The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от opennews (??) on 02-Ноя-13, 09:09 
Администраторы инфраструктуры дистрибутива Sabayon Linux сообщили (https://forum.sabayon.org/viewtopic.php?f=49&t=30981) о выявлении фактов проникновения злоумышленников на сервер, обслуживающий официальный форум проекта, wiki и систему отслеживания ошибок (bugzilla). В результате взлома была зафиксирована утечка содержимого базы, содержащей MD5-хэши паролей (двойной хэш с солью) и персональные данные пользователей.  


Взлом был совершён в ночь с 28 на 29 октября путём использования  пароля, перехваченного у одного из администраторов форума. В результате атаки, злоумышленникам удалось организовать выполнение собственного php-кода на сервере через его подстановку через модуль поддержания FAQ. Указанный код был использован для установки двух бэкдоров (cache2.php и cache3.php) и получения доступа к содержимому БД с параметрами аутентификации для web-сервисов проекта (используется централизованная система аутиентификации на базе форума phpBB). Следы атакующих установить не удалось, так как при проведении атаки злоумышленники работали через сеть Tor.


Для оперативного обнаружения подобных атак в будущем администраторы сервера обеспечили работу системы уведомлений о всех подозрительных загрузках файлов на сервер. Для исключения вероятности скрытой подмены данных в БД, содержимое базы данных восстановлено из одного из ежечасных бэкапов, сохранённых до взлома. Всем пользователям форума, wiki и bugzilla рекомендуется срочно поменять свои пароли (аккаунты не заблокированы). В случае использования одинакового пароля на нескольких сайтах, пароль рекомендуется поменять и на других ресурсах.

URL: https://forum.sabayon.org/viewtopic.php?f=49&t=30981
Новость: http://www.opennet.ru/opennews/art.shtml?num=38323

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


7. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +6 +/
Сообщение от Аноним (??) on 02-Ноя-13, 12:34 
Неоднозначно. С одной стороны, один админ лопухнулся с паролем (в винде сидел?), с другой стороны - реакция довольно оперативная, картину произошедшего восстановили быстро, есть отлаженные бэкапы, да и отреагировали верно, усложнили задачу взломщикам на будущее. Видел худшую картину в более "серьезных" проектах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от ананим on 02-Ноя-13, 12:45 
Просто от генту не так уж далеко ушла.
А гентешники на этом слегка помешаны. По себе знаю. :D
Ну и форумом рулить (лично для меня) муторно. Вот и взяли кого-то в стиле "пароль на мониторе маркером записан".
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

41. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +2 +/
Сообщение от Аноним (??) on 02-Ноя-13, 22:40 
>>реакция довольно оперативная

Админ просто выслал пароль смской своему другу, а на утро понял, что номер перепутал ))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Форум и web-сервисы дистрибутива Sabayon Linux..."  +5 +/
Сообщение от arisu (ok) on 02-Ноя-13, 12:44 
сказочный дебил там администратор: «If you believe that Internet anonymity is good, well… will you be ready to pay the price of it?»

«я обосрался, но виновата анонимность!»

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Форум и web-сервисы дистрибутива Sabayon Linux..."  +/
Сообщение от Аноним (??) on 02-Ноя-13, 13:33 
> сказочный дeбил там администратор: «If you believe that Internet anonymity is good,

Интересно, он по этому поводу в свою систему бэкдоров и спайвари насует? И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпу.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

35. "Форум и web-сервисы дистрибутива Sabayon Linux..."  +/
Сообщение от Аноним (??) on 02-Ноя-13, 20:27 
> И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпу

Как будто тор анонимен.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

42. "Форум и web-сервисы дистрибутива Sabayon Linux..."  +1 +/
Сообщение от Аноним (??) on 02-Ноя-13, 23:03 
> Как будто тор анонимен.

До некоторой степени - да. В частности, полисмены которые ловили владельца Silk Road довольно много плевались на это дело и ничего эффективного насчет Tor придумать не смогли. АНБ в своих доках вообще назвало Tor "вонючкой" за сложность эффективного мониторинга.

Зато полисмены придумали в 10 раз более простой и эффективный метод поймать з@ср@нца, никак не связанный с Tor и Bitcoin :). Вообще, рекомендую: http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalCompl... - или как пользоваться Tor и Bitcoin и при этом попасться на куда более простой фигне. Замечательный детектив. И хороший пример того как Tor/Bitcoin/ ... видят полисмены. И кто и какие методы использует.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

59. "Форум и web-сервисы дистрибутива Sabayon Linux..."  +1 +/
Сообщение от Аноним (??) on 04-Ноя-13, 18:06 
> Как будто тор анонимен.

АНБ говорит, что Tor не анонимен, и пользоваться им нельзя. Верьте АНБ, они фигни не скажут.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  –1 +/
Сообщение от Аноним (??) on 02-Ноя-13, 22:37 
>>хэши паролей и персональные данные пользователей

А был бы коммерческим продуктом, утекли еще бы и номера кредиток.
Юзайте свободный софт!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от Прохожий (??) on 03-Ноя-13, 13:34 
> получения доступа к содержимому БД с параметрами аутентификации для
> web-сервисов проекта (используется централизованная система аутиентификации на
> базе форума phpBB)

Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?

А, да, вспоминаю, видел где-то когда-то такое: лежит setup.php с открытым паролем на БД с чуть ли не административными правами, и весь обмен данными с БД, независимо от авторизации, проходит через этот единый пароль... Нет слов!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  –1 +/
Сообщение от тигар (ok) on 05-Ноя-13, 14:51 
> Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?

это как? есть одмин/форумобот который дергает vvveRyyseecretttttscript.php который использует юзера у которого в grant-ах есть права писать в бд, остальные скипты используют юзера у которого только select ?;-)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

62. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от Прохожий (??) on 06-Ноя-13, 10:11 
> это как?

Нет, это всего лишь так, что каждый пользователь авторизируется на БД под отдельной ролью с правами, для его работы необходимыми и достаточными.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

63. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от тигар (ok) on 06-Ноя-13, 10:23 
>> это как?
> Нет, это всего лишь так, что каждый пользователь авторизируется на БД под
> отдельной ролью с правами, для его работы необходимыми и достаточными.

а я не удивлюсь, если там все работало с dbhost=localhost, dbuser=root, dbpassword="" (ну или с паролем, но везде одинаковым)
как-то приходилось сталкиваться с такими отжигами на машинах после "линуксоидов".
изначально я не верно прочел коммент на который отвечал, подумал что речь чисто о форуме и разограничении прав для работы с его бд:)

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

49. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от pavlinux (ok) on 03-Ноя-13, 15:27 
> путём использования пароля, перехваченного у одного из администраторов

Можно дальше не читать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Форум и web-сервисы дистрибутива Sabayon Linux подверглись в..."  +/
Сообщение от Аноним (??) on 03-Ноя-13, 16:27 
> Можно дальше не читать.

Дык, крутые хакеры пошли. Одни факсом DNS перенаправляют, вторые пароль у админа крадут. Ждем новостей о "взломах" путем логина по информации с бумажки приклееной к монитору "админа".

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру