Работа над ошибками. Xubuntu опубликовала анатомию взлома своего сайта

Команда Xubuntu опубликовала подробности октябрьского инцидента, во время которого страница загрузок на https://xubuntu.org/download/ в течение нескольких дней раздавала вредоносный файл вместо обычных торрент-ссылок. Как сообщается, злоумышленник получил доступ к сайту, перебрав пароль к уязвимому компоненту WordPress, установленному Canonical для проекта. После этого в систему был внедрён код, подменивший ссылки на загрузку.

Первый сигнал о подозрительном файле поступил 15 октября. Команда Canonical немедленно заблокировала сайт, отключила страницу загрузок и начала расследование. С 15 по 19 октября специалисты анализировали журнал доступа, определяли путь взлома, удаляли все внедрённые элементы, восстанавливали страницы и усиливали защиту WordPress.

К 19 октября участники сообщества подтвердили, что вредоносный архив удалён, а страница снова безопасна. 11 ноября Canonical предоставила команде итоговое резюме: уязвимость устранена, сервер защищён дополнительными мерами, а доступ к разделу загрузок возвращён в режиме read only для подготовки к миграции на новую платформу.

Инцидент затронул только веб-страницу и подменённые торрент-файлы. Сервера cdimages.ubuntu.com и официальные репозитории Ubuntu оставались полностью безопасными, а зеркала были защищены при условии, что синхронизировались с официальных источников. Система сборки Xubuntu, пакеты и сами образы не были скомпрометированы. Уже установленные версии дистрибутива также не подвергались риску.

Пользователям, которые в период атаки скачали или открывали файл Xubuntu-Safe-Download.zip, рекомендуют удалить его и проверить систему антивирусом. Команда подчёркивает, что это стандартная мера предосторожности для подобных случаев.

Инцидент ускорил переход Xubuntu на статический сайт Hugo, который исключает применение атак, основанных на уязвимостях WordPress. Миграция находилась в работе давно, но произошедшее сделало её приоритетной, и новый сайт планируется к запуску в ближайшее время.