The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Форум и web-сервисы дистрибутива Sabayon Linux подверглись взлому

02.11.2013 08:36

Администраторы инфраструктуры дистрибутива Sabayon Linux сообщили о выявлении фактов проникновения злоумышленников на сервер, обслуживающий официальный форум проекта, wiki и систему отслеживания ошибок (bugzilla). В результате взлома была зафиксирована утечка содержимого базы, содержащей MD5-хэши паролей (двойной хэш с солью) и персональные данные пользователей.

Взлом был совершён в ночь с 28 на 29 октября путём использования пароля, перехваченного у одного из администраторов форума. В результате атаки, злоумышленникам удалось организовать выполнение собственного php-кода на сервере через его подстановку через модуль поддержания FAQ. Указанный код был использован для установки двух бэкдоров (cache2.php и cache3.php) и получения доступа к содержимому БД с параметрами аутентификации для web-сервисов проекта (используется централизованная система аутиентификации на базе форума phpBB). Следы атакующих установить не удалось, так как при проведении атаки злоумышленники работали через сеть Tor.

Для оперативного обнаружения подобных атак в будущем администраторы сервера обеспечили работу системы уведомлений о всех подозрительных загрузках файлов на сервер. Для исключения вероятности скрытой подмены данных в БД, содержимое базы данных восстановлено из одного из ежечасных бэкапов, сохранённых до взлома. Всем пользователям форума, wiki и bugzilla рекомендуется срочно поменять свои пароли (аккаунты не заблокированы). В случае использования одинакового пароля на нескольких сайтах, пароль рекомендуется поменять и на других ресурсах.

  1. Главная ссылка к новости (https://forum.sabayon.org/view...)
  2. OpenNews: Выпуск дистрибутива Sabayon Linux 13.08
  3. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  4. OpenNews: Drupal.org подвергся взлому, база пользователей скомпрометирована
  5. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  6. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38323-sabayon
Ключевые слова: sabayon, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, Аноним (-), 12:34, 02/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Неоднозначно. С одной стороны, один админ лопухнулся с паролем (в винде сидел?), с другой стороны - реакция довольно оперативная, картину произошедшего восстановили быстро, есть отлаженные бэкапы, да и отреагировали верно, усложнили задачу взломщикам на будущее. Видел худшую картину в более "серьезных" проектах.
     
     
  • 2.13, ананим (?), 12:45, 02/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Просто от генту не так уж далеко ушла.
    А гентешники на этом слегка помешаны. По себе знаю. :D
    Ну и форумом рулить (лично для меня) муторно. Вот и взяли кого-то в стиле "пароль на мониторе маркером записан".
     
  • 2.41, Аноним (-), 22:40, 02/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>реакция довольно оперативная

    Админ просто выслал пароль смской своему другу, а на утро понял, что номер перепутал ))

     

  • 1.12, arisu (ok), 12:44, 02/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    сказочный дебил там администратор: «If you believe that Internet anonymity is good, well… will you be ready to pay the price of it?»

    «я обосрался, но виновата анонимность!»

     
     
  • 2.18, Аноним (-), 13:33, 02/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > сказочный дeбил там администратор: «If you believe that Internet anonymity is good,

    Интересно, он по этому поводу в свою систему бэкдоров и спайвари насует? И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпу.

     
     
  • 3.35, Аноним (-), 20:27, 02/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпу

    Как будто тор анонимен.

     
     
  • 4.42, Аноним (-), 23:03, 02/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как будто тор анонимен.

    До некоторой степени - да. В частности, полисмены которые ловили владельца Silk Road довольно много плевались на это дело и ничего эффективного насчет Tor придумать не смогли. АНБ в своих доках вообще назвало Tor "вонючкой" за сложность эффективного мониторинга.

    Зато полисмены придумали в 10 раз более простой и эффективный метод поймать з@ср@нца, никак не связанный с Tor и Bitcoin :). Вообще, рекомендую: http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalComplaint.pdf - или как пользоваться Tor и Bitcoin и при этом попасться на куда более простой фигне. Замечательный детектив. И хороший пример того как Tor/Bitcoin/ ... видят полисмены. И кто и какие методы использует.

     
  • 4.59, Аноним (-), 18:06, 04/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как будто тор анонимен.

    АНБ говорит, что Tor не анонимен, и пользоваться им нельзя. Верьте АНБ, они фигни не скажут.

     

  • 1.40, Аноним (-), 22:37, 02/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >>хэши паролей и персональные данные пользователей

    А был бы коммерческим продуктом, утекли еще бы и номера кредиток.
    Юзайте свободный софт!

     
  • 1.47, Прохожий (??), 13:34, 03/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > получения доступа к содержимому БД с параметрами аутентификации для
    > web-сервисов проекта (используется централизованная система аутиентификации на
    > базе форума phpBB)

    Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?

    А, да, вспоминаю, видел где-то когда-то такое: лежит setup.php с открытым паролем на БД с чуть ли не административными правами, и весь обмен данными с БД, независимо от авторизации, проходит через этот единый пароль... Нет слов!

     
     
  • 2.61, тигар (ok), 14:51, 05/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?

    это как? есть одмин/форумобот который дергает vvveRyyseecretttttscript.php который использует юзера у которого в grant-ах есть права писать в бд, остальные скипты используют юзера у которого только select ?;-)

     
     
  • 3.62, Прохожий (??), 10:11, 06/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > это как?

    Нет, это всего лишь так, что каждый пользователь авторизируется на БД под отдельной ролью с правами, для его работы необходимыми и достаточными.

     
     
  • 4.63, тигар (ok), 10:23, 06/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> это как?
    > Нет, это всего лишь так, что каждый пользователь авторизируется на БД под
    > отдельной ролью с правами, для его работы необходимыми и достаточными.

    а я не удивлюсь, если там все работало с dbhost=localhost, dbuser=root, dbpassword="" (ну или с паролем, но везде одинаковым)
    как-то приходилось сталкиваться с такими отжигами на машинах после "линуксоидов".
    изначально я не верно прочел коммент на который отвечал, подумал что речь чисто о форуме и разограничении прав для работы с его бд:)

     

  • 1.49, pavlinux (ok), 15:27, 03/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > путём использования пароля, перехваченного у одного из администраторов

    Можно дальше не читать.

     
     
  • 2.53, Аноним (-), 16:27, 03/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно дальше не читать.

    Дык, крутые хакеры пошли. Одни факсом DNS перенаправляют, вторые пароль у админа крадут. Ждем новостей о "взломах" путем логина по информации с бумажки приклееной к монитору "админа".

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру