The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.12.2010 17:42  Взлом Savannah затронул и www.gnu.org. Хронология событий

На сайте фонда свободного ПО опубликована заметка с изложением хронологии событий, связанных со взломом инфраструктуры проекта. Атака была произведена 24 ноября с грузинского блока IP-адресов. После осуществления подстановки SQL-запроса, позволившего загрузить базу пользователей, атакующим удалось 26 ноября подобрать пароль одного из администраторов, имеющего доступ к CVS-репозиторию с содержимым web-сервера. Данный шаг дал атакующим возможность вечером того же дня пробраться на сервер www.gnu.org и разместить на нем тестовую статическую страницу.

После успешной загрузки тестовой страницы, злоумышленники нашли директорию, в которой выполняются PHP-скрипты и загрузили туда web-shell на языке PHP, после чего принялись тестировать возможность повышения привилегий, используя различные эксплоиты. Данная активность была сразу замечена администраторами, которые в 1:37 27 ноября восстановили изначальное состояние сайта из резервной копии. Через несколько часов атакующие вновь проникли на сайт, через ранее запущенный web-shell. После чего администраторы блокировали работу кластера Savannah и web-сайта проекта GNU и начали более детальный разбор действий злоумышленников. Через несколько часов работа сайта www.gnu.org была восстановлена на новом сервере.

Восстановление работы savannah.gnu.org и аудит кода платформы Savane2 еще не завершен. Так как точно не установлено удалось ли злоумышленникам получить root-доступ в системе и проникли ли они на другие узлы кластера, решено переустановить с нуля содержимое всех серверов Savannah.

В настоящий момент репозитории Savannah восстановлены из резервной копии за 24 ноября. Дополнительно обеспечен доступ только на чтение к архиву CVS и Subversion репозиториев за 27 ноября, используя которые разработчики могут восстановить недостающие в рабочем репозитории коммиты. Разработчики, использующие git и bzr могут синхронизировать потерянные коммиты из локальной копии. Все не имеющие salt-а MD5-пароли признаны потенциально ненадежными и заблокированы, для хранения хэшей паролей задействован Crypt-MD5 и модуль блокирующий установку словарных паролей.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/sysad...)
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: security, gnu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, 568756784, 19:25, 01/12/2010 [ответить] [смотреть все]     [к модератору]
  • –15 +/
    кароче из-за такой ерунды, как дефейс, эти параноики переустановили весь кластер... весь текст скрыт [показать]
     
     
  • 2.2, VarLog, 19:38, 01/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +13 +/
    Всё правильно сделали
     
  • 2.3, filosofem, 19:52, 01/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Ога, в свете последних новостей с поднятием привелегий через локальные уязвимости, подумаешь шелл установили. =)
     
  • 2.5, User294, 20:51, 01/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    И правильно что переустановили. А администраторам за подбираемые пароли надо бы намылить холки.
     
     
  • 3.6, deadless, 21:26, 01/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    а в sql-injection конкретно виноваты павлин и user294
     
  • 2.16, Pentarh, 20:50, 03/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Правильно сделали
     
  • 1.4, dimqua, 19:53, 01/12/2010 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    > с грузинского блока IP-адресов

    Съездил, называется Столлман в Тбилиси... :(

     
  • 1.7, Bregor, 00:12, 02/12/2010 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Эээ...

    >> восстановили изначальное состояние сайта из резервной копии

    ...
    >> атакующие вновь проникли на сайт, через ранее запущенный web-shell

     
  • 1.8, Аноним, 01:32, 02/12/2010 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Никогда не понимал идиотов, которые занимаются подобными вредительствами Эх, Ст... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 00:56, 04/12/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем же сразу рудники Есть много других полезных занятий Отправить например к... весь текст скрыт [показать]
     
  • 1.10, Sylvia, 02:30, 02/12/2010 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    страшно мне было сегодня загружать исходники нового freetype 2 4 4 с саванны, пр... весь текст скрыт [показать]
     
  • 1.11, Аноним, 08:43, 02/12/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    В Грузии есть Интернет? O_O
     
     
  • 2.13, dimqua, 09:18, 02/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Видимо, у "особо одарённых" всё таки есть.
     
  • 2.14, Filosof, 12:16, 02/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Думаю какой-то ботнет задействовали.
     
  • 2.18, Аноним, 15:25, 04/12/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > В Грузии есть Интернет? O_O

    А в казахстане уже 4G

    а у нас как всегда.

     
  • 1.12, linux_must_die, 08:50, 02/12/2010 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    ты же каждый день загружаешь обновления софта и примерно раз в месяц - ядро. и хоть все это open source, там может быть все что угодно и тебя это не волнует. так и тут - тупо забей.
     
  • 1.15, iCat, 14:07, 02/12/2010 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >...После осуществления подстановки SQL-запроса...

    хм-м-м...
    Удивлён.
    Поучительная история...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor