1

Onderwerp: Pas op met knippen en plakken van commando's van een website.

Misschien al bekend, maar ik kwam dit toevallig tegen.

Pas op met knippen en plakken van een ogenschijnlijk onschuldig commando
in je terminal.
What you see isn't always what you get!

https://lifepluslinux.blogspot.nl/2017/ … te-to.html

Het lijkt dat je alleen ls -lat kopieert, maar plak het maar eens in een tekstverwerker.

Re: Pas op met knippen en plakken van commando's van een website.

Yep, bekend probleem, maar kwam geen kwaad mensen hier over te waarschuwen.

Re: Pas op met knippen en plakken van commando's van een website.

Goede waarschuwing!!! De crux:

There is some malicious code between ls and -lat that is hidden from the user

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

Re: Pas op met knippen en plakken van commando's van een website.

Voor sysadmins is dit er een die ik verafschuw:

Elke SA die ik dat zie doen, die krijgt te maken met de lart. Voordat het argument aangedragen wordt: "Ja, maar je leest toch ook niet elk script?" Dat klopt, maar in de regel wel .sh bestanden of aangeleverde SQL scripts. Zeker diegene die niet met een encryptie sleutel zijn getekend.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Pas op met knippen en plakken van commando's van een website.

"This can be worse. If the code snippet had a command with sudo for instance, the malicious code will have sudo access too"

Dit gevaar kun je natuurlijk ondervangen door iig geen wachtwoord in te geven na welk commando dan ook, die je ergens zomaar vandaan hebt gekopieerd.

6 Laatst bewerkt door MeneerJansen (30 Jan 2017 12:59:27)

Re: Pas op met knippen en plakken van commando's van een website.

Incomudro schreef:

"This can be worse. If the code snippet had a command with sudo for instance, the malicious code will have sudo access too"

Dit gevaar kun je natuurlijk ondervangen door iig geen wachtwoord in te geven na welk commando dan ook, die je ergens zomaar vandaan hebt gekopieerd.

Het vervelende is dat als ik voor een ander commando of script mijn password in heb gegeven dat Bash dat onthoudt. Dus als ik het bovengenoemde commando copy-paste dan hoef ik soms mijn wachtwoord niet meer een tweede keer in te geven en dan werkt elke "sudo truc" die de hacker probeert. Dus:

$ sudo updatedb
password: *********

$ copy-paste_commando_van_internet
<<geen password meer nodig>>
Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

Re: Pas op met knippen en plakken van commando's van een website.

Dat kan gebeuren, maar dat wordt toch maar een minuutje of 10 onthouden voordat je je ww opnieuw moet invoeren?

8

Re: Pas op met knippen en plakken van commando's van een website.

Hallo,

Mag ook graag even een commando in de terminal gooien.
Maar ik kan dat dus beter even in een tekst verwerker gooien,
om te kijken of dat wel hetzelde commando is?

Groet.

Slackware 64  14.2

Re: Pas op met knippen en plakken van commando's van een website.

Fietser schreef:

Maar ik kan dat dus beter even in een tekst verwerker gooien,
om te kijken of dat wel hetzelde commando is?

Plain-text editor. Een tekstverwerker zou dezelfde styling als de HTML over kunnen nemen,

10

Re: Pas op met knippen en plakken van commando's van een website.

Bedankt voor je antwoord.

Ben is even aan het kijken.

In kate en Libre office Writer zie ik de toegevoegde code.(HaHa enz)
Op mijn clipboard kan ik ook de gehele code zien.

In het vervolg eerst maar even kijken dus.

Gebruik trouwens geen sudo ik su.
Ik zie niet dat bash mijn pasword onthoud.
2 keer ingelogd steeds pasword opgeven.

Incomudro bedankt voor de tip.

Groet.

Slackware 64  14.2

Re: Pas op met knippen en plakken van commando's van een website.

Even voor de duidelijkheid wink, bash onthoudt in geen enkel geval je wachtwoord. sudo cached de 'credentials' voor een opgegeven periode (standaard een kwartier op de meeste systemen).

12

Re: Pas op met knippen en plakken van commando's van een website.

Klopt, wees alleen beducht op het feit dat Theo'tje doas heeft geïntroduceerd. Daar onthoud ie niet het wachtwoord standaard.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."