В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника

25.01.2011 09:28

Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в результате которого злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации утверждается, что параметры доступа были получены вследствие внешней атаки (например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы скомпрометированного аккаунта и не воспользовались функциями формирования сборок и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно анализировать журналы внесения изменений в пакеты и информировать администрацию (admin at fedoraproject.org) о любой подозрительной активности. Участникам проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется использовать надежные пароли и не применять эти же пароли в других проектах, особенно на web-сайтах, не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из разработчиков, обеспокоенного получением системного письма с уведомлением об изменении параметров аккаунта. Администраторы проекта немедленно приступили к разбору ситуации и выяснили, что действительно под аккаунтом обратившегося пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и команды по подготовке релизов, но обладал следующими привилегиями:

Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с правами непривилегированного пользователя;
Доступ к помещению новых пакетов в систему управления исходными текстами Fedora;
Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведён детальный анализ инцидента и выполнен дополнительный аудит безопасности серверов. Из уже проведенных мероприятий отмечается выполнение следующих действий:

Блокирование скомпрометированного аккаунта;
Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;
Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в систему управления исходными текстами Fedora, не входил на сервер pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки пакетов и не формировал обновления пакетов (примечание: или умело замел следы, чтобы создать иллюзию неудавшегося взлома).

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/29374-fedora

Ключевые слова: fedora, hack, security, linux, attack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.1, filosofem (ok), 10:25, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+26 +/–
>злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов и начали троллить за переименование сетевых интерфейсов.

1.2, Карбофос (ok), 10:26, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+15 +/–
pavlinux отомстил уже за изменение наименований сетевых интерфейсов?

2.22, pavlinux (ok), 16:03, 25/01/2011 [^] [^^] [^^^] [ответить]	+4 +/–
]:->

2.36, ананим (?), 14:13, 26/01/2011 [^] [^^] [^^^] [ответить]	+/–
из-за них и пролез видать. айпитэйблс не подправили, теперь отмазываются.

1.3, Аноним (-), 11:03, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
мне кажется или это уже второй взлом fedora меньше чем за год ?

2.4, Аноним (-), 11:16, 25/01/2011 [^] [^^] [^^^] [ответить]	+5 +/–
> мне кажется или это уже второй взлом fedora меньше чем за год ? Кража пароля — это не взлом. Называйте вещи своими именами.

3.6, SubGun (??), 11:42, 25/01/2011 [^] [^^] [^^^] [ответить]	+/–
Это тот же взлом, только кража пароля.

2.5, Оно ним (?), 11:19, 25/01/2011 [^] [^^] [^^^] [ответить]

+/–

> мне кажется или это уже второй взлом fedora меньше чем за год
> ?

Не знаю, вы это имеете ввиду? http://www.securitylab.ru/news/358356.php

"И эти люди запрещают мне ковыряться в носу!" :)))

3.9, Семен (??), 12:19, 25/01/2011 [^] [^^] [^^^] [ответить]	+/–
Вот что имелось ввиду http://www.opennet.me/opennews/art.shtml?num=17510

1.23, онано (?), 17:15, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт; Поздно пить боржоми.

2.24, non anon (?), 17:22, 25/01/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Обычно в таких случаях снапшоты делаются со вполне определенной целью - выяснить, что успели натворить супостаты. Для этого снапшот сравнивается с последними бэкапами (в простейшем случае diff -r). После снятия снапшота, на взломанный сервер обычно развертывается тщательно проверенный свежий бэкап.

3.25, онано (?), 19:21, 25/01/2011 [^] [^^] [^^^] [ответить]	+/–
Спасибо

1.35, 16пиз...бол (?), 11:10, 26/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это логично - так как данная система не является ОС в смысле принадлежности, а есть так называемый development tools of RedHat(with many bugs and other anomaly)

1.38, srgaz (?), 08:44, 30/01/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не чего, страшного в этом нет. Читаю комментарии, удивляюсь. Ребята вы поняли о чем речь? А что проект про это озвучил, так это и есть гуд. Тут набежали троли... Одним словом, можно было создать новый логин.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: