Зафиксирована подмена сайта Linux.org через захват DNS

08.12.2018 08:35

Администраторы сообщества Linux.org (не путать с Linux.com) сообщили об инциденте, в результате которого злоумышленники подменили содержимое сайта. Атака была совершена путём перенаправления трафика на другой хост через изменение данных в DNS.

По словам администратора ресурса, злоумышленники получили доступ к учётной записи владельца сайта у регистратора Network Solutions. Судя по всему, для домена Linux.org через сервис Whois отображались полные данные о владельце и атакующие, воспользовавшись существующими базами взломанных аккаунтов, смогли получить доступ к почтовому ящику в сервисе Yahoo, использовав ранее захваченную в результате взлома Yahoo базу с хэшами паролей. После этого при помощи функции восстановления забытого пароля атакующие смогли поменять пароль к учётной записи Network Solutions, к которой был привязан взломанный почтовый ящик в Yahoo. Помехой могло стать применение двухфакторной аутентификации для дополнительной защиты аккаунта, но она не была активирована.

Инфраструктура проекта и база пользователей Linux.org не пострадали - атакующие не получили доступа к серверам. Атака ограничилась только вандализмом с переключением на другой сервер в DNS. Атакующие уже опубликовали скриншот интерфейса Network Solutions, из которого видно, что кроме linux.org был получен доступ к параметрам DNS сайтов linuxonline.com, linuxonline.net, linuxonline.org и linuxhq.com, которые не использовались для каких-либо проектов.

Предполагается, что причиной взлома стала произошедшая в прошлом году смена руководства linux.org с заменой сайта, удалением ранее размещённого контента и перерегистрацией учётных записей пользователей форума. Вначале атакующие разместили на подменённом сайте нецензурный текст и пошлое изображение с намёком на протест против принятого разработчиками ядра Linux кодекса поведения (Code of Conduct). Затем на странице были размещены оскорбления и полные персональные данные (включая домашний адрес) Coraline Ada Ehmke, трансгендерного разработчика и создателя инициативы Contributor Covenant, на основе которой был сформирован кодекс разработчиков ядра Linux. Сайт оставался перенаправлен в течение трёх с половиной часов.

исправить +34 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49744-hack

Ключевые слова: hack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, A.Stahl (ok), 09:34, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
Да и не пофиг ли на взлом сайта где "в прошлом году смена руководства linux.org с заменой сайта, удалением ранее размещённого контента"

2.18, пох (?), 11:31, 08/12/2018 [^] [^^] [^^^] [ответить]

+9 +/–

> Да и не пофиг ли

да не, чо, все правильно сделали - и разместили что надо, а не красно-радужный пропагандистский мусор. Где донейты собирают на взлом следующей sjw'шной помойки, я пришлю?

P.S. еще и networksolutions - которая давным-давно перепродана индусам, и не только твои персональные данные прочавкает, а еще и сама не прочь домен украсть.

1.2, Аноним (2), 09:35, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+27 +/–
Я подумал ЛОР взломали.

2.25, Аноним (-), 19:39, 08/12/2018 [^] [^^] [^^^] [ответить]	+7 +/–
Пока Шаман на страже, злая сила не пройдет.

2.27, Аноним (27), 03:08, 09/12/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Я подумал ЛОР взломали. Лучше бы его. Там забаненых что-то слишком много развелось - было б прикольно если б их кто-нибудь целиком забанил по приколу. Люблю когда махателям банхаммером баны прилетают.

3.30, Аноним (-), 10:58, 09/12/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Лучшеб модераторов-неадекватов перебанили. Реально за неделю в бан летит больше, чем регистрируется. А недавно новая мода прошла - банить пачками (по 10 акков в день) с припиской "угон аккаунта".

4.39, myhand (ok), 14:55, 10/12/2018 [^] [^^] [^^^] [ответить]	+/–
> Лучшеб модераторов-неадекватов перебанили. Тогда модераторов не останется.

1.3, анон_который_не_любит_Альт (?), 09:39, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+12 +/–
>трансгендерного разработчика и создателя инициативы Contributor Covenant, на основе которой был сформирован кодекс разработчиков ядра Linux ясно понятно

2.28, Аноним (28), 06:44, 09/12/2018 [^] [^^] [^^^] [ответить]	+2 +/–
что за $%#¥, почему я должен знать размер члена какого-то рядового разработчика? Хочу подробностей от Грега, например, раз он этот СоС принял в первых рядах. Пусть все в подписи в расылке теперь пишут обязательно

3.35, Andrey Mitrofanov (?), 10:46, 10/12/2018 [^] [^^] [^^^] [ответить]

+/–

> что за $%#¥, почему я должен знать размер члена какого-то рядового разработчика?

[I]"" Нет, Генацвале! Когда у общества нет цветовой дифференциации штанов, то нет цели, а когда нет цели… ""[/I]

> Хочу подробностей от Грега,

Не засчитываю тебе "сарказм", плохо старался.

Вот. Теперь и ты, Аноним.

1.4, Аноним (4), 09:40, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> атакующие воспользовались существующими базами взломанных аккаунтов Системное администрирование уровня /linux/. Вспоминаем kernel.org образца 2011-го года.

2.24, Аноним (-), 18:55, 08/12/2018 [^] [^^] [^^^] [ответить]	+2 +/–
скорее "почему плохо хранить все яйца в одной корзине"

1.5, имя (?), 09:49, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Помехой могло стать применение двухфакторной аутентификации, но она не была активирована для дополнительной защиты аккаунта. хех..

2.26, Аноним (-), 23:33, 08/12/2018 [^] [^^] [^^^] [ответить]	+/–
>>Помехой могло стать применение двухфакторной аутентификации, но она не была активирована для дополнительной защиты аккаунта. > хех.. >Помехой могло стать применение двухфакторной аутентификации, но она не была активирована для дополнительной защиты аккаунта. Тожезаметил.

1.7, XoRe (ok), 10:02, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> смогли получить доступ к почтовому ящику в сервисе Yahoo, использовав ранее захваченную в результате взлома Yahoo базу с хэшами паролей Выходит, yahoo всем разослала просьбу поменять пароль, но пароль не поменяли.

2.19, пох (?), 11:33, 08/12/2018 [^] [^^] [^^^] [ответить]

+5 +/–

для того чтоб поменять пароль - надо хотя бы знать пароль и вообще читать ящик на яхе.
А эти были заняты приживлением силиконового члена, какой еще ящик, зачем он, smtp прошлый век.

Вот если б им в slack прислали - они бы может и поменяли.

1.20, псевдонимус (?), 12:18, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Молодцы! Куда донатить на продолжение?

2.36, Andrey Mitrofanov (?), 10:50, 10/12/2018 [^] [^^] [^^^] [ответить]	+/–
> Молодцы! Куда донатить на продолжение? Заверененное нотариусом заявление примут в отделении полиции по Вашему месту жительства. [I]Удобно!

3.38, псевдонимус (?), 13:21, 10/12/2018 [^] [^^] [^^^] [ответить]	+/–
Как-то двусмысленно у тебя получилось.

1.21, КГБ СССР (?), 17:08, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> трансгендерного разработчика и создателя инициативы Contributor Covenant, на основе которой был сформирован кодекс разработчиков ядра Linux

Всё, что вы хотели знать про …

А не взломали бы какой-то сайт — никто бы и не знал.

1.22, Аноним (22), 17:14, 08/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Если кому интересно как все это выглядело https://web.archive.org/web/20181207020119/https://linux.org/

2.23, Аноним (23), 17:25, 08/12/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Тьфу ты блин! Я же ем...

2.32, Qwerty (??), 12:12, 09/12/2018 [^] [^^] [^^^] [ответить]	+/–
Ничего себе, ему 47?!

2.34, Аноним (34), 23:24, 09/12/2018 [^] [^^] [^^^] [ответить]	+/–
круть. я уже лет 15 дефейсов не видел... щас школотроны в основном майнеры, да вирусню 'незаметно' всталяют на ломаные сайты

2.37, adolfus (ok), 11:31, 10/12/2018 [^] [^^] [^^^] [ответить]	+/–
Подтертое нещитово.

1.40, Fantomas (??), 19:28, 10/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Хорошо, но мало

1.42, Аноним (42), 14:10, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У меня одного пелевинпаранойя от фото с жопой?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: