Afgelopen vrijdag werd een officiële server van Apache gehackt, de aanvallers kwamen echter niet ver, zo laat de webserver ontwikkelaar weten. De aanval begon op donderdagavond, toen een account voor het maken van geautomatiseerd backups voor de ApacheCon website, werd gebruikt voor het uploaden van bestanden naar minotaur.apache.org. De aanvallers hadden door nog onbekende wijze de SSH key van het account bemachtigd. Deze machine draait FreeBSD 7-STABLE en staat beter bekend als people.apache.org. De server dient als host voor de meeste Apache.org websites en biedt shell accounts voor mensen die aan Apache werken.

De aanvallers plaatsten verschillende bestanden in de directory waar ook de bestanden voor www.apache.org staan, waaronder enkele CGI scripts. Deze bestanden werden vervolgens via een automatisch proces naar de productie webservers gekopieerd. Vrijdagochtend om 7:00 uur riepen de aanvallers de CGI scripts aan, die verschillende processen op de productie web services startte. Drie kwartier later ontdekte het Apache Team de processen op eos.apache.org, de Solaris 10 machine waar de website op draait. Binnen tien minuten werd besloten alle machines uit voorzorg offline te halen.

Na een eerste onderzoek bleek dat eris.apache.org niet gehackt was, waarop Apache de DNS naar deze server liet wijzen. Volgens Apache zijn er geen eindgebruikers door de aanval getroffen, aangezien de aanvallers op geen enkele machine hun rechten wisten te verhogen. Ook is er geen bewijs dat aangeboden downloads mogelijk gemanipuleerd zijn. Toch krijgen gebruikers het advies om altijd de digitale handtekening te controleren. Op dit moment zijn nog verschillende machines offline. Zodra er een audit van de gehackte servers heeft plaatsgevonden, volgt er een aanvullend rapport.