| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 3.145.88.241
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

Как был взломан Apache.org

Ни в какой момент времени никакие репозитории кода Apache Software Foundation, загрузки или сами пользователи в связи с этим вторжением риску не подвергались. Однако мы полагаем, что предоставление деталей случившегося сделает интернет лучшим местом, позволив другим поучиться на наших ошибках.

Что произошло?

Наша первоначальная теория оказалась верной – сервер, на котором располагался сайт apachecon.com (dv35.apachecon.com), был скомпрометирован. Машина работала под управлением CentOS, и мы подозреваем, что они могли использовать недавние эксплоиты для повышения локальных привилегий, которые были пропатчены в RHSA-2009-1222. Атакующие полностью скомпрометировали эту машину, получив root-привилегии и уничтожив большинство логов, что затруднило нам подтверждение подробностей всего случившегося с машиной.

Владельцем этой машины является компания-организатор конференции ApacheCon, а не Apache Software Foundation, однако члены Apache Infrastructure Team (AFT) имеют на ней аккаунты, включая аккаунт, использовавшийся для резервного копирования.

Нападавшие безуспешно попробовали использовать пароли со скомпрометированного хоста ApacheCon для авторизации на наших производственных серверах. Позднее, используя ключ SSH от аккаунта для резервного копирования, они смогли получить доступ к people.apache.org (minotaur.apache.org). Этот аккаунт был аккаунтом непривилегированного пользователя, и использовался для создания резервных копий хоста ApacheCon.

Сервер minotaur.apache.org работает на FreeBSD 7-STABLE и выступает в роли подготовительной машины для нашей сети зеркал. Это наш первичный shell account-сервер, на котором находится также много других сервисов для разработчиков Apache. Код контрольных версий (Subversion) на этой машине не хранился, поэтому никакой угрозы исходным кодам Apache не было.

Получив shell-доступ, нападавшие добавили CGI-скрипты в корни каталогов с документами на нескольких наших веб-сайтах. В результате проведения регулярной, запланированной процедуры rsync эти скрипты были скопированы на наш производственный веб-сервер, eos.apache.org, на котором они стали видимыми извне. Эти CGI-скрипты были использованы для получения удаленных шеллов, а информация посылалась при помощи команд HTTP POST.

Наши страницы загрузки генерируются динамически, чтобы предоставить пользователям возможность выбрать ближайшее по местоположению зеркало, поэтому опция ExecCGI у нас включена, что затрудняет защиту от атак подобного происхождения.

Обнаружив CGI-скрипты, члены AFT приняли решение отключить любые серверы, которые атака могла потенциально затронуть. В их число вошел сервер people.apache.org, а также серверы европейского и американского веб-сайтов. Весь трафик с них перенаправлялся на проверенный сервер, а на отключенных сайтах было вывешено временное уведомление, дающее людям возможность понять, что мы в курсе происходящего.

Один за другим мы подняли все отключенные серверы снова, в однопользовательском режиме, воспользовавшись нашим внеполосным доступом. Очень быстро выяснилось, что aurora.apache.org, сервер европейского веб-сайта, остался неподверженным атаке. Несмотря на то, что CGI-скрипты были скопированы на него, они так не разу и не запустились, поскольку эта машина на момент проведения атаки не была включена в DNS-ротацию.

Сервер aurora.apache.org работает под управлением Solaris 10, и нам удалось восстановить на нем безопасную конфигурацию клонированием и активацией ZFS-копий, сделанных за день до появления CGI-скриптов. Проделав эти операции, мы быстро вывели европейский сервер обратно в онлайн, после чего оперативно восстановили наши основные веб-сайты. После этого мы продолжили анализировать причину взлома, методы получения доступа и ситуацию с возможной компрометацией других машин.

Вскоре после того, как мы подняли aurora.apache.org , мы определили, что наиболее вероятное направление взлома связано с процедурой резервного копирования dv35.apachecon.com. Мы собрали с этого сервера все доступные логи и быстро отключили его.

Мы также продолжили анализировать minotaur.apache.org и eos.apache.org (наш сервер в США), пока не получили полную уверенность в том, что все следы атаки убраны. После того, как сервер признали чистым, он быль вновь выведен в онлайн.

Что сработало?

  • Использование ZFS-снимков позволило нам восстановить европейский производственный сервер к безопасному состоянию.
  • Избыточное количество серверов в двух местах расположения позволило нам запустить сервисы с альтернативного месторасположения, продолжив при этом работу с пострадавшими серверами и сервисами.
  • Разномастная конфигурация скомпрометированных машин (Linux/CentOS i386, FreeBSD-7 amd_64 и Solaris 10 на sparc) затруднила нападавшим перспективы по поднятию привилегий на большом числе машин.

Что не сработало?

  • Использование SSH-ключей облегчило проведение атаки. В прошлом их применение было далеким от идеального, поскольку мы не ограничили использование ключей SSH надлежащим образом и не отдавали себе отчета в возможности их неправомерного использования.
  • Настройка rsync, использующая people.apache.org для управления развертыванием наших веб-сайтов, позволила нападавшим незаметно скопировать свои файлы на зеркало в США.
  • Возможность выполнения CGI-скриптов на любом виртуальном хосте, в то время как большинству наших сайтов этого не требовалось, подвергла их напрасному риску быть уязвимыми для подобного рода атак.
  • Нехватка логов с хоста ApacheCon не позволила с абсолютной достоверностью восстановить картину действий атакующих. За исключением одного, нападавшие стерли все логи, кроме того, эти логи не хранились вне скомпрометированной машины.

Какие изменения мы проводим сейчас?

После вторжения мы проводим ряд изменений для того, чтобы обезопасить нашу инфраструктуру от подобных инцидентов в будущем. Вот список проводимых нами изменений:

  • Требование ко всем пользователям с повышенными привилегиями использовать OPIE for sudo на определенных машинах. Это требование уже действует в некоторых местах, однако теперь данная практика будет обязательно расширена.
  • Повторное создание и использование SSH, одного для каждого хоста, для использования при резервном копировании. Также – обязательное использование опций from="" и command="" в файле авторизованных ключей на сервере назначения резервного копирования. В совокупности с ограничениями, позволяющими устанавливать соединения только тем машинам, которые действительно создают резервные копии данных, данная мера позволит предотвратить возможность установления SSH-соединений сторонними машинами.
    • Строка command="" в файле авторизованных ключей теперь является явно заданной и позволяет осуществлять только односторонний rsync-трафик.
    • Новые ключи сгенерированы для всех хостов, минимальная длина ключа при этом– 4096 бит.
  • Виртуальная машина, на которой была расположена старая версия сайта apachecon.com, остается отключенной и ожидает дальнейшего детального анализа. Сайт apachecon.com вновь развернут на новой виртуальной машине, у нового провайдера и под другой операционной системой.
  • Мы рассматриваем возможность отключения поддержки CGI на большинстве систем с веб-сайтами. Это привело к созданию нового модуля httpd, который будет управлять предоставлением зеркал для загрузок.
  • Метод, согласно которому большинство наших публичных веб-сайтов разворачивается на наших производственных серверах, также будет изменен, этот процесс станет более автоматизированным. Мы надеемся в течение ближайших нескольких недель перейти на использование системы, основанной на SvnSubPub / SvnWcSub.
  • Мы вновь внедрим на всех машинах практику бана по IP-адресу после нескольких неудачных попыток авторизации.
  • Было выдвинуто предложение по введению системы централизованного журналирования. Эта система включит в себя все логи, и возможно также такие сервисы, как smtpd и httpd.

Источник: https://blogs.apache.org/infra/entry/apache_org_downtime_report

Категория: Общие Статьи | Добавил: aka_kludge (03.12.2009)
Просмотров: 1874 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

20:14
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика