The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера

19.03.2011 22:56

Представители проекта PHP сообщили об обнаружении факта взлома сервера wiki.php.net и утечке базы паролей пользователей Wiki и администраторов взломанного сервера (не исключен вариант сниффинга паролей в локальной сети). Другие серверы в инфраструктуре проекта PHP не пострадали. Детали совершения атаки пока не сообщаются, расследование еще не завершено. Известно только то, что злоумышленнику удалось проникнуть в систему через уязвимость в Wiki-движке и затем получить root-доступ к системе, применив локальный эксплоит. В настоящее время взломанный хост отключен от сети и инициирован процесс смены всех паролей в SVN-репозитории.

По предварительным данным перехваченные на сервере wiki.php.net аккаунты разработчиков и администраторов проекта PHP не были использованы для внесения изменений в код интерпретатора PHP. Для того чтобы убедиться в сохранении целостности кода разработчики инициировали проведение детального аудита, в рамках которого были проанализированы все коммиты, начиная с выпуска PHP 5.3.5. Результат аудита не выявил какой-либо подозрительной активности.

Дополнение: Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP.

  1. Главная ссылка к новости (http://www.php.net/archive/201...)
  2. OpenNews: Взлом Savannah затронул и www.gnu.org. Хронология событий
  3. OpenNews: Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей
  4. OpenNews: Опубликован полный отчёт о взломе Sourceforge.net
  5. OpenNews: В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника
  6. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/29969-php
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 23:05, 19/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Какой смысл коммиты проверять, когда любой нормальный хакер напрямую сможет добавить закладку в репозиторий без свечения в логах сервера и без создания отдельных коммитов в SVN. Дифы нужно смотреть.
     
     
  • 2.4, Frank (ok), 00:06, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вероятно сервер, хранивший SVN, не был взломан и злоумышленник не мог напрямую, в обход клиента svn, получить доступ к файлам.
    Или ты думал, что там всё крутится на одном компе?
     
     
  • 3.24, аноним_ (?), 09:10, 21/03/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > По предварительным данным перехваченные на сервере wiki.php.net аккаунты разработчиков и администраторов проекта PHP не были использованы ...

    Не всегда для каждого отдельного ресурса внутри одного проекта разработчики используют разные пароли, им тупо лень помнить их кучу или пользоваться всякими хранилками паролей, а раз пароли утекли, то, вероятно, можно было внести коммит не в обход клиента, а через обычного клиента svn под одной из учеток ленивого разраба

     

  • 1.3, eigrad (?), 23:14, 19/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вероятно они и подразумевают проверку диффов
     
  • 1.7, Аноним123321 (ok), 04:02, 20/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    SVN-сервер... это не GIT с его хэшами и сотнями offline дубликатами...

    ...проверить не так просто будет :-D

     
     
  • 2.9, К.О. (?), 08:09, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    не просто, а очень просто

    разворачивается последний бэкап до момента взлома, делается DIFF

     
     
  • 3.13, Michael Shigorin (ok), 13:19, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > не просто, а очень просто
    > разворачивается последний бэкап до момента взлома, делается DIFF

    Это-то просто (если бэкап был и момент взлома точно выяснябелен) -- а вот дальше самое интересное, жаль, что Вы замерли на полуслове.

     

  • 1.10, iav (ok), 09:07, 20/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это никогда не кончится…
    Какого чёрта никто не разрешает у себя авторизацию по OpenID??!
    Каждый сайт могут сломать — и с каждого утекают логины, емайлы и пароли!
    Надоело!
     
     
  • 2.11, К.О. (?), 12:04, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ага. А потом утекает база OpenID, и наступает всеобщий ***. Нет уж.
     
     
  • 3.12, iav (ok), 12:32, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага. А потом утекает база OpenID, и наступает всеобщий ***. Нет уж.

    И, знаете, ничего не наступает.

    Потому что OpenId - во первых, может храниться на собственном хосте. А во вторых - и это, на мой взгляд, даже важнее - это одно место, где скомпрометированные пароли просто меняются.
    И всё.
    Не на каждом из 358 сайтов, а на одном.

    Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас с этим. Но нормальный человек так не может. Или вы таскаете все эти пароли с собой на флешке, и неможете ими воспользоваться, если флешку нельзя поставить? Или держите их на каком-то сайте (то есть их тоже можно оттуда спереть)? OpenId решает эту проблему.

     
     
  • 4.14, Michael Shigorin (ok), 13:22, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас
    > с этим. Но нормальный человек так не может. Или вы таскаете
    > все эти пароли с собой на флешке, и неможете ими воспользоваться,
    > если флешку нельзя поставить?

    1) рекомендую apg;
    2) и да, хранить второстепенное в браузере или keepassx сотоварищи;
    3) если куда-то нельзя сунуть свой код, то туда тем более не стоит совать свои пароли.

     
  • 4.15, К.О. (?), 14:56, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас с этим. Но нормальный человек так не может.

    Хомякам, которые не могут держать разные пароли, нечего делать на серьезных проектах. И утечках _их_ паролей обычно мало кого волнует, честно говоря. Они и от банковских карт пины умудряются сливать сквоттерам пачками, так что ж теперь, всем пользоваться только походом в банк за деньгами?

     
     
  • 5.18, Michael Shigorin (ok), 19:19, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хомякам, которые ходят в банк... ну Вы поняли.

    PS: от последней банковской карточки избавился уже лет пять как.

     
     
  • 6.19, К.О. (?), 19:36, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бедный, как же вы теперь без денег-то живете? Или только наличка?
     
     
  • 7.21, Остров (?), 21:08, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это Украина, парень, и жизнь там сурова. Самые крупные сети карточных воров.... )))
     
  • 7.36, Michael Shigorin (ok), 12:10, 15/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Бедный, как же вы теперь без денег-то живете? Или только наличка?

    Ага.

    Не уверен, что bitcoin тут применим -- а вот о P2P-софтинке, помогающей сводить бартерные цепочки, тот же коллега упоминал как о том, что здесь не так давно на практике работало.

    2 Остров: да не в том дело :)

     
  • 2.16, yet_another_pseudonymous (ok), 15:02, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    OpenID хоронят уже. И правильно делают. Вообще, если всякие регистрация-логин-пароль это, простите за резкость, говно, то OpenID это просто распределенный сорт говна.

    Фундаментальная проблема тут в том, что во всех этих системах пользователь не обладает собственной identity, ему ее просто дают попользоваться. Google дал OpenID, или ICANN дал домен на котором пользователь развернул свой OpenID provider — это не важно. Сегодня дал, завтра взял назад — поменял Google адреса на profiles.google.com и все, миллионы пользователей вкусно причмокнули, несмотря на то, что был коректный HTTP 301 по старым адресам. Пропустил срок регистрации домена — поздоровайся со сквоттерами, твой pupkin.ru теперь лучший ресурс по теме pupkin скачать pupkin без sms бесплатно. Ну и еще кучи проблем.

    iNumbers — костыль, а не решение, если что.

    А разгадка одна — пользователь должен владеть собственной identity, и его браузер быть ее провайдером.

     
     
  • 3.22, crypt (??), 21:57, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И шо бы это все значило? Без третей стороны вы эту identity не подвердите.
     
     
  • 4.32, yet_another_anonymous (?), 15:44, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну, правда что ли?

    А как же я по SSH хожу, без всяких третьих сторон?

     
     
  • 5.33, Andrey Mitrofanov (?), 16:15, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    растроение личности же. Ж)
     
  • 2.27, Аноним (-), 10:56, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Покажите нормального openid провайдера. Не гугл и не вконтактики-фейсбуки-жежешечки.
     

  • 1.17, nrg (??), 19:11, 20/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я один прочел статью так: "Вики проекта пхп, написанная на пхп,  была взломана через очередную не закрытую уязвимость в PHP так как разработчики использовали устаревшую версию PHP, после этого была произведена атака на ядро системы через публичные эксплоиты эскалации привилегий, так как ядро также было очень старое и не обновлялось." ? :)
     
     
  • 2.20, filosofem (ok), 20:47, 20/03/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Я один прочел статью так

    Удивительно, но пока один. По всей видимости остальные месье трололо чрезмерно заняты обсиранием(простите за мой французский) Убунту в новости про Дебиан 6.0.1, чтобы отвлекаться на язык для программирования домашних страничек.

     
  • 2.23, oops_ (?), 06:20, 21/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    неа. :)
     

  • 1.25, deadless (ok), 23:27, 21/03/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а почему опять молчание о том что использовали локальную уязвимость и где были хваленые PaX, grsecurity, patchsets и прочие вкусняшки? И вообще при ТАКОМ уровне безопасности в линуксе почему публичные opensource проекты не защищены должным образом? где же вы, специалисты по безопасности?
     
     
  • 2.26, бедный буратино (ok), 06:11, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не путайте божий дар с PHP.
     
  • 2.28, Аноним (-), 10:58, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    При наличии PHP никакие механизмы безопасности (в которых вы даже на уровни названий не разбираетесь - и не пытайтесь даже троллить) не работают. :(
     
  • 2.29, deadless (ok), 11:03, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    погодите, тут в одной ветке некий paxuser доказывал, что главное это grsecurity и патчсеты, и после этого можно спать спокойно - враг не пройдет. Так выходит что, даже использование всего hardened набора не дает никаких гарантий от взлома?... как же так?
     
     
  • 3.30, бедный буратино (ok), 11:42, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > погодите, тут в одной ветке некий paxuser доказывал, что главное это grsecurity
    > и патчсеты, и после этого можно спать спокойно - враг не
    > пройдет. Так выходит что, даже использование всего hardened набора не дает
    > никаких гарантий от взлома?... как же так?

    Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если у дома не хватает стены.

     
     
  • 4.31, deadless (ok), 15:21, 22/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если
    > у дома не хватает стены.

    подождите, это у линукса то стены не хватает? Или это намек на вечнодырявый php?

     
     
  • 5.34, К.О. (?), 01:45, 23/03/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если
    >> у дома не хватает стены.
    > подождите, это у линукса то стены не хватает? Или это намек на
    > вечнодырявый php?

    Это какбэ намек на разные уровни доступа.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру