W piątek przez kilka godzin nie działała strona Apache’a. Jeden z serwerów Apache Software Foundation stał się ofiarą włamania. Na razie nie ma jeszcze informacji o przyczynach włamania. Wygląda jednak na to, że włamywacze posłużyli się kluczem SSH, aby uzyskać dostęp do jednego z serwerów.
W piątek przez kilka godzin nie działała strona Apache’a. Jeden z serwerów Apache Software Foundation stał się ofiarą włamania. Na razie nie ma jeszcze informacji o przyczynach włamania. Wygląda jednak na to, że włamywacze posłużyli się kluczem SSH, aby uzyskać dostęp do jednego z serwerów.
Klucz SSH jest używany powszechnie do zdalnej administracji. Gdyby włamanie się powiodło, hakerzy mogliby bez problemu wgrać trojany do sekcji download na stronie Apache’a. Stanowiłoby to ogromne zagrożenie, gdyż około 50 procent serwerów działa na Apache’u. Jak zapewniają administratorzy żaden użytkownik nie ucierpiał na włamaniu. Jednak nie do końca wiadomo, czy zmodyfikowany został jakikolwiek kod na stronie.
Późnym popołudniem konto używane do automatycznego backup’u dla strony ApacheCon zostało użyte do wysłania danych na stronę minotaur.apache.org. Hakerzy stworzyli kilka plików (w tym kilka skryptów CGI) w folderze zawierającym pliki dla www.apache.org. Dzięki temu uzyskali dostęp do HTTP. Po niecałej godzinie administratorzy zorientowali się, że dokonano włamania. Po 10 minutach ze względów bezpieczeństwa zespół zajmujący się infrastrukturą fundacji postanowił wyłączyć wszystkie serwery.
Po szybkim dochodzeniu zmieniono adres DNS dla większości serwisów na eris.apache.org. Problem nie dotyczył europejskich serwerów lustrzanych fundacji, dlatego też za pomocą zmienionych wpisów DNS to właśnie na nie przekierowane zostały wszystkie wywołania. Kiedy problem opanowano serwery zostały przywrócone do działania. Rik Ferguson, zajmujący się zabezpieczeniami w Trend Micro, twierdzi, że problem z kluczem SSH umożliwił atak na systemy oparte na Linuksie rok temu.
Źródło: TheRegister.co.uk • ApacheBlog • Heise-online.pl