image

Apache verklaart hack van officiële server

zondag 30 augustus 2009, 10:37 door Redactie, 6 reacties

Afgelopen vrijdag werd een officiële server van Apache gehackt, de aanvallers kwamen echter niet ver, zo laat de webserver ontwikkelaar weten. De aanval begon op donderdagavond, toen een account voor het maken van geautomatiseerd backups voor de ApacheCon website, werd gebruikt voor het uploaden van bestanden naar minotaur.apache.org. De aanvallers hadden door nog onbekende wijze de SSH key van het account bemachtigd. Deze machine draait FreeBSD 7-STABLE en staat beter bekend als people.apache.org. De server dient als host voor de meeste Apache.org websites en biedt shell accounts voor mensen die aan Apache werken.

De aanvallers plaatsten verschillende bestanden in de directory waar ook de bestanden voor www.apache.org staan, waaronder enkele CGI scripts. Deze bestanden werden vervolgens via een automatisch proces naar de productie webservers gekopieerd. Vrijdagochtend om 7:00 uur riepen de aanvallers de CGI scripts aan, die verschillende processen op de productie web services startte. Drie kwartier later ontdekte het Apache Team de processen op eos.apache.org, de Solaris 10 machine waar de website op draait. Binnen tien minuten werd besloten alle machines uit voorzorg offline te halen.

Na een eerste onderzoek bleek dat eris.apache.org niet gehackt was, waarop Apache de DNS naar deze server liet wijzen. Volgens Apache zijn er geen eindgebruikers door de aanval getroffen, aangezien de aanvallers op geen enkele machine hun rechten wisten te verhogen. Ook is er geen bewijs dat aangeboden downloads mogelijk gemanipuleerd zijn. Toch krijgen gebruikers het advies om altijd de digitale handtekening te controleren. Op dit moment zijn nog verschillende machines offline. Zodra er een audit van de gehackte servers heeft plaatsgevonden, volgt er een aanvullend rapport.

Reacties (6)
30-08-2009, 14:56 door spatieman
sjiek he.
SSH op default port laten draaien..
30-08-2009, 14:59 door MrBil
Door spatieman: sjiek he.
SSH op default port laten draaien..
Ook dat helpt vaak niet bij brute-forcers:
Aug 29 22:47:00 root sshd[3019]: reverse mapping checking getaddrinfo for 212-75-215-254.goodline.info [212.75.215.254] failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 29 22:46:58 root sshd[3017]: Failed password for invalid user walter from 212.75.215.254 port 57276 ssh2

Een of andere rus probeert al een tijd in me server te komen. Dus ik heb hem gisteren maar in me iptables lijstje gezet.

edit- ik kan niet wachten op de audit rapport
30-08-2009, 17:57 door fd0
Door spatieman: sjiek he.
SSH op default port laten draaien..
nee... security by obscurity is sjiek
30-08-2009, 18:19 door spatieman
mrbill.
maar een iptables firewall ruleset., block je SSH hierin,en maak ssh alleen open voor jou IP,
mocht je bang zijn voor IP wissel, gebruikt evt een dyndns account., of je host adres, vermits daar geen IP in zit :)
30-08-2009, 20:06 door Thasaidon
Door fd0: nee... security by obscurity is sjiek
Niet sjiek, maar beter dan niets.

Maar het is natuurlijk wel raar dat iemand een SSH key van een account heeft weten te bemachtigen.
31-08-2009, 13:25 door Anoniem
Door spatieman: sjiek he.
SSH op default port laten draaien..
En iemand die de SSH keys heeft zou het niet weten als er een andere poort gebruikt werd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.