hreshebnik/blog/ ... m = facebook at https://dfo.gov.ru/ the official website of the plenipotentiary of the President of the Russian Federation in the Far Eastern Federal District). In the directory / press / 020710Preziden there were files with the names:
Darkin_.zip, Darkin_ZVUK.mp3, Medvedev_.zip, Medvedev_ZVUK.mp3, Filming1.zip.
Judging by the names, sizes and dates, the files contain the results of video filming and sound recordings made during the visit of Russian President D. Medvedev to the Far Eastern Federal District. I had no desire to familiarize myself with these files, but their availability on the Internet, freely available, surprised me somewhat. It seems to me that these files are not intended for public use. This is indicated, for example, by their placement in the form of archives. The need for the correct installation of automatic indexing directories has been written for more than a dozen years. I could admit that the wrong settings might be on teen sites, but on government sites? I was very surprised.
Purely out of interest, I decided to find out how often RuNet users are interested in such index pages? To do this, I turned to the [DLMURL] service https://wordstat.yandex.ru/ [/ DLMURL], from where I found out that users search for the phrase “index + of” 7555 times a month.
It is very incomprehensible that this request is made only by users from two countries - Russia and Ukraine. The features of the national "hack" are clearly manifested.
The end of the quote.
********************************....
I think lukamud is useful to many categories of people at once.
1. Competitive intelligence professionals — they will be able to better understand the tools they use.
2. Those who are responsible for the information security of sites in government agencies (not everyone is so scrupulous that they voluntarily refuse to watch files, as the author of the post did).
3. Heads of enterprises who can verify the work of their IT-specialists.
Yes, both state and official secrets will be preserved. And such negative phenomena as signs of violation of the Marker newspaper headed by editor Alexander Malyutin and the official secret of the President of the Russian Federation, I hope, will be reduced. If specialists read this material and take measures to restore order on the servers.
And incidents that will nevertheless occur due to the legal lawlessness of the nihilism of individual journalists will be easier to investigate. After all, the journalist of that very notorious Marker, who cynically declared publicly that she had not been given a decree, still worked in the newspaper. “I don’t care what is written in the Criminal Code,” the journalist of the newspaper Marker publicly stated. And she added: "I myself determine what I have the right to and what not."
And what can stick to the hands of such a person tomorrow is impossible to predict.
I bring the material "as is". Explained, in my opinion, excellent. Author: lukamud, Source: [DLMURL] https://lukamud.livejournal.com/23151.html [/ DLMURL]
Next is a quote.
Features of the national hack. Draft records of the president’s visit to the Far Eastern Federal District in the public domain?
Recently, yushchuk, dobryi_leshii, and others are actively exploiting “one of the features” of the Apache web server to find the materials necessary for work. But it is stated in such a form incomprehensible to the average person that it made me able to write a separate post.
Forgive me colleagues, I will talk about it at the philistine level. And so, when a user accesses using a browser (the program with which they look at Internet pages) to a certain URL (this is what you type in the browser window like https://it2b.ru/company/hreshebnik/blog/ ... m = facebook com) a web or HTTP server accepts a client request, processes it and transfers the requested data. This data is processed by the browser and visualized on the screen.
The first HTTP server was invented in 1990 at the European Organization for Nuclear Research (CERN). Currently, I know about ten types of HTTP servers, the most common being Apache (Apache HTTP Server). All of them work in typical cases in approximately the same way. Therefore, in the future, we will consider the example of Apache. If you put a file with the name index.html containing some HTML code in the directory (directory, folder) that is defined as the root for the server, then the user who accesses the resource will see the corresponding page. But what happens if you don’t put a single file in this directory, or put one or more files that have names other than index.html? In this case, the server’s response depends on its settings. You can configure the server so that it will not show the contents of the directory, or it is possible so that the HTTP server automatically indexes the contents of the directory and forms the corresponding page. An approximate view of this page can be seen at the beginning of the post.
Please note that on this automatically generated page are the phrase “Index of”, the name of the HTTP server is “Apache”, the file names and the date they were modified. This fact makes it easy to find such pages using search engines.
I was interested in the question, are there many similar pages on the official state websites of the Russian Federation? To do this, I asked Google:
2010 "index + of" apache site: gov.ru
In common human language, this means that
“Dear Mr. Google, could you tell me if there are automatically created using Apache, containing the latest, 2010 information, index pages, on the hosts in the zone (on the sites whose names end with) gov.ru, used to host official sites in the Russian Federation? ”
Google promptly replied to me that there were approximately 722 of these pages. On the first page of the issue appeared the sites of the "Administration of Tambov" https://city.tambov.gov.ru/ and the site https://it2b.ru/company/hreshebnik/blog/ ... m = facebook at https://dfo.gov.ru/ the official website of the plenipotentiary of the President of the Russian Federation in the Far Eastern Federal District). In the directory / press / 020710Preziden there were files with the names:
Darkin_.zip, Darkin_ZVUK.mp3, Medvedev_.zip, Medvedev_ZVUK.mp3, Filming1.zip.
Judging by the names, sizes and dates, the files contain the results of video filming and sound recordings made during the visit of Russian President D. Medvedev to the Far Eastern Federal District. I had no desire to familiarize myself with these files, but their availability on the Internet, freely available, surprised me somewhat. It seems to me that these files are not intended for public use. This is indicated, for example, by their placement in the form of archives. The need for the correct installation of automatic indexing directories has been written for more than a dozen years. I could admit that the wrong settings might be on teen sites, but on government sites? I was very surprised.
Purely out of interest, I decided to find out how often RuNet users are interested in such index pages? To do this, I turned to the [DLMURL] service https://wordstat.yandex.ru/ [/ DLMURL], from where I found out that users search for the phrase “index + of” 7555 times a month.
It is very incomprehensible that this request is made only by users from two countries - Russia and Ukraine. The features of the national "hack" are clearly manifested.
The end of the quote.
********************************....
I think lukamud is useful to many categories of people at once.
1. Competitive intelligence professionals — they will be able to better understand the tools they use.
2. Those who are responsible for the information security of sites in government agencies (not everyone is so scrupulous that they voluntarily refuse to watch files, as the author of the post did).
3. Heads of enterprises who can verify the work of their IT-specialists.
Yes, both state and official secrets will be preserved. And such negative phenomena as signs of violation of the Marker newspaper headed by editor Alexander Malyutin and the official secret of the President of the Russian Federation, I hope, will be reduced. If specialists read this material and take measures to restore order on the servers.
And incidents that will nevertheless occur due to the legal lawlessness of the nihilism of individual journalists will be easier to investigate. After all, the journalist of that very notorious Marker, who cynically declared publicly that she had not been given a decree, still worked in the newspaper. “I don’t care what is written in the Criminal Code,” the journalist of the newspaper Marker publicly stated. And she added: "I myself determine what I have the right to and what not."
And what can stick to the hands of such a person tomorrow is impossible to predict.
Original message
Источник [DLMURL]https://yushchuk.livejournal.com/240739.html[/DLMURL]
Привожу материал "as is". Объяснено, на мой взгляд, отлично. Автор: lukamud , Источник: [DLMURL]https://lukamud.livejournal.com/23151.html[/DLMURL]
Далее - цитата.
Особенности национального хака. Черновые записи визита президента в ДФО в открытом доступе?
В последнее время yushchuk , dobryi_leshii и др. активно эксплуатируют «одну из особенностей» веб сервера Apache для поиска нужных для работы материалов. Но изложено это в такой непонятно для обывателя форме, что это сподобило меня на написание отдельного поста.
Да простят меня коллеги я расскажу про это на обывательском уровне. И так при обращении пользователя с помощью браузера (программа с помощью которой смотрят интернет странички) к некоторому URL (это то, что Вы набираете в окошке браузера типа https://it2b.ru/company/hreshebnik/blog/ ... m=facebook com) веб- или HTTP-сервер принимает клиентский запрос, обрабатывает его и передает запрашиваемые данные. Эти данные, обрабатываются браузером и визуализируются на экране.
Первый HTTP-сервер изобрели в 1990 г. в «Европейской организации по ядерным исследованиям» (CERN). В настоящее время мне известно порядка десяти типов HTTP-серверов, наиболее распространенным является Apache (Apache HTTP Server). Все они работают в типовых случаях примерно одинаково. Поэтому в дальнейшем, будем рассматривать на примере Apache. Если в каталог (директорию, папочку) который определен корневым для сервера, положить файлик с именем index.html, содержащий некий HTML код, то пользователь, обратившийся к ресурсу увидит соответствующую страничку. А что будет если в этот каталог не положить ни одного файла, или положить один или несколько файлов, имеющих имена отличные от index.html ? В этом случае ответ сервера зависит от его настроек. Можно настроить сервер так, что он не будет показывать содержание каталога, а можно и так, что бы HTTP-сервер автоматически индексировал содержимое каталога и формировал соответствующую страничку. Примерный вид этой странички можно увидеть вначале поста.
Обратите внимание, на этой, автоматически сгенерированной странице находятся фраза «Index of», наименование HTTP-сервера - «Apache», имена файлов и дата их модификации. Это обстоятельство позволяет легко находить такие страницы с помощью поисковых систем.
Меня заинтересовал вопрос, много ли подобных страниц на официальных государственных сайтах РФ? Для этого я спросил у Google:
2010 "index +of" apache site:gov.ru
На общечеловеческом языке это означает, что
«Уважаемый г-н Google, не могли бы Вы мне сказать, имеются ли автоматически создаваемые с помощью Apache, содержащие свежую, за 2010 г. информацию, индексные странички, на хостах в зоне (на сайтах названия которых заканчиваются на) gov.ru, используемой для размещения официальных сайтов в РФ?»
Google мне оперативно ответил, что таких страничек примерно 722. На первой странице выдачи фигурировали сайты «Администрации г. Тамбова» https://city.tambov.gov.ru/ и сайт https://it2b.ru/company/hreshebnik/blog/ ... m=facebook по адресу https://dfo.gov.ru/ находится официальный сайт полномочного представителя Президента Российской Федерации по Дальневосточному федеральному округу). В каталоге /press/020710Preziden находились файлы с именами:
Дарькин_.zip , Дарькин_ЗВУК.mp3, Медведев_.zip , Медведев_ЗВУК.mp3, Подсъемки1.zip.
Судя по названиям, размерам и датам файлы содержат результаты видеосъемок и звукозаписей сделанных во время визита Президента РФ Д. Медведева в Дальневосточный федеральный округ. Я не имел желания ознакамливаться с этими файлами, но их наличие в Интернете, в свободном доступе меня несколько удивило. Мне кажется, что эти файлы не предназначены для публичного использования. На это указывает, например, их размещение в виде архивов. О необходимости корректной установки автоматического индексирования каталогов пишут уже не первый десяток лет. Я мог допустить, что неправильные настройки могут быть на сайтах у подростков, но на правительственных сайтах? Очень удивило.
Чисто из интереса решил узнать, а как часто пользователи Рунета интересуются подобными индексными страничками? Для этого обратился к сервису [DLMURL]https://wordstat.yandex.ru/[/DLMURL] , откуда узнал, что фразу «index +of» пользователи ищут 7555 раз в месяц.
Очень непонятным является тот факт, что этот запрос делают только пользователи из двух стран — России и Украины. Явно проявляется особенности национального «хака».
Конец цитаты.
******************************************
Я думаю, пост lukamud полезен сразу многим категориям людей.
1. Специалистам конкурентной разведки - они смогут лучше понимать инструменты, которыми пользуются.
2. Тем, кто отвечает за информационную безопасность сайтов в государственных структурах (не все столь щепетильны, что добровольно откажутся смотреть файлы, как это сделал автор поста).
3. Руководителям предприятий, которые смогут проверить работу своих IT-специалистов.
Да и государственная, и служебная тайна сохраннее будут. И таких негативных явлений, как признаки нарушения возглавляемой редактором Александром Малютиным газеты Маркер, служебной тайны Президента РФ, я надеюсь, станет меньше. Если специалисты прочтут этот материал и примут меры по наведению порядка на серверах.
А инциденты, которые все же будут происходить из-за правового беспредела нигилизма отдельных журналистов, будет проще расследовать. Ведь по-прежнему трудится в газете журналист того самого печально прославившегося Маркера, цинично заявившая во всеуслышание, что ей Уголовный Кодекс не указ. "Мне пофиг что написано в УК", - публично заявила журналист газеты Маркер. И добавила: "Я сама определяю, на что есть у меня право, а на что нет".
![url]](/proxy.php?image=http%3A%2F%2F%5Burl%3Dhttps%3A%2F%2Fpics.livejournal.com%2Fyushchuk%2Fpic%2F00178ygg.jpg%5Dhttps%3A%2F%2Fpics.livejournal.com%2Fyushchuk%2Fpic%2F00178ygg.jpg%5B%2Furl%5D&hash=d1319e61eabd879ae7b33ce7daccdefd)
И что может прилипнуть к рукам такого человека завтра, предсказать невозможно.
Привожу материал "as is". Объяснено, на мой взгляд, отлично. Автор: lukamud , Источник: [DLMURL]https://lukamud.livejournal.com/23151.html[/DLMURL]
Далее - цитата.
Особенности национального хака. Черновые записи визита президента в ДФО в открытом доступе?
В последнее время yushchuk , dobryi_leshii и др. активно эксплуатируют «одну из особенностей» веб сервера Apache для поиска нужных для работы материалов. Но изложено это в такой непонятно для обывателя форме, что это сподобило меня на написание отдельного поста.
Да простят меня коллеги я расскажу про это на обывательском уровне. И так при обращении пользователя с помощью браузера (программа с помощью которой смотрят интернет странички) к некоторому URL (это то, что Вы набираете в окошке браузера типа https://it2b.ru/company/hreshebnik/blog/ ... m=facebook com) веб- или HTTP-сервер принимает клиентский запрос, обрабатывает его и передает запрашиваемые данные. Эти данные, обрабатываются браузером и визуализируются на экране.
Первый HTTP-сервер изобрели в 1990 г. в «Европейской организации по ядерным исследованиям» (CERN). В настоящее время мне известно порядка десяти типов HTTP-серверов, наиболее распространенным является Apache (Apache HTTP Server). Все они работают в типовых случаях примерно одинаково. Поэтому в дальнейшем, будем рассматривать на примере Apache. Если в каталог (директорию, папочку) который определен корневым для сервера, положить файлик с именем index.html, содержащий некий HTML код, то пользователь, обратившийся к ресурсу увидит соответствующую страничку. А что будет если в этот каталог не положить ни одного файла, или положить один или несколько файлов, имеющих имена отличные от index.html ? В этом случае ответ сервера зависит от его настроек. Можно настроить сервер так, что он не будет показывать содержание каталога, а можно и так, что бы HTTP-сервер автоматически индексировал содержимое каталога и формировал соответствующую страничку. Примерный вид этой странички можно увидеть вначале поста.
Обратите внимание, на этой, автоматически сгенерированной странице находятся фраза «Index of», наименование HTTP-сервера - «Apache», имена файлов и дата их модификации. Это обстоятельство позволяет легко находить такие страницы с помощью поисковых систем.
Меня заинтересовал вопрос, много ли подобных страниц на официальных государственных сайтах РФ? Для этого я спросил у Google:
2010 "index +of" apache site:gov.ru
На общечеловеческом языке это означает, что
«Уважаемый г-н Google, не могли бы Вы мне сказать, имеются ли автоматически создаваемые с помощью Apache, содержащие свежую, за 2010 г. информацию, индексные странички, на хостах в зоне (на сайтах названия которых заканчиваются на) gov.ru, используемой для размещения официальных сайтов в РФ?»
Google мне оперативно ответил, что таких страничек примерно 722. На первой странице выдачи фигурировали сайты «Администрации г. Тамбова» https://city.tambov.gov.ru/ и сайт https://it2b.ru/company/hreshebnik/blog/ ... m=facebook по адресу https://dfo.gov.ru/ находится официальный сайт полномочного представителя Президента Российской Федерации по Дальневосточному федеральному округу). В каталоге /press/020710Preziden находились файлы с именами:
Дарькин_.zip , Дарькин_ЗВУК.mp3, Медведев_.zip , Медведев_ЗВУК.mp3, Подсъемки1.zip.
Судя по названиям, размерам и датам файлы содержат результаты видеосъемок и звукозаписей сделанных во время визита Президента РФ Д. Медведева в Дальневосточный федеральный округ. Я не имел желания ознакамливаться с этими файлами, но их наличие в Интернете, в свободном доступе меня несколько удивило. Мне кажется, что эти файлы не предназначены для публичного использования. На это указывает, например, их размещение в виде архивов. О необходимости корректной установки автоматического индексирования каталогов пишут уже не первый десяток лет. Я мог допустить, что неправильные настройки могут быть на сайтах у подростков, но на правительственных сайтах? Очень удивило.
Чисто из интереса решил узнать, а как часто пользователи Рунета интересуются подобными индексными страничками? Для этого обратился к сервису [DLMURL]https://wordstat.yandex.ru/[/DLMURL] , откуда узнал, что фразу «index +of» пользователи ищут 7555 раз в месяц.
Очень непонятным является тот факт, что этот запрос делают только пользователи из двух стран — России и Украины. Явно проявляется особенности национального «хака».
Конец цитаты.
******************************************
Я думаю, пост lukamud полезен сразу многим категориям людей.
1. Специалистам конкурентной разведки - они смогут лучше понимать инструменты, которыми пользуются.
2. Тем, кто отвечает за информационную безопасность сайтов в государственных структурах (не все столь щепетильны, что добровольно откажутся смотреть файлы, как это сделал автор поста).
3. Руководителям предприятий, которые смогут проверить работу своих IT-специалистов.
Да и государственная, и служебная тайна сохраннее будут. И таких негативных явлений, как признаки нарушения возглавляемой редактором Александром Малютиным газеты Маркер, служебной тайны Президента РФ, я надеюсь, станет меньше. Если специалисты прочтут этот материал и примут меры по наведению порядка на серверах.
А инциденты, которые все же будут происходить из-за правового беспредела нигилизма отдельных журналистов, будет проще расследовать. Ведь по-прежнему трудится в газете журналист того самого печально прославившегося Маркера, цинично заявившая во всеуслышание, что ей Уголовный Кодекс не указ. "Мне пофиг что написано в УК", - публично заявила журналист газеты Маркер. И добавила: "Я сама определяю, на что есть у меня право, а на что нет".
И что может прилипнуть к рукам такого человека завтра, предсказать невозможно.
ой хорошо.
