Администраторы инфраструктуры дистрибутива Sabayon Linux сообщили (https://forum.sabayon.org/viewtopic.php?f=49&t=30981) о выявлении фактов проникновения злоумышленников на сервер, обслуживающий официальный форум проекта, wiki и систему отслеживания ошибок (bugzilla). В результате взлома была зафиксирована утечка содержимого базы, содержащей MD5-хэши паролей (двойной хэш с солью) и персональные данные пользователей.
Взлом был совершён в ночь с 28 на 29 октября путём использования пароля, перехваченного у одного из администраторов форума. В результате атаки, злоумышленникам удалось организовать выполнение собственного php-кода на сервере через его подстановку через модуль поддержания FAQ. Указанный код был использован для установки двух бэкдоров (cache2.php и cache3.php) и получения доступа к содержимому БД с параметрами аутентификации для web-сервисов проекта (используется централизованная система аутиентификации на базе форума phpBB). Следы атакующих установить не удалось, так как при проведении атаки злоумышленники работали через сеть Tor.
Для оперативного обнаружения подобных атак в будущем администраторы сервера обеспечили работу системы уведомлений о всех подозрительных загрузках файлов на сервер. Для исключения вероятности скрытой подмены данных в БД, содержимое базы данных восстановлено из одного из ежечасных бэкапов, сохранённых до взлома. Всем пользователям форума, wiki и bugzilla рекомендуется срочно поменять свои пароли (аккаунты не заблокированы). В случае использования одинакового пароля на нескольких сайтах, пароль рекомендуется поменять и на других ресурсах.URL: https://forum.sabayon.org/viewtopic.php?f=49&t=30981
Новость: http://www.opennet.me/opennews/art.shtml?num=38323
Неоднозначно. С одной стороны, один админ лопухнулся с паролем (в винде сидел?), с другой стороны - реакция довольно оперативная, картину произошедшего восстановили быстро, есть отлаженные бэкапы, да и отреагировали верно, усложнили задачу взломщикам на будущее. Видел худшую картину в более "серьезных" проектах.
Просто от генту не так уж далеко ушла.
А гентешники на этом слегка помешаны. По себе знаю. :D
Ну и форумом рулить (лично для меня) муторно. Вот и взяли кого-то в стиле "пароль на мониторе маркером записан".
>>реакция довольно оперативнаяАдмин просто выслал пароль смской своему другу, а на утро понял, что номер перепутал ))
сказочный дебил там администратор: «If you believe that Internet anonymity is good, well… will you be ready to pay the price of it?»«я обосрался, но виновата анонимность!»
> сказочный дeбил там администратор: «If you believe that Internet anonymity is good,Интересно, он по этому поводу в свою систему бэкдоров и спайвари насует? И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпу.
> И главное даже без Tor есть навалом методов более или менее анонимно поиметь растяпуКак будто тор анонимен.
> Как будто тор анонимен.До некоторой степени - да. В частности, полисмены которые ловили владельца Silk Road довольно много плевались на это дело и ничего эффективного насчет Tor придумать не смогли. АНБ в своих доках вообще назвало Tor "вонючкой" за сложность эффективного мониторинга.
Зато полисмены придумали в 10 раз более простой и эффективный метод поймать з@ср@нца, никак не связанный с Tor и Bitcoin :). Вообще, рекомендую: http://www1.icsi.berkeley.edu/~nweaver/UlbrichtCriminalCompl... - или как пользоваться Tor и Bitcoin и при этом попасться на куда более простой фигне. Замечательный детектив. И хороший пример того как Tor/Bitcoin/ ... видят полисмены. И кто и какие методы использует.
> Как будто тор анонимен.АНБ говорит, что Tor не анонимен, и пользоваться им нельзя. Верьте АНБ, они фигни не скажут.
>>хэши паролей и персональные данные пользователейА был бы коммерческим продуктом, утекли еще бы и номера кредиток.
Юзайте свободный софт!
> получения доступа к содержимому БД с параметрами аутентификации для
> web-сервисов проекта (используется централизованная система аутиентификации на
> базе форума phpBB)Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?
А, да, вспоминаю, видел где-то когда-то такое: лежит setup.php с открытым паролем на БД с чуть ли не административными правами, и весь обмен данными с БД, независимо от авторизации, проходит через этот единый пароль... Нет слов!
> Хмм, разве у кого-то ещё веб-скрипты имеют полный доступ к БД?это как? есть одмин/форумобот который дергает vvveRyyseecretttttscript.php который использует юзера у которого в grant-ах есть права писать в бд, остальные скипты используют юзера у которого только select ?;-)
> это как?Нет, это всего лишь так, что каждый пользователь авторизируется на БД под отдельной ролью с правами, для его работы необходимыми и достаточными.
>> это как?
> Нет, это всего лишь так, что каждый пользователь авторизируется на БД под
> отдельной ролью с правами, для его работы необходимыми и достаточными.а я не удивлюсь, если там все работало с dbhost=localhost, dbuser=root, dbpassword="" (ну или с паролем, но везде одинаковым)
как-то приходилось сталкиваться с такими отжигами на машинах после "линуксоидов".
изначально я не верно прочел коммент на который отвечал, подумал что речь чисто о форуме и разограничении прав для работы с его бд:)
> путём использования пароля, перехваченного у одного из администраторовМожно дальше не читать.
> Можно дальше не читать.Дык, крутые хакеры пошли. Одни факсом DNS перенаправляют, вторые пароль у админа крадут. Ждем новостей о "взломах" путем логина по информации с бумажки приклееной к монитору "админа".