The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.08.2009 16:18  Web-сервер проекта Apache подвергся взлому (дополнительные подробности!)

Администраторы Apache Software Foundation в экстренном порядке произвели изменение в DNS зоне apache.org, перенаправив запросы основного web-сервера проекта на запасное зеркало в Европе. Пользователи, у которых старый IP сайта www.apache.org все еще находится в DNS кэше, могут увидеть пустую страницу с уведомлением в блокировке работы сайта в связи со взломом.

Подробности пока неизвестны, в уведомлении рассказано только о том, что ряд серверов пришлось отключить от сети из-за обнаружения следов проникновения злоумышленников. По предварительным данным, проникновение было организовано через украденный у одного из разработчиков SSH-ключ, а не через неизвестную уязвимость в http-сервере Apache.

Дополнение: команда разработчиков, обслуживающих инфраструктуру Apache, опубликовала информационное письмо с изложением подробностей. Взлом был совершен через перехваченный SSH-ключ, используемый для резервного копирования с привлечением стороннего провайдера. Злоумышленникам удалось разместить CGI-скрипт на сервере, данные с которого синхронизируются с данными на рабочих серверах проекта, после завершения очередной синхронизации, через обращение к этому скрипту атакующие добились выполнения своего кода на сервере eos.apache.org. После выявления постороннего процесса, администраторы осуществили откат на серверах инфраструктуры проекта на ZFS-снапшот, созданный до момента синхронизации с взломанным хостом.

Злоумышленникам не удалось получить привилегии суперпользователя и изменить файлы с архивами программ, доступные для загрузки с сайта. Тем не менее, несмотря на отсутствие доказательства изменения файлов и уверение о том, что атака никаким образом не повлияла на пользователей проекта, разработчики рекомендуют при загрузке программ с apache.org обязательно провести сверку полученных архивов по цифровым сигнатурам.

  1. Главная ссылка к новости (https://blogs.apache.org/infra...)
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: apache, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.7, Aleksey, 17:55, 28/08/2009 [ответить] [смотреть все]
  • +7 +/
    Самое слабое звено любой системы - это ее пользователи.
     
     
  • 2.10, iZEN, 18:28, 28/08/2009 [^] [ответить] [смотреть все] [показать ветку]
  • –6 +/
    Нет Пользователи не являются звеньями никаких цепей в системе безопасности ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, ig0r, 22:55, 28/08/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    правильней сказать - не пользователи, а человеческий фактор
     
     
  • 3.85, pavlinux, 03:35, 01/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Настоящий программист, как известно, ставит рядом с собой два стакана - один с в... весь текст скрыт [показать]
     
  • 1.9, Аноним, 18:26, 28/08/2009 [ответить] [смотреть все]  
  • +1 +/
    Уровень безопасности всей системы определяется уровнем защищённости её самого сл... весь текст скрыт [показать]
     
     
  • 2.11, pavlinux, 20:46, 28/08/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Мозгами админа Диск с содержимым Web-сервера должен находится на DVD BD-ROM, п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, ximaera, 20:58, 28/08/2009 [^] [ответить] [смотреть все]  
  • +2 +/
    А я думал, почему веб-сервер ФСБ так тормозит...
     
     
  • 4.65, User294, 00:31, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну а чо, у DVD-ROM seek time паршивый P ... весь текст скрыт [показать]
     
  • 3.13, ximaera, 20:59, 28/08/2009 [^] [ответить] [смотреть все]  
  • +5 +/
    Дважды контрольную сумму одного и того же файла мало проверять Надо десять А т... весь текст скрыт [показать]
     
  • 3.15, Аноним, 21:22, 28/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Еще директорию upload тож на read-only носители размещать
     
  • 3.16, csa, 21:31, 28/08/2009 [^] [ответить] [смотреть все]  
  • –2 +/
    представил себе маленький завод для печати DVD BD-ROM рядом с vkontakte ru ... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 22:10, 28/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Она к нему с рейд-массивом дивидюшек прибежит 100Гб и более на одну болван... весь текст скрыт [показать]
     
  • 4.28, pavlinux, 01:46, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Для такого дерьма, и Windows NT 3 51 сойдёт с Б Ушным ленточным накопителем на м... весь текст скрыт [показать]
     
     
  • 5.29, csa, 01:56, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    может и дерьмо, однако как иллюстрация вполне сгодится в принципе, можно привес... весь текст скрыт [показать]
     
  • 3.19, mityok, 22:30, 28/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Критику зря развели Вполне рациональный вариант для критически важного приложен... весь текст скрыт [показать]
     
     
  • 4.20, pro100master, 22:38, 28/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    а монтировать ФС в таком режиме не судьба а за потерю ключа юзера расстрел... весь текст скрыт [показать]
     
     
  • 5.25, mityok, 23:09, 28/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Можно и так Но нет гарантии что ограничение на программном уровне не удасться о... весь текст скрыт [показать]
     
  • 4.21, csa, 22:45, 28/08/2009 [^] [ответить] [смотреть все]  
  • +/
    для критически важного - ради бога но павлинукс-то область применимости не сужае... весь текст скрыт [показать]
     
     
  • 5.23, mityok, 23:06, 28/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Чтобы всунуть здесь был вася нужно каким-либо образом ... весь текст скрыт [показать]
     
     
  • 6.24, csa, 23:08, 28/08/2009 [^] [ответить] [смотреть все]  
  • +/
    ну-ка, ну-ка, от каких таких бед тогда будет защищать нас read-only ... весь текст скрыт [показать]
     
     
  • 7.26, mityok, 23:11, 28/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    от подмены злоумышленником кода приложения Достаточно ясно ответил ... весь текст скрыт [показать]
     
     
  • 8.27, csa, 23:46, 28/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален и всего-то а всякие upload ы картинки видео текстовые ... весь текст скрыт [показать]
     
     
  • 9.32, pavlinux, 02:24, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Данные делим на троих 1 ZeroTimeData - вские кэши, tm... весь текст скрыт [показать]
     
     
  • 10.33, csa, 02:27, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален бекапы проще и УЖЕ РАБОТАЮТ а это геморрно через чур... весь текст скрыт [показать]
     
  • 3.47, None, 17:33, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    А БД ты тоже на диске держать будешь?
     
     
  • 4.51, pavlinux, 20:27, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Чё вы все упёрлись в частности Надо будет - будем держать У Ваших, у всех м... весь текст скрыт [показать]
     
     
  • 5.54, csa, 20:53, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    да нет, частности, это как раз про мобилы, а тот же опеннет генерит куда как при... весь текст скрыт [показать]
     
     
  • 6.60, pavlinux, 22:01, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Я тоже думал, что 8 гигов фоток за год отснятых это шыдэвры Фильтранул, отреда... весь текст скрыт [показать]
     
     
  • 7.67, csa, 02:17, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    оборони создатель исключительно свои ракурсы в разных позах для самолюбования -... весь текст скрыт [показать]
     
     
  • 8.70, pavlinux, 03:49, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    А смысл ... весь текст скрыт [показать]
     
     
  • 9.73, csa, 10:49, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    а смысл тут флеймить вместо того, чтобы пойти погулять попить пивка добавить сво... весь текст скрыт [показать]
     
  • 5.64, User294, 00:30, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Правда А 2 гига фотографий со сливом на диск большого писюка для расчистки ме... весь текст скрыт [показать]
     
     
  • 6.71, pavlinux, 04:00, 30/08/2009 [^] [ответить] [смотреть все]  
  • +2 +/
    Угу, видели мы эти фото-видео, вся инета в этом дер ме А теперь подумайт... весь текст скрыт [показать]
     
     
  • 7.74, csa, 10:52, 30/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    gt оверквотинг удален а, jab, сорри, не признал как там на таттуине, все жи... весь текст скрыт [показать]
     
  • 7.89, User294, 20:53, 03/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Молодец А мне нравится вот возможность сфотографировать забавную сцену 1 нажати... весь текст скрыт [показать]
     
  • 3.58, User294, 21:16, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Мелко мыслишь Надо сразу шить все в mask ROM Проблема только одна - если сер... весь текст скрыт [показать]
     
     
  • 4.80, SkyRanger, 03:13, 31/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Неее Имеется ввиду, что, например, движок портала, т ... весь текст скрыт [показать]
     
     
  • 5.90, User294, 21:05, 03/09/2009 [^] [ответить] [смотреть все]  
  • +/
    А я имел в виду что надо все ОС, сервер, скрипты надо вшить сразу в mask ROM ... весь текст скрыт [показать]
     
  • 1.14, Аноним, 21:18, 28/08/2009 [ответить] [смотреть все]  
  • +/
    вот думаю как мне symfony проект на DVDюк записать )
     
     
  • 2.30, pavlinux, 02:06, 29/08/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как-как Записать с сохранением ссылок на RW места mkdir tmp CDROOT cd ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, csa, 02:24, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    и привет данным в RW-местах при факапе и стоит ли оно ТАКОГО геморроя ... весь текст скрыт [показать]
     
     
  • 4.34, pavlinux, 02:29, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Это уже считать надо Для сайта любителей морских свинок нужно, а для пентагона... весь текст скрыт [показать]
     
     
  • 5.35, csa, 02:32, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    и как любители морских свинок это будут делать вот, допустим, есть у них сайт н... весь текст скрыт [показать]
     
     
  • 6.36, pavlinux, 02:45, 29/08/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Раз уж смогли полюбить свинок - найдут и бабла на сервачок Я всё это к чему... весь текст скрыт [показать]
     
     
  • 7.37, csa, 02:50, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    данное решение себя не оправдывает и я как-то мало представляю себе, где оно буд... весь текст скрыт [показать]
     
     
  • 8.38, pavlinux, 03:35, 29/08/2009 [^] [ответить] [смотреть все]  
  • –2 +/
    Сейчас всё через опу, сначало покупают комп, а потом только придумывают нах ... весь текст скрыт [показать]
     
     
  • 9.39, rico, 09:55, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    не надо судить по себе и конечно, да, с ДВД ты отжог не по-децки всеми этими ... весь текст скрыт [показать]
     
  • 9.40, csa, 10:08, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Сейчас всё через опу, сначало строят интернеты, а потом только придумывают дае... весь текст скрыт [показать]
     
     
  • 10.41, pro100master, 10:45, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    да, в принципе, и данные проще простого защитить Люди не зря придумали виртуали... весь текст скрыт [показать]
     
     
  • 11.44, csa, 13:40, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    ну так это и есть бекап без всяких там RO ... весь текст скрыт [показать]
     
     
  • 12.46, pro100master, 16:58, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    и да, и нет Это снимок Да - им можно воспользоваться для восстановления Нет -... весь текст скрыт [показать]
     
     
  • 13.48, csa, 17:59, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    что есть слив просто снепшот он будет жив до тех пор, пока ядро не сбойнет ... весь текст скрыт [показать]
     
     
  • 14.50, pro100master, 19:05, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    именно в другую Помойки отдельно, сайты отдельно Топик про сайты А LVM дей... весь текст скрыт [показать]
     
     
  • 15.52, pavlinux, 20:35, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Cнапшот хорошо, снапшот на DVD-ROM, в сейфе другого офиса ещё лучше Я в банке ... весь текст скрыт [показать]
     
     
  • 16.57, csa, 21:01, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    а кто спорит-то конечно, хорошо, только не нужно из него делать фетиш и говорит... весь текст скрыт [показать]
     
  • 16.91, User294, 21:08, 03/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Что, эти дятлы не осилили купить себе стример ... весь текст скрыт [показать]
     
  • 15.55, csa, 20:55, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    а сайт - это что, не помойка те же файлы, которые нужно в онлайне бекапить и LV... весь текст скрыт [показать]
     
     
  • 16.62, pro100master, 22:09, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    ну на какой-то 1-5 - да В моём понимании это всё-таки статичные редко изменяем... весь текст скрыт [показать]
     
     
  • 17.68, csa, 02:21, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    и что сложного с базами делаем снепшот и бекапим себе, сколько влезет хоть те ... весь текст скрыт [показать]
     
     
  • 18.75, pro100master, 12:09, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    А если её как бы... нельзя останавливать? :))) Пока, увы, только программно.
     
     
  • 19.76, csa, 14:53, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    у LVM снепшоты онлайновые, ничего останавливать не нужно ... весь текст скрыт [показать]
     
     
  • 20.78, pro100master, 21:37, 30/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Не думаю, что кто-то может быть уверен, что запись БД на диск произведена, если ... весь текст скрыт [показать]
     
  • 21.83, csa, 21:17, 31/08/2009 [^] [ответить] [смотреть все]  
  • +/
    конечно, некто не может быть уверен для того флаш и сделан ... весь текст скрыт [показать]
     
  • 7.42, temper, 10:52, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну да, с рутовым паролем изменить конфиг апача подменить бинарь итд и читать сай... весь текст скрыт [показать]
     
     
  • 8.43, ibat, 11:07, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Блин у меня уже мозг жидкий, от ваших идей.

     
  • 8.45, pavlinux, 15:13, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Тут ещё проще, BTRFS уже это позволяет - монтировать несколько каталогов в одну ... весь текст скрыт [показать]
     
     
  • 9.49, temper, 18:05, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    форвард 80 порта на другую машину ... весь текст скрыт [показать]
     
     
  • 10.53, pavlinux, 20:38, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Держать две и более идентичные системы дорогое удовольствие ... весь текст скрыт [показать]
     
     
  • 11.56, csa, 20:57, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален а предлагаемое выше решение с роботом, блекджеком и шлюх... весь текст скрыт [показать]
     
  • 11.66, User294, 00:38, 30/08/2009 [^] [ответить] [смотреть все]  
  • –1 +/
    Фишерам это расскажи благо они как раз недавно натянули таким манером вконтак... весь текст скрыт [показать]
     
  • 9.59, User294, 21:20, 29/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Ага, btrfs на CD-ROM Это в рассчете на то что хакеры повредятся мозгом и сой... весь текст скрыт [показать]
     
     
  • 10.61, pavlinux, 22:05, 29/08/2009 [^] [ответить] [смотреть все]  
  • –1 +/
    Красивое зрелище Почти как -j MIRROR в iptables ... весь текст скрыт [показать]
     
     
  • 11.63, User294, 23:46, 29/08/2009 [^] [ответить] [смотреть все]  
  • –1 +/
    А чо, замкнуть кольцо, а лучше меш-сеть самоконтроля припахать виртуалки друг д... весь текст скрыт [показать]
     
  • 1.69, Zenitur, 03:35, 30/08/2009 [ответить] [смотреть все]  
  • +/
    Да кто ж так сильно невзлюбил СПО и за что?! Постоянно их пытаются ломать, но пока что ббезуспешно. Знаю что ломают не только СПО, но всё же, надо умудриться так изящно взламывать... Что этими взломщиками движет?! Вроде не весна и не осень.
     
     
  • 2.88, Оммм, 16:05, 02/09/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    чувак, а ты бы не хотел вписать свое слово в версионную историю одного из популя... весь текст скрыт [показать] [показать ветку]
     
  • 1.84, mazzay, 22:49, 31/08/2009 [ответить] [смотреть все]  
  • +/
    >Диск с содержимым Web-сервера должен находится на DVD/BD-ROM, при изменении записываться новый.

    Перед записью нового DVD проверяются контрольные суммы всех файлов и дважды содержимое
    изменённых. Сопоставляются цифровые подписи изменивших с базой подписей.


    Виртуалы учат создателей веб-сервера, как уберечься от взлома...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor