[FUG-BR] (OT) Fundação Apache tem servidores crackeados.
Luiz Otavio O Souza
lists.br em gmail.com
Segunda Agosto 31 10:11:38 BRT 2009
> Welkson Renny de Medeiros escreveu:
>> Alessandro de Souza Rocha escreveu:
>>
>>> link: http://www.noticiaslinux.com.br/nl1251679441.html
>>> link:
>>> https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report
>>>
>>> Nesta sexta-feira os servidores da fundação Apache apresentaram
>>> durante algumas horas uma página informando que estavam investigando
>>> um incidente em seus servidores. Ao que parece, primeiro foi
>>> comprometido via SSH o servidor minotaur.apache.org, depois partiu-se
>>> para o resto da infraestructura incluindo www.apache.org onde foram
>>> instalados diversos arquivos. Segundo a Apache a investigação continua
>>> e por enquanto não tem conhecimento dos usuários finais afetados,
>>> ainda que recomendem efetuar a verificação da assinatura dos arquivos.
>>> Não é a primeira vez que o apache.org é comprometido, sendo a anterior
>>> em 2005.
>>>
>>>
>>>
>>>
>> Não tem a DATA, mas pode ter sido isso:
>> http://www.dataloss.net/papers/how.defaced.apache.org.txt
>>
>>
> Algumas dúvidas que fiquei... pelo que li o FreeBSD usado é o 3.4... no
> release note vejo que o mesmo foi lançado em OUTUBRO de 1999 (quase 10
> anos). Essa versão ainda tem suporte?
>
> Eles comentam sobre MYSQL com senha root em branco, diretório wwwroot
> com direito de execução, etc... mas como eles conseguiram entrar? falha
> DNS?
Segundo as informações no blog do apache não se trata do mesmo problema
(esse descrito no dataloss).
O blog do apache diz que foram copiados arquivos para a maquina utilizando
uma chave de ssh (resta saber como essa chave foi comprometida), mas não da
maiores detalhes.
Nas informações do dataloss, um arquivo php foi upado via ftp e o root do
ftp era o mesmo do www, havia falha nas permissões e foi possível colocar o
arquivo de forma que o mesmo pudesse ser executado via web.
Em seguida foi utilizado o mysql que estava rodando como root para gerar
arquivos que instalavam um copia do shell com suid bit (pode ser executado
por qualquer usuário e rodará como root).
A parte interessante é que o mysql só gerou um script que precisava ser
executado pelo root de verdade, por isso o arquivo foi gerado como
"/root/.tcshrc" que foi executado no proximo login real do root (ou su -).
Foi só esperar até o proximo login do root e correr pro abraço ;)
Até pela versão do FreeBSD, esse relato deve ser bem antigo...
No blog do apache eles dizem que a maquina afetada rodava FreeBSD-7-STABLE.
[]'s
Luiz
Mais detalhes sobre a lista de discussão freebsd