»“-системы Apache Foundation взломаны хакерами

image

“еги: хакер, взлом

ќрганизаци€ Apache Software Foundation обнародовала  информацию о проведении неизвестными злоумышленниками атаки, св€занной с организацией перехвата паролей разработчиков через подмену формы авторизации дл€ сервисов отслеживани€ ошибок Atlassian JIRA, Confluence и Bugzilla.

ќрганизаци€ Apache Software Foundation обнародовала информацию о проведении неизвестными злоумышленниками атаки, св€занной с организацией перехвата паролей разработчиков через подмену формы авторизации дл€ сервисов отслеживани€ ошибок Atlassian JIRA, Confluence и Bugzilla. ¬сем пользовател€м вышеуказанных сервисов, осуществл€вших работу в системе с 6 по 9 апрел€ рекомендуетс€ срочно сменить пароль. “ак как злоумышленники получили доступ к базам с хэш-функци€ми паролей рекомендаци€ о смене парол€ также адресована пользовател€м, использующим простые или словарные пароли.

’ронологи€ взлома выгл€дит следующим образом: 5 апрел€ злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществл€ющий перехват сессионных cookie путем XSS-атаки. Ќесколько разработчиков проекта ничего не подозрева€ перешли по ссылке и в руках у злоумышленников оказались данные дл€ получени€ административного доступа в систему трекинга ошибок JIRA. ќдновременно атакующие предприн€ли "brute force" атаку по подбору простых паролей на странице login.jsp.

ѕолучив права администратора сервиса JIRA, злоумышленники отключили систему отправки уведомлений и изменили пути дл€ загрузки дополнений к сообщени€м об ошибках. Ќовый путь был перенаправлен на директорию, допускающую выполнение JSP-файлов. —оответственно, загрузив такой файл под видом приложени€ к тикету, злоумышленникам удалось выполнить свой код на сервере, что позволило им скопировать содержимое служебных файлов, в числе которых оказались домашние каталоги пользователей и файлы с хэшами паролей. ѕосле этого злоумышленники оставили себе лазейку (backdoor) дл€ получени€ доступа в будущем.

”тром 9 апрел€ злоумышленники скопировали на сервер JAR-файл, предназначенный дл€ сбора открытых паролей пользователей, вводимых ими через web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме временный пароль дл€ входа. ћногие разработчики, решив, что возникла проблема с сервисом, последовали совету, вошли в систему под предложенным временным паролем и помен€ли пароль на свой насто€щий пароль, используемый и в других сервисах Apache.

ѕерехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. Ќа данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. ѕолучив root-права, злоумышленники нашли в системе пользователей, у которых были прокешированы в домашней директории параметры аутентификации в репозитории Subversion и пароли дл€ входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами разработчиков.   счастью на сервере minotaur.apache.org злоумышленникам не удалось повысить свои привилегии.

—пуст€ 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на другие серверы. 10 апрел€ работа JIRA и Bugzilla была восстановлена. 13 апрел€ были выпущены патчи дл€ защиты JIRA от XSS-атак. –абота по восстановлению Confluence wiki еще не завершена.


или введите им€

CAPTCHA
—траницы: 1  2  
123456
14-04-2010 14:01:36
"ѕерсонал Apache Foundation переходил по ссылкам, которые были зашифрованы через TinyURL, и запускал XSS-скрипты, перехватывающие cookie-файлы с сессионными данными. ¬ итоге у злоумышленников оказались административные данные, позвол€ющие заходить во внутреннюю часть проектов Apache."
0 |
13
14-04-2010 14:53:02
"¬сем пользовател€м вышеуказанных сервисов, осуществл€вших работу в системе с 6 по 9 апрел€ рекомендуетс€ срочно сменить пароль"..... ƒата новости 14 апрел€....мда.............
0 |
73133
14-04-2010 15:32:01
парни сработали как в хорошем детективе. свою дырку показал наверно больше браузер и JIRA. хакеры сработали шикарно, но при этом и админы не подкачали а красиво проштудировали логи (которые на винде так красиво не посмотришь).
0 |
јдмины ћыкрософта
14-04-2010 17:59:33
ѕомнитьс€ в 2007-ом две недели админы ћайкрософта не обращали внимани€, что у них на сайте хостилс€ сайт с детской порнографией. ѕроблему заметили благодар€ утечки места на харде. ’акера правда полици€ »спании нашла раньше, чем мелкософтовцы обнаружили взлом. ¬ момент захвата он сидел через терминал и заливал файл на диск. «апить файлы через вебинтерфейс не представл€лось возможным. ѕароль администратора был "Utah". —кандал зам€ли до того как это стало известно прессе.
0 |
123
14-04-2010 19:02:23
¬џ сказки писать не пробовали???
0 |
јдмины ћыкрософта
14-04-2010 20:22:24
ћџ нет. ј вы верите, что такого не могло случитьс€? ѕочитайте инструкции дл€ ответственных за сайт MS. » посмотреите на дату их прин€ти€.
0 |
123
14-04-2010 20:28:44
ј где почитать можно...???
0 |
јдмины ћыкрософта
14-04-2010 20:36:54
ј где почитать можно...??? Ќу хот€ бы в самом MS. ћожешь попоросить админов сайта, что бы их тебе показали. ¬ышенаписанное читать: "ѕоработай там админом!"
0 |
123
14-04-2010 20:41:08
Ќу оп€ть какой то пустой треп... ¬ас пр€мо спрашиваю, ¬ы в ответ, почитайте там, спросите у тех... конкретики ни какой... ѕоказать вы ни чего не можете... только бла бла бла...
0 |
јдмины ћыкрософта
14-04-2010 20:51:27
ј вы можете показать обратное? “ебе говор€т: "Ќе веришь - иди работать админом по сайту в фирму д€ди —тива!" Ћень идти - твои проблемы. “ак как никто не будет вешать внутренние инструкции на всеобзее обозрение. ≈сли у теб€ нет понимани€ такого простого факта, то с тобой разговаривать бесполезно - ты все равно не поймешь более сложных вещей.
0 |
123
14-04-2010 21:09:17
ƒоказательством от обратного можно доказать все, что угодноЕ “ак как никто не будет вешать внутренние инструкции на всеобзее обозрение,в этом вы мне јмерику не открыли и не надо думать, что € этого не понимаюЕ ѕоэтому и не надо было предлагать мне их прочитатьЕ ј идти работать в ћикрософт, ради прочтени€ этих инструкций это уже чистой воды бредЕ » хватит мне тыкать, € с вами водку за одним столом не пилЕ
0 |
BigO
14-04-2010 16:27:08
ѕерехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами.¬ы похоже через строчку читаете??? ≈сли бы апач был развернут на винде, то лежать бы всем серверам. ј вы службу апач из под админских учеток не стартуйте... и все сервера не л€гут
0 |
јдмины ћыкрософта
14-04-2010 20:38:25
ј вы службу апач из под админских учеток не стартуйте... и все сервера не л€гут » на каком порту он тогда будет работать?
0 |
BigO
14-04-2010 22:09:10
ƒа на каком надо будет... на том и заработает
0 |
15-04-2010 06:29:05
ƒа ты что? » на привилегированном тоже?
0 |
јлександр јнатольевич
14-04-2010 16:38:04
јпач € запускаю в chroot. и все от пользовател€ apahe или www-data, в зависимости от реализации дл€ rpm-based иили deb-based.
0 |
cyberaxe
14-04-2010 22:52:12
<јпач € запускаю в chroot. и все от пользовател€ apahe или www-data, в зависимости от реализации дл€ rpm-based иили deb-based.> +1000 и думаю на какие сцылки жмакать.....
0 |
—траницы: 1  2