The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника

25.01.2011 09:28

Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в результате которого злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации утверждается, что параметры доступа были получены вследствие внешней атаки (например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы скомпрометированного аккаунта и не воспользовались функциями формирования сборок и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно анализировать журналы внесения изменений в пакеты и информировать администрацию (admin at fedoraproject.org) о любой подозрительной активности. Участникам проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется использовать надежные пароли и не применять эти же пароли в других проектах, особенно на web-сайтах, не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из разработчиков, обеспокоенного получением системного письма с уведомлением об изменении параметров аккаунта. Администраторы проекта немедленно приступили к разбору ситуации и выяснили, что действительно под аккаунтом обратившегося пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и команды по подготовке релизов, но обладал следующими привилегиями:

  • Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с правами непривилегированного пользователя;
  • Доступ к помещению новых пакетов в систему управления исходными текстами Fedora;
  • Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведён детальный анализ инцидента и выполнен дополнительный аудит безопасности серверов. Из уже проведенных мероприятий отмечается выполнение следующих действий:

  • Блокирование скомпрометированного аккаунта;
  • Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;
  • Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в систему управления исходными текстами Fedora, не входил на сервер pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки пакетов и не формировал обновления пакетов (примечание: или умело замел следы, чтобы создать иллюзию неудавшегося взлома).


  1. Главная ссылка к новости (http://lists.fedoraproject.org...)
  2. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
  3. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  4. OpenNews: Взлом Savannah затронул и www.gnu.org. Хронология событий
  5. OpenNews: Вандализм в Git-репозиторий проекта X.Org (виновник найден)
  6. OpenNews: Инфраструктура проекта Apache подверглась взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fedora, hack, security, linux, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, filosofem (ok), 10:25, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    >злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов

    и начали троллить за переименование сетевых интерфейсов.

     
  • 1.2, Карбофос (ok), 10:26, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    pavlinux отомстил уже за изменение наименований сетевых интерфейсов?
     
     
  • 2.22, pavlinux (ok), 16:03, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ]:->
     
  • 2.36, ананим (?), 14:13, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    из-за них и пролез видать.
    айпитэйблс не подправили, теперь отмазываются.
     

  • 1.3, Аноним (-), 11:03, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мне кажется или это уже второй взлом fedora меньше чем за год ?
     
     
  • 2.4, Аноним (-), 11:16, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > мне кажется или это уже второй взлом fedora меньше чем за год ?

    Кража пароля — это не взлом. Называйте вещи своими именами.

     
     
  • 3.6, SubGun (??), 11:42, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это тот же взлом, только кража пароля.
     
  • 2.5, Оно ним (?), 11:19, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > мне кажется или это уже второй взлом fedora меньше чем за год
    > ?

    Не знаю, вы это имеете ввиду? http://www.securitylab.ru/news/358356.php

    "И эти люди запрещают мне ковыряться в носу!" :)))

     
     
  • 3.9, Семен (??), 12:19, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот что имелось ввиду https://www.opennet.ru/opennews/art.shtml?num=17510
     

  • 1.23, онано (?), 17:15, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;

    Поздно пить боржоми.

     
     
  • 2.24, non anon (?), 17:22, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычно в таких случаях снапшоты делаются со вполне определенной целью - выяснить, что успели натворить супостаты. Для этого снапшот сравнивается с последними бэкапами (в простейшем случае diff -r).

    После снятия снапшота, на взломанный сервер обычно развертывается тщательно проверенный свежий бэкап.

     
     
  • 3.25, онано (?), 19:21, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     

  • 1.35, 16пиз...бол (?), 11:10, 26/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это логично - так как данная система не является ОС в смысле принадлежности, а есть так называемый development tools of RedHat(with many bugs and other anomaly)
     
  • 1.38, srgaz (?), 08:44, 30/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не чего, страшного в этом нет. Читаю комментарии, удивляюсь. Ребята вы поняли о чем речь? А что проект про это озвучил, так это и есть гуд. Тут набежали троли...
    Одним словом, можно было создать новый логин.    
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру