Взлом Savannah затронул и www.gnu.org. Хронология событий

На сайте фонда свободного ПО опубликована заметка с изложением хронологии событий, связанных со взломом инфраструктуры проекта. Атака была произведена 24 ноября с грузинского блока IP-адресов. После осуществления подстановки SQL-запроса, позволившего загрузить базу пользователей, атакующим удалось 26 ноября подобрать пароль одного из администраторов, имеющего доступ к CVS-репозиторию с содержимым web-сервера. Данный шаг дал атакующим возможность вечером того же дня пробраться на сервер www.gnu.org и разместить на нем тестовую статическую страницу.

После успешной загрузки тестовой страницы, злоумышленники нашли директорию, в которой выполняются PHP-скрипты и загрузили туда web-shell на языке PHP, после чего принялись тестировать возможность повышения привилегий, используя различные эксплоиты. Данная активность была сразу замечена администраторами, которые в 1:37 27 ноября восстановили изначальное состояние сайта из резервной копии. Через несколько часов атакующие вновь проникли на сайт, через ранее запущенный web-shell. После чего администраторы блокировали работу кластера Savannah и web-сайта проекта GNU и начали более детальный разбор действий злоумышленников. Через несколько часов работа сайта www.gnu.org была восстановлена на новом сервере.

Восстановление работы savannah.gnu.org и аудит кода платформы Savane2 еще не завершен. Так как точно не установлено удалось ли злоумышленникам получить root-доступ в системе и проникли ли они на другие узлы кластера, решено переустановить с нуля содержимое всех серверов Savannah.

В настоящий момент репозитории Savannah восстановлены из резервной копии за 24 ноября. Дополнительно обеспечен доступ только на чтение к архиву CVS и Subversion репозиториев за 27 ноября, используя которые разработчики могут восстановить недостающие в рабочем репозтории коммиты. Разработчики, использующие git и bzr могут синхронизировать потерянные коммиты из локальной копии. Все не имеющие salt-а MD5-пароли признаны потенциально ненадежными и заблокированы, для хранения хэшей паролей задействован Crypt-MD5 и модуль блокирующий установку словарных паролей.

©  OpenNet