Репозиторий Free Software Foundation выведен из ст
Главный репозиторий Free Software Foundation был закрыт после атаки, которая позволила хакерам получить пароли к некоторым аккаунтам сайта и, возможно, свободный административный доступ.
"Атака на GNU Savannah с использованием SQL-инъекции была основана на уязвимости в Savane, открытом ПО для хостинга, которое отделилось от SourceForge", – рассказал Мэтт Ли, менеджер Free Software Foundation. После этого преступники получиили доступ ко всей базе данных имен пользователей и хэшированных паролей, некоторые из которых были дешифрованы путем брутфорсинга.
Менеджеры проекта отключили GNU Savannah в субботу, спустя более чем 48 часов после атаки. Они надеются запустить сайт вновь сегодня, в среду, хотя они и предупреждают, что не все возможности сайта будут восстановлены сразу. В целях безопасности, данные будут восстанавливаться используя бэкап, сделанный перед нападением, 24 ноября. Ли сказал, что нет причин полагать, что какой-либо исходный код, размещенный на сайте был поврежден.
"Системы контроля версий сразу бы выкинули красный флаг в том случае, если бы были произведены какие-либо изменения, но мы этого не видели и полагаем, что проблемы нет", - объяснил он. Более того, ничего не говорит о том, что FTP-сервер, используемый для фактического обмена кодом, был поврежден.
Хакеры использовали полученный доступ для добавления скрытого статичного HTML-файла в CVS-хранилище, который изменил вид главной страницы gnu.org. После того, как была найдена директория, по ошибке разрешенная для исполнения PHP-скриптов, хакеры также установили PHP реверс-шелл скрипт.
"Дальше они пытались использовать кучу руткитов на сервере gnu.org. И мы думаем у них ничего не получилось. Хотя мы не уверены", - сказал Ли.
Руководители проекта потратили почти все выходные, приводя сайт GNU в свое первоначальное состояние. И даже когда началась эта работа, было обнаружено, что "попытки взлома www.gnu.org продолжались с помощью PHP-шеллов. Осознав, что проблемы куда серьезней, чем мы предполагали вначале, мы сразу же изолировали Savannah и сайт GNU от сети и начали более глубокий анализ".
Руководители заявили, что все пароли, хранящиеся на Savannah, должны быть признаны ненадежными. Перед тем как восстановить аккаунты, необходимо будет задать новые пароли. Средство шифрования паролей при этом будет обновлено до Crypt-MD5.Также будет произведена проверка надежности паролей пользователей.
Ли сказал, что Savane уже находился в стадии исследования, когда произошла атака. Так как это открытый источник, доступ к которому имеет любой, можно было уже давно обнаружить и исправить уязвимости к SQL-инъекции. Хотя справедливости ради стоит отметить, что GNU.org далеко не первый популярный опенсурс-проект, который подвергся подобного рода атакам. За последние 13 месяцев хорошо защищенные сайты Apache Software Foundation подверглись атаке дважды.
Написал: ZaRiN
01.12.2010 / 13:09
