The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом Savannah затронул и www.gnu.org. Хронология событий

01.12.2010 17:42

На сайте фонда свободного ПО опубликована заметка с изложением хронологии событий, связанных со взломом инфраструктуры проекта. Атака была произведена 24 ноября с грузинского блока IP-адресов. После осуществления подстановки SQL-запроса, позволившего загрузить базу пользователей, атакующим удалось 26 ноября подобрать пароль одного из администраторов, имеющего доступ к CVS-репозиторию с содержимым web-сервера. Данный шаг дал атакующим возможность вечером того же дня пробраться на сервер www.gnu.org и разместить на нем тестовую статическую страницу.

После успешной загрузки тестовой страницы, злоумышленники нашли директорию, в которой выполняются PHP-скрипты и загрузили туда web-shell на языке PHP, после чего принялись тестировать возможность повышения привилегий, используя различные эксплоиты. Данная активность была сразу замечена администраторами, которые в 1:37 27 ноября восстановили изначальное состояние сайта из резервной копии. Через несколько часов атакующие вновь проникли на сайт, через ранее запущенный web-shell. После чего администраторы блокировали работу кластера Savannah и web-сайта проекта GNU и начали более детальный разбор действий злоумышленников. Через несколько часов работа сайта www.gnu.org была восстановлена на новом сервере.

Восстановление работы savannah.gnu.org и аудит кода платформы Savane2 еще не завершен. Так как точно не установлено удалось ли злоумышленникам получить root-доступ в системе и проникли ли они на другие узлы кластера, решено переустановить с нуля содержимое всех серверов Savannah.

В настоящий момент репозитории Savannah восстановлены из резервной копии за 24 ноября. Дополнительно обеспечен доступ только на чтение к архиву CVS и Subversion репозиториев за 27 ноября, используя которые разработчики могут восстановить недостающие в рабочем репозитории коммиты. Разработчики, использующие git и bzr могут синхронизировать потерянные коммиты из локальной копии. Все не имеющие salt-а MD5-пароли признаны потенциально ненадежными и заблокированы, для хранения хэшей паролей задействован Crypt-MD5 и модуль блокирующий установку словарных паролей.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/sysad...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28850-security
Ключевые слова: security, gnu
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 568756784 (?), 19:25, 01/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    кароче из-за такой ерунды, как дефейс, эти параноики переустановили весь кластер, создали кучу проблем разработчикам с репозитарием и заблокировали кучу аккаунтов, которые просто плохо лежали
     
     
  • 2.2, VarLog (ok), 19:38, 01/12/2010 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Всё правильно сделали
     
  • 2.3, filosofem (ok), 19:52, 01/12/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ога, в свете последних новостей с поднятием привелегий через локальные уязвимости, подумаешь шелл установили. =)
     
  • 2.5, User294 (ok), 20:51, 01/12/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И правильно что переустановили. А администраторам за подбираемые пароли надо бы намылить холки.
     
     
  • 3.6, deadless (?), 21:26, 01/12/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    а в sql-injection конкретно виноваты павлин и user294
     
  • 2.16, Pentarh (?), 20:50, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно сделали
     

  • 1.4, dimqua (ok), 19:53, 01/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > с грузинского блока IP-адресов

    Съездил, называется Столлман в Тбилиси... :(

     
  • 1.7, Bregor (??), 00:12, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эээ...

    >> восстановили изначальное состояние сайта из резервной копии

    ...
    >> атакующие вновь проникли на сайт, через ранее запущенный web-shell

     
  • 1.8, Аноним (8), 01:32, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Никогда не понимал идиотов, которые занимаются подобными вредительствами. Эх, Сталина бы сюда и в Сибирь их на рудники...
     
     
  • 2.17, Аноним (-), 00:56, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем же сразу рудники. Есть много других полезных занятий. Отправить например к метро, раздавать дистрибутивы на болванках, которые они сами запишут. Три года подряд. Больше никто ломать ничего не станет :)
     

  • 1.10, Sylvia (ok), 02:30, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    страшно мне было сегодня загружать исходники нового freetype 2.4.4 с саванны,
    пришлось с sourceforge
     
  • 1.11, Аноним (-), 08:43, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Грузии есть Интернет? O_O
     
     
  • 2.13, dimqua (ok), 09:18, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, у "особо одарённых" всё таки есть.
     
  • 2.14, Filosof (ok), 12:16, 02/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю какой-то ботнет задействовали.
     
  • 2.18, Аноним (-), 15:25, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В Грузии есть Интернет? O_O

    А в казахстане уже 4G

    а у нас как всегда.

     

  • 1.12, linux_must_die (ok), 08:50, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ты же каждый день загружаешь обновления софта и примерно раз в месяц - ядро. и хоть все это open source, там может быть все что угодно и тебя это не волнует. так и тут - тупо забей.
     
  • 1.15, iCat (ok), 14:07, 02/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >...После осуществления подстановки SQL-запроса...

    хм-м-м...
    Удивлён.
    Поучительная история...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру