Hackeri zaútočili na servery Apache.org
01.09.2009 04:04
Prvotnú správu o útoku na servery Apache.org oznámil na blogu Apache Paul Querna v piatok. Administrátori servera doposiaľ zistili, že vo štvrtok 27. augusta okolo 20:00 nášho času bol zneužitý účet určený na automatické zálohovanie súborov servera ApacheCon, ktorý beží na hardvéri tretej strany.
Hackeri získali prístup autentizáciou SSH kľúčom, nie chybou v softvéri servera Apache. Cez tento účet následne nahrali na server minotaur.apache.org niekoľko vlastných súborov. Súbory vytvorili v priečinkoch obsahujúcich súbory pre doménu www.apache.org. Medzi vytvorenými súbormi boli samozrejme aj CGI skripty. Pri následnej automatickej synchronizácii utilitou rsync boli súbory prenesené na hlavný webový server. Následne v piatok 28. augusta okolo 9:00 ráno útočníci pomocou HTTP požiadavky spustili nimi nahrané CGI skripty.
Administrátori si však už o 9:45 všimli podozrivé procesy na serveri eos.apache.org a do desiatich minút sa rozhodli odpojiť všetky servery, ktoré by mohli byť ovládnuté útočníkmi. Následne zmenili DNS záznamy väčšiny služieb hlavného servera Apache.org na server, ktorý poskytol dočasnú hlášku o incidente a nedostupnosti hlavného servera. Neskôr administrátori zistili, že server aurora.apache.org, ktorý je určený pre Európu obsahoval síce nakopírované hackerské súbory, tieto ale neboli spustené. Preto pristúpili k obnoveniu stavu operačného systému Solaris do času pred útokom. Momentálne je ešte stále niekoľko systémov mimo prevádzky, avšak väčšina služieb a stránok je už dostupných.
Zatiaľ neboli zistené žiadne fakty o tom, že by tento incident nejako postihol aj používateľov serveru Apache, či návštevníkov stránky (samozrejme okrem nedostupnosti). Hackerom sa totiž nepodarilo získať privilégiá na žiadnom serveri. Používatelia by si však mali pre istotu vždy skontrolovať digitálny podpis súboru, ktorý idú inštalovať. Viac informácií poskytne Apache hneď ako to bude možné.
31.8.2009 09:13, Ján Chovanec
Prvotnú správu o útoku na servery Apache.org oznámil na blogu Apache Paul Querna v piatok. Administrátori servera doposiaľ zistili, že vo štvrtok 27. augusta okolo 20:00 nášho času bol zneužitý účet určený na automatické zálohovanie súborov servera ApacheCon, ktorý beží na hardvéri tretej strany.
Hackeri získali prístup autentizáciou SSH kľúčom, nie chybou v softvéri servera Apache. Cez tento účet následne nahrali na server minotaur.apache.org niekoľko vlastných súborov. Súbory vytvorili v priečinkoch obsahujúcich súbory pre doménu www.apache.org. Medzi vytvorenými súbormi boli samozrejme aj CGI skripty. Pri následnej automatickej synchronizácii utilitou rsync boli súbory prenesené na hlavný webový server. Následne v piatok 28. augusta okolo 9:00 ráno útočníci pomocou HTTP požiadavky spustili nimi nahrané CGI skripty.
Administrátori si však už o 9:45 všimli podozrivé procesy na serveri eos.apache.org a do desiatich minút sa rozhodli odpojiť všetky servery, ktoré by mohli byť ovládnuté útočníkmi. Následne zmenili DNS záznamy väčšiny služieb hlavného servera Apache.org na server, ktorý poskytol dočasnú hlášku o incidente a nedostupnosti hlavného servera. Neskôr administrátori zistili, že server aurora.apache.org, ktorý je určený pre Európu obsahoval síce nakopírované hackerské súbory, tieto ale neboli spustené. Preto pristúpili k obnoveniu stavu operačného systému Solaris do času pred útokom. Momentálne je ešte stále niekoľko systémov mimo prevádzky, avšak väčšina služieb a stránok je už dostupných.
Zatiaľ neboli zistené žiadne fakty o tom, že by tento incident nejako postihol aj používateľov serveru Apache, či návštevníkov stránky (samozrejme okrem nedostupnosti). Hackerom sa totiž nepodarilo získať privilégiá na žiadnom serveri. Používatelia by si však mali pre istotu vždy skontrolovať digitálny podpis súboru, ktorý idú inštalovať. Viac informácií poskytne Apache hneď ako to bude možné.
Zdroj: blogs.apache.org