LINUX.ORG.RU
 
QUANTUM

Apache.org взломан


0

0

5 апреля 2010 года хакеры проникли на сервера Apache Foundation, используя уязвимость XSS в багтрекере Atlassian Jira и переадресацию TinyURL. Атаке подвергся сервер brutus.apache.org, программное обеспечение которого использовалось для обратной связи с пользователями (хостинг Jira и Bugzilla). Вследствие данного нападения, похищены пользовательские пароли.

Как заявляют в Apache, пароли были зашифрованы (алгоритм SHA-512), но тем не менее, вероятность взлома простых паролей на словарной основе весьма высока, и пользователям настоятельно рекомендуется незамедлительно сменить пароли. «Кроме того, если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

>>> Подробности

ЗАСТАВЬ КОМПЬЮТЕР ПОЛИВАТЬ ОГОРОД

автоматизация своими руками: электроприборы под контролем компьютера
beware of programmers who carry screwdrivers!
http://www.unicontrollers.com/products/unc01x

[#]  
Kosyak
>>-----Цитата---->>

Атаке подвергся сервер brutus.apache.org (операционная система Ubuntu Linux 8.04 LTS)

<<-----Цитата----<<

ТОЛСТО, РЕШЕТО!

** ()
[#] Ответ на: комментарий от Kosyak 14.04.2010 12:27:28  
yirk

Толсто.

>>-----Цитата---->>

http://blogs.zdnet.com/security/?p=6123

On April 5th, the attackers via a compromised Slicehost server opened a new issue, INFRA-2591. This issue contained the following text:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Tinyurl is a URL redirection and shortening tool. This specific URL redirected back to the Apache instance of JIRA, at a special URL containing a cross site scripting (XSS) attack. The attack was crafted to steal the session cookie from the user logged-in to JIRA. When this issue was opened against the Infrastructure team, several of our administators clicked on the link. This compromised their sessions, including their JIRA administrator rights.

<<-----Цитата----<<

Стырили куки. Убунта не при делах вообще.

** ()
[#] Ответ на: комментарий от yirk 14.04.2010 12:38:53  
QUANTUM

а что, кто-то что-то обидное за убунту сказал? :)

* ()
[#] Ответ на: комментарий от QUANTUM 14.04.2010 12:55:15  

скажут еще - неадекватов хватает

**** ()
[#] Ответ на: комментарий от yirk 14.04.2010 12:38:53  
Kosyak

Да, походу теперь на ЛОРе надо всегда подписывать САРКАЗМ. Конечно, убунта тут не причем.

** ()
[#]  
Insomnium

Умеют же люди. Неплохо, неплохо. Да, РЕШЕТО!. :}

*** ()
[#]  
f3ex

Уязвимость на сайте, а тут такую трагедию расписали...

* ()
[#]  
boo32

кому и зачем это нужно?

* ()
[#]  
Mystra_x64

>TinyURL

facepalm.ascii.txt Не зря я всю эту хрень разнообразную блочу.

***** ()
[#] Ответ на: комментарий от Mystra_x64 14.04.2010 15:54:42  

Пять минут с момента поста прошло, а этот топик на втором месте в гугле по запросу facepalm.ascii.txt

***** ()
[#]  
Lennox

Ну, признавайтесь же, кто апач хакнул?

*** ()
[#] Ответ на: комментарий от boombick 14.04.2010 16:00:22  
queen3

На первом, но только если в кавычки взять, и только потому, что на других сайтах вообще нет.

Но вообще гугль да, успевает.

*** ()
[#]  

> похищены пользовательские пароли
Они хранят пользовательские пароли в /etc/shadow? XXI век на дворе...

***** ()
[#]  

> хакеры

Неплохо бы сменить на "взломщики". Только не "кракеры" и тем боле не "крекеры", как в унылом переводе унылой статьи ESR.

> проникли на сервера Apache Foundation, используя уязвимость XSS

LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

anonymous ()
[#] Ответ на: комментарий от boombick 14.04.2010 16:00:22  

Твой коммент на первом уже.

А ну подвинься. facepalm.ascii.txt facepalm.ascii.txt facepalm.ascii.txt

anonymous ()
[#]  
Jayrome

Крекеры! Кто-нибудь, снимите их с меня!

***** ()
[#] Ответ на: комментарий от anonymous 14.04.2010 16:19:47  
maxcom

> LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

Утянули пароль администратора веб-сервисов, пользуясь его правами залили на сервер свой код

***** ()
[#]  

> если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа

Как минимум три дня никто не знал о взломе сервера. Админы, тоже мне.

** ()
[#] Ответ на: комментарий от boombick 14.04.2010 16:00:22  

>Пять минут с момента поста прошло, а этот топик на втором месте в гугле по запросу facepalm.ascii.txt

Уже на первом %)

()
[#]  
helios

> если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

OMG! facepalm.ansi.tgz :) За севаком вообще кто-нибудь следит?

*** ()
[#]  
splinter

круто поимели

мдя уж...

***** ()
[#]  
OxED

Мда, сайты линуксовых проектов начали активно взламывать. Что ж, ждем новость про kernel.org

()
[#] Ответ на: комментарий от helios 14.04.2010 17:34:15  
spunky

сразу на первое место

* ()
[#]  
solid

Re: Apache.org взломан

> XSS
facepalm.mkv
А написан багтрекер, конечно же, на пехапе, да?

* ()
[#]  
timbor

Ну это же кощунство. Не?
Взломщики, какие взломщики. Падонки. Найти и уничтожить.

()
[#]  

Могли бы использовать salt при хешировании паролей. Тогда бы подбор по словарю был бы не возможен.

()
[#] Ответ на: Re: Apache.org взломан от solid 14.04.2010 18:12:15  
www_linux_org_ru

> А написан багтрекер, конечно же, на пехапе, да?

не угадал

JIRA, со взлома которой все началось, написана на яве, и хранит хэши без соли. Ъ энтерпрайз :-)

**** ()
[#] Ответ на: комментарий от www_linux_org_ru 14.04.2010 18:31:42  
solid

Re: Apache.org взломан

> XSS
> написана на яве
Неужели они пишут без какого-нибудь template engine?
У меня просто не укладывается это в голове. Как вообще можно допустить XSS?

* ()
[#]  

бедняги

***** ()
[#]  

Интересно, кому это могло понадобиться..

*** ()
[#] Ответ на: комментарий от anonymous 14.04.2010 16:28:35  

Как обычно дискриминация анонимусов.

anonymous ()
[#]  
pento

TinyURL и т.п. - зло!

**** ()
[#] Ответ на: комментарий от yirk 14.04.2010 12:38:53  

>Tinyurl is a URL redirection and shortening tool.
>Tinyurl
>Tinyurl

Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

anonymous ()
[#] Ответ на: комментарий от OxED 14.04.2010 17:49:53  

>Что ж, ждем новость про kernel.org

Да его итак они сами ломают, заходил недели 2 назад, а там буквы перевернутые были.

anonymous ()
[#]  

Вот в принципе и суть открытости - видны все недостатки. Ошибки исправляются намного быстрее, если не bugreport'ы слать, а атаковать напрямую...

()
[#]  
valich

Ну вот, скоро специалисты по безопасности свободных программ будут цениться как хорошие бриллианты.

*** ()
[#]  

Tinyurl --- это "ls от рута" 21 века!

***** ()
[#]  
undivido

И запостили же эту дохлятину...

()
[#] Ответ на: комментарий от helios 14.04.2010 17:34:15  

>За севаком вообще кто-нибудь следит?

Обязательно. Полусонный студент под пивко. Опенсорс ведь.

Молитесь, что б Линукс не пошел в массы, а то вирусы будем не по интернет-страничках цеплять, а прямо скачивать с обновлениями с вот таких вот официальных серваков.

anonymous ()
[#] Ответ на: комментарий от anonymous 14.04.2010 19:37:54  
Mr-Sinister

>Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

facepalm.cpp А как же lmgtfy.com, чтобы скрыть от жертвы запрос в URL?

()
[#] Ответ на: комментарий от Mr-Sinister 15.04.2010 1:15:52  

facepalm.koi8-r.xz А мы по другую сторону работаем.

anonymous ()
[#]  

решето.

anonymous ()
[#] Ответ на: круто поимели от splinter 14.04.2010 17:35:12  

splinter> круто поимели

Когда взломщиков найдут, их будут иметь ещё жёстче. И вазелин им не поможет.

**** ()
[#] Ответ на: комментарий от Lumi 15.04.2010 9:05:18  

Хранились... Возможно, уже нет. Где - не скажу... ;-)

*** ()
Безопасность