Взлом Savannah затронул и www.gnu.org. Хронология событий
После успешной загрузки тестовой страницы, злоумышленники нашли директорию, в которой выполняются PHP-скрипты и загрузили туда web-shell на языке PHP, после чего принялись тестировать возможность повышения привилегий, используя различные эксплоиты. Данная активность была сразу замечена администраторами, которые в 1:37 27 ноября восстановили изначальное состояние сайта из резервной копии. Через несколько часов атакующие вновь проникли на сайт, через ранее запущенный web-shell. После чего администраторы блокировали работу кластера Savannah и web-сайта проекта GNU и начали более детальный разбор действий злоумышленников. Через несколько часов работа сайта www.gnu.org была восстановлена на новом сервере.
Восстановление работы savannah.gnu.org и аудит кода платформы Savane2 еще не завершен. Так как точно не установлено удалось ли злоумышленникам получить root-доступ в системе и проникли ли они на другие узлы кластера, решено переустановить с нуля содержимое всех серверов Savannah.
В настоящий момент репозитории Savannah восстановлены из резервной копии за 24 ноября. Дополнительно обеспечен доступ только на чтение к архиву CVS и Subversion репозиториев за 27 ноября, используя которые разработчики могут восстановить недостающие в рабочем репозитории коммиты. Разработчики, использующие git и bzr могут синхронизировать потерянные коммиты из локальной копии. Все не имеющие salt-а MD5-пароли признаны потенциально ненадежными и заблокированы, для хранения хэшей паролей задействован Crypt-MD5 и модуль блокирующий установку словарных паролей.
Источник: http://www.opennet.ru/opennews/art.shtml?num=28850
|
|
0 | Tweet | Нравится |
|
