The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опубликована информация о взломе wiki.python.org

08.01.2013 22:38

Вслед за взломом сайта wiki.debian.org поступила информация о проникновении злоумышленников на сервер, обслуживающий сайт wiki.python.org, использующий содержащую уязвимость версию wiki-движка MoinMoin. Сайт wiki.python.org был скомпрометирован 28 декабря, за день до выпуска MoinMoin 1.9.6 с устранением уязвимости.

Как и в случае атаки на wiki проекта Debian, анализ инцидента показал, что злоумышленник сумел получить доступ к системе только под пользователем moin и не смог повысить свои привилегии до пользователя root. После проникновения атакующий попытался удалить все файлы, принадлежащие пользователю moin, чем и обнаружил своё присутствие. К сожалению, злоумышленнику удалось получить доступ к базам пользователей wiki-сайтов проектов Python и Jython, содержащим в том числе хэши паролей. В связи с этим, инициирован процесс смены паролей для пользователей wiki.python.org и wiki.jython.org.

Кроме того появились сведения о эксплуатации указанной уязвимости (CVE-2012-6081) ещё в июле 2012 года, почти за пол года до появлении публичных сведений о наличии проблемы безопасности. Таким образом не исключены факты незамеченных атак на инфраструктуру известных проектов, использующих MoinMoin 1.9.x. В частности, известно, что данные выпуски были установлены на wiki.freebsd.org, freedesktop.org/wiki, wiki.x.org и wiki.ubuntu.com. MoinMoin также используется на сайтах live.gnome.org, wiki.winehq.com, wiki.centos.org, gcc.gnu.org/wiki и wiki.apache.org.

  1. Главная ссылка к новости (http://mail.python.org/piperma...)
  2. OpenNews: Сайт wiki.debian.org подвергся взлому (дополнено)
  3. OpenNews: Критическая уязвимость в MoinMoin Wiki
  4. OpenNews: Опубликован отчёт с результатами аудита взлома wiki.debian.org
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/35784-moinmoin
Ключевые слова: moinmoin, security
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:12, 08/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Снова вики...
     
     
  • 2.4, Тарелькин (?), 00:28, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Снова MoinMoin.
     

  • 1.3, thevoan (ok), 23:46, 08/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Печально, наверное, большую часть из публичных и известных moin-юзеров взломали :(
     
     
  • 2.18, thevoan_ (?), 10:52, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вики меркуриала тоже была взломана
    http://selenic.com/pipermail/mercurial-devel/2013-January/047748.html
     

  • 1.6, Аноним (-), 01:09, 09/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > был скомпрометирован 28 декабря, за день до выпуска MoinMoin 1.9.6

    "Ребята-ребята-ребята! Ох, ребята ... ребята... ребята... " (с) старинный школьный анекдот.

     
     
  • 2.10, бедный буратино (ok), 03:41, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто каждый проект python не держит в независимом chroot (или другом контейнере), тот сам себе я. А в остальном, самое крупное, что там можно украсть - это база данных пользователей.

    А moinmoin - тот ещё велосипед, там legacy-уши, видимо, ещё со времён Петра I торчат. В python обычно пишут на нормальных и надёжных фреймворках, быстро и удобно - фреймворки поддерживают базовую функциональность, в том числе и базовую безопасность, а разработчики - свою часть. С проектами, которые тянутся ещё от царя гороха, с этим похуже.

     
     
  • 3.17, Аноним (-), 10:13, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А в остальном, самое крупное, что там можно украсть - это база данных пользователей.

    Буратин, ты конечно извини, но...
    1) Там самое настоящее выполнение произвольного кода. Поэтому можно отнюдь не только умыкнуть базу пользователей но и поюзать ресурсы поломанного серванта по своему усмотрению. Усмотрение бывает разное. Зачастую отдающее криминалом.
    2) Чрут вообще-то не очень преднозначен для именно секурити. Его конечно можно под это заюзать. Но довольно неудобно. В этом плане лучше смотрится LXC, имхо. Или для более прочной обороны - полновесные виртуалки. Хоть в том же KVM. Если конфига позволяет - вариант.

     
     
  • 4.20, бедный буратино (ok), 12:50, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В сегодняшних удалениях сообщений я вообще не вижу никакой логики. Такое ощущение, что тут тоже moinmoin, а поломал их какой-то бот на питоне, который действует методом случайных действий.

    chroot или lxc или kvm - не имеет принципиального значения. Если нет готового решения, то никто не будет связываться с убеганием из контейнера. Понятно, что чем толще, тем лучше, но если это вики работает на роутере на mips-процессоре, то тяжеловесное решение там не покрутишь. :)

    В любом случае, это гораздо безопаснее, чем отдавать весь сервер в руки ломателя.

     
     
  • 5.24, Аноним (-), 18:32, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > который действует методом случайных действий.

    Да, я тоже временами не понимаю местных модераторов. У них врубился режим русской рулетки. Стирают по рандому что-нибудь. Даже хрен поймешь почему.

    > готового решения, то никто не будет связываться с убеганием из контейнера.

    Долбануть сплойтом на повышение прав

    > на роутере на mips-процессоре, то тяжеловесное решение там не покрутишь. :)

    Ну LXC и там будет работать, пожалуй. KVM - вот не факт, по крайней мере с аппаратным ускорением.

    > В любом случае, это гораздо безопаснее, чем отдавать весь сервер в руки ломателя.

    Технически у него и так многовато получается. Почти все сисколы он дергать может. Достаточно чтобы набедокурить. Как вам идейка: вам загружается CP и вы дальше его отгружаете оптом. А потом приходят правоохранители и ставят ноги на ширину плеч. И поди еще докажи что не верблюд. У тебя бяка на серваке? У тебя. Чем докажешь что это не твое?

     
     
  • 6.26, бедный буратино (ok), 03:41, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Технически у него и так многовато получается. Почти все сисколы он дергать может. Достаточно чтобы набедокурить. Как вам идейка: вам загружается CP и вы дальше его отгружаете оптом. А потом приходят правоохранители и ставят ноги на ширину плеч. И поди еще докажи что не верблюд. У тебя бяка на серваке? У тебя. Чем докажешь что это не твое?

    Случайностей бояться - в интернет не ходить. У меня и домашний wifi через hostapd доступен всем желающим, и вообще, я всегда стараюсь делать так, чтобы простым людям было удобно, а не чтобы злоумышленникам было неудобно. Если что-то произойдёт, то оно произодйдёт в любом случае, а правоохранителей я не боюсь. :)


     
     
  • 7.28, Аноним (-), 20:38, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > через hostapd доступен всем желающим,

    Твой выбор. Я его уважаю, но вынужден констатировать потенциальные риски.

    > так, чтобы простым людям было удобно, а не чтобы злоумышленникам было неудобно.

    Люди разные бывают. Проблема в том что если не заботиться немного о своем окороке - это проабузят другие. В лучшем случае можно побыть бесплатным ресурсным придатком. В хучщем - отдуваться за чужие пригрешения по полной программе. Особенно в местной системе правосудия, где всем на правосудие глубоко плевать.

     
  • 6.27, Аноним (-), 13:25, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >вам загружается CP

    Что такое "СР"?

     
     
  • 7.29, Аноним (-), 20:40, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Что такое "СР"?

    Чайлд порн. А ты потом доказывай что эти файлики на серваке - не твои. Спасибо если эксперт будет не ленивый, а следователь не пофигист. А если они просто отпедалят "был бы человек, а статья найдется", что более типично?

     

  • 1.8, name (??), 01:58, 09/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    понеслась, кто следующий?
     
     
  • 2.19, Аноним (-), 11:32, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, я же говорил что кто-то догадается пройтись прямо по любезно предоставленному списку "да им много кто пользуется, вот например..." :)
     
     
  • 3.21, бедный буратино (ok), 12:52, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Блин, я же говорил что кто-то догадается пройтись прямо по любезно предоставленному
    > списку "да им много кто пользуется, вот например..." :)

    Все взломы были в районе 28 числа, когда все спали под ёлкой. :) Сейчас только все публикуют отчёты о том, что унесли, что не унесли.

     
     
  • 4.23, Аноним (-), 18:28, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Все взломы были в районе 28 числа, когда все спали под ёлкой.

    Отложенное по времени обтекание - это нечто новое, оригинальное.

     
     
  • 5.25, анон (?), 20:06, 09/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    После рождества же!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру