HARD CORE SECURITY LAB

Fundacja Apache.org przedstawiła na swym blogu szczegółowe sprawozdanie z piątkowego incydentu. Atak rozpoczął się w czwartek (27.08.2009). Około godziny 18:00 intruzom udało się przy pomocy przejętego klucza SSH załadować szereg własnych plików na serwer minotaur.apache.org. Wrogie pliki (m.in. szereg skryptów CGI) zostały umieszczone w katalogu zawierającym pliki przeznaczone dla serwerów www.apache.org. Zautomatyzowane procesy protokołu rsync rozdystrybuowały katalog (zawierający wrogie skrypty) wśród produkcyjnych serwerów WWW. Około godziny 7:00 intruzom udało się uruchomić na poszczególnych serwerach WWW własne procesy, uruchamiając wstrzyknięte skrypty CGI poprzez dostęp do nich za pomocą protokołu HTTP...

O godzinie 7:45 dział techniczny Apache.org zauważył wrogie procesy na maszynie eos.apache.org (jeden z produkcyjnych serwerów WWW). Około godziny 8.00 podjęto decyzję o wyłączeniu wszystkich skompromitowanych maszyn. Większość usług Apache.org została tymczasem skierowana na serwer eris.apache.org, który nie został wcześniej skompromitowany. Maszyna ta serwowała tymczasowy komunikat informujący o zaistniałej sytuacji. Po stwierdzeniu, że europejska maszyna zapasowa aurora.apache.org nie została naruszona w wyniku ataku (na wszelki wypadek przywrócono jeszcze jej kopię z punktu przywracania zfs) przywrócono za jej pomocą dostęp do większości usług Apache.org. Oryginalny raport Apache.org można odnaleźć tutaj.

Pomimo, że wg Apache.org, zasoby udostępniane przez tę fundację do pobrania nie zostały w żaden sposób naruszone, obecnie jest to najlepszy moment na sprawdzania podpisów cyfrowych pobieranego oprogramowania Apache. Warto również zwrócić uwagę na to z jaką szczerością i wylewnością Apache.org dzieli się ze wszystkimi informacjami na temat całego incydentu…