LINUX.ORG.RU

Apache.org взломан

 , , , ,


0

0

5 апреля 2010 года хакеры проникли на сервера Apache Foundation, используя уязвимость XSS в багтрекере Atlassian Jira и переадресацию TinyURL. Атаке подвергся сервер brutus.apache.org, программное обеспечение которого использовалось для обратной связи с пользователями (хостинг Jira и Bugzilla). Вследствие данного нападения, похищены пользовательские пароли.

Как заявляют в Apache, пароли были зашифрованы (алгоритм SHA-512), но тем не менее, вероятность взлома простых паролей на словарной основе весьма высока, и пользователям настоятельно рекомендуется незамедлительно сменить пароли. «Кроме того, если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

>>> Подробности



Проверено: boombick ()
Последнее исправление: maxcom (всего исправлений: 2)

Атаке подвергся сервер brutus.apache.org (операционная система Ubuntu Linux 8.04 LTS)

ТОЛСТО, РЕШЕТО!

Kosyak ★★★★
()
Ответ на: комментарий от Kosyak

Толсто.

http://blogs.zdnet.com/security/?p=6123

On April 5th, the attackers via a compromised Slicehost server opened a new issue, INFRA-2591. This issue contained the following text:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Tinyurl is a URL redirection and shortening tool. This specific URL redirected back to the Apache instance of JIRA, at a special URL containing a cross site scripting (XSS) attack. The attack was crafted to steal the session cookie from the user logged-in to JIRA. When this issue was opened against the Infrastructure team, several of our administators clicked on the link. This compromised their sessions, including their JIRA administrator rights.

Стырили куки. Убунта не при делах вообще.

yirk ★★★
()
Ответ на: комментарий от yirk

Да, походу теперь на ЛОРе надо всегда подписывать САРКАЗМ. Конечно, убунта тут не причем.

Kosyak ★★★★
()

Умеют же люди. Неплохо, неплохо. Да, РЕШЕТО!. :}

Insomnium ★★★★
()

Уязвимость на сайте, а тут такую трагедию расписали...

f3ex ★★
()

кому и зачем это нужно?

boo32
()

Ну, признавайтесь же, кто апач хакнул?

Lennox ★★★★★
()
Ответ на: комментарий от boombick

На первом, но только если в кавычки взять, и только потому, что на других сайтах вообще нет.

Но вообще гугль да, успевает.

queen3 ★★★★★
()

> похищены пользовательские пароли
Они хранят пользовательские пароли в /etc/shadow? XXI век на дворе...

Lumi ★★★★★
()

> хакеры

Неплохо бы сменить на «взломщики». Только не «кракеры» и тем боле не «крекеры», как в унылом переводе унылой статьи ESR.

проникли на сервера Apache Foundation, используя уязвимость XSS

LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

anonymous
()

Крекеры! Кто-нибудь, снимите их с меня!

Jayrome ★★★★★
()
Ответ на: комментарий от anonymous

> LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

Утянули пароль администратора веб-сервисов, пользуясь его правами залили на сервер свой код

maxcom ★★★★★
()

если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа

Как минимум три дня никто не знал о взломе сервера. Админы, тоже мне.

name_no ★★
()
Ответ на: комментарий от boombick

>Пять минут с момента поста прошло, а этот топик на втором месте в гугле по запросу facepalm.ascii.txt

Уже на первом %)

Alex007
()

> если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

OMG! facepalm.ansi.tgz :) За севаком вообще кто-нибудь следит?

helios ★★★★★
()

Мда, сайты линуксовых проектов начали активно взламывать. Что ж, ждем новость про kernel.org

OxED
()

Ну это же кощунство. Не?
Взломщики, какие взломщики. Падонки. Найти и уничтожить.

timbor
()

Могли бы использовать salt при хешировании паролей. Тогда бы подбор по словарю был бы не возможен.

Mentis
()
Ответ на: комментарий от solid

> А написан багтрекер, конечно же, на пехапе, да?

не угадал

JIRA, со взлома которой все началось, написана на яве, и хранит хэши без соли. Ъ энтерпрайз :-)

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

> XSS

написана на яве

Неужели они пишут без какого-нибудь template engine?
У меня просто не укладывается это в голове. Как вообще можно допустить XSS?

solid
()

Интересно, кому это могло понадобиться..

Laz ★★★★★
()
Ответ на: комментарий от anonymous

Как обычно дискриминация анонимусов.

anonymous
()

TinyURL и т.п. - зло!

pento ★★★★★
()
Ответ на: комментарий от yirk

>Tinyurl is a URL redirection and shortening tool.

Tinyurl

Tinyurl



Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

anonymous
()
Ответ на: комментарий от OxED

>Что ж, ждем новость про kernel.org

Да его итак они сами ломают, заходил недели 2 назад, а там буквы перевернутые были.

anonymous
()

Вот в принципе и суть открытости - видны все недостатки. Ошибки исправляются намного быстрее, если не bugreport'ы слать, а атаковать напрямую...

postrediori
()

Ну вот, скоро специалисты по безопасности свободных программ будут цениться как хорошие бриллианты.

valich ★★★
()

Tinyurl --- это «ls от рута» 21 века!

sv75 ★★★★★
()

И запостили же эту дохлятину...

undivido
()
Ответ на: комментарий от helios

>За севаком вообще кто-нибудь следит?

Обязательно. Полусонный студент под пивко. Опенсорс ведь.

Молитесь, что б Линукс не пошел в массы, а то вирусы будем не по интернет-страничках цеплять, а прямо скачивать с обновлениями с вот таких вот официальных серваков.

anonymous
()
Ответ на: комментарий от anonymous

>Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

facepalm.cpp А как же lmgtfy.com, чтобы скрыть от жертвы запрос в URL?

Mr-Sinister
()
Ответ на: комментарий от Mr-Sinister

facepalm.koi8-r.xz А мы по другую сторону работаем.

anonymous
()

решето.

anonymous
()
Ответ на: круто поимели от splinter

splinter> круто поимели

Когда взломщиков найдут, их будут иметь ещё жёстче. И вазелин им не поможет.

Quasar ★★★★★
()
Ответ на: комментарий от Lumi

Хранились... Возможно, уже нет. Где - не скажу... ;-)

R_Valery ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.