Apache.org a fost spart de hackeri

0

apache_logoEchipa proiectului Apache a fost pe 28 august fortata sa inchida unul din serverele principale, dupa ce au descoperit ca niste hackeri necunoscuti au uploadat si executat cod malitios pe serverul lor. Se pare ca atacatorii au folosit o cheie SSH de autentificare asociata cu un backup al unui cont pentru a intra.

Atacul a inceput pe spre seara lui 27 august si a avut ca tinta serverul minotaur.apache.org(people.apache.org) .Conform echipei Apache : „this is the seed host for most apache.org websites and also accounts for all developers”.

Atacatorii s-au autentificat pe serverul ce rula FreeBSD 7 – Stable , folosind cheia SSH ce corespundea unui angajat ce facea backupuri automat pentru website-ul ApacheCon.Din fericire, acestia nu au reusit sa treaca peste privilegiile contului de pe acel server.

Folosind contul compromis si accesul acestuia la directoarele de pe www.apache.org, atacatorii au uploadat cateva scripturi CGI, precum si alte fisiere. Aceste fisiere au fost mai tarziu copiate de procesele sync automate pe majoritatea serverelor proiectelor web.

„The Apache Infrastructure Team” a anuntat faptul ca in timpul diminetei de pe 28 august, fisierele CGI au fost executate de la distanta prin protocolul HTTP, rezultand creearea unui proces neautorizat pe serverul eos.apache.org, ducand la alertarea administratorilor : „Within the next 10 minutes we decided to shutdown all machines involved as a precaution”, spun cei din echipa Apache.

O investigatie preliminara a scos la iveala faptul ca serverul eris.apache.org a fost complet neafectat , si a fost folosit pentru a crea o intarziere pe majoritatea serviciilor apache. Administratorii au schimbat toate website-urile la un punct de pe aurora.apache.org , proiectul European de backup, ce a avut fisierele suspecte pe el, dar acestea nefiind executate, le-a fost mai usor curatarea lor.

Desi unele servere sunt inca online, majoritatea serviciilor publice au revenit. Investigatia continua. Cu toate ca nu exista nici un motiv ca descarcarile Apache sa fie compromise, utilizatorii sunt sfatuiti de a folosi semnaturile digitale pentru a verifica autenticitatea si integritatea fisierelor.

Daca acest articol contine o greseala, selecteaza cuvintele sau fraza gresita si tasteaza combinatia de taste Shift + Enter sau apasa click aici pentru a o raporta. Multumim!

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.