Хостинг Savannah.gnu.org взломан неизвестными злоумышленниками

30 ноября 2010 года

Работа хостинга свободных проектов savannah.gnu.org, в рамках которого развиваются многие GNU-инструменты, временно приостановлена. Судя по опубликованному на сайте сообщению, сервер был взломан через подстановку SQL-запроса в web-сервисе Savane2, в результате чего злоумышленнику удалось получить доступ к базе аккаунтов, содержащей шифрованные пароли всех пользователей хостинга. Используя данную базу, злоумышленнику удалось подобрать некоторые пароли и использовать их для доступа к размещенным на хостинге проектам.

В настоящее время ведется работа по восстановлению содержимого сервера из резервной копии, созданной 23 ноября. Все изменения, добавленные в репозитории исходных текстов после 23 ноября потребуют ручного восстановления. Статус восстановления можно посмотреть в микроблоге fsfstatus (Архивная копия от 7 апреля 2013 на Wayback Machine). Работа web-интерфейса будет восстановлена после устранения уязвимости, проведения дополнительного аудита кода платформы Savane2 и сброса паролей пользователей. В дальнейшем планируется перейти на использование более стойкого и безопасности метода хранения паролей (судя по всему, до сих пор пароли размещались в SQL-таблице, доступной на чтение пользователю, под которым работал web-интерфейс проекта).

Одновременно неудача постигла сервер lists.gnu.org, на котором в RAID-массиве оказались (Архивная копия от 14 апреля 2012 на Wayback Machine) повреждены сразу два диска. Несколько часов назад проблемы наблюдались и с работой www.gnu.org, но в данный момент сайт возвращен к жизни.

Дополнение: на сайте фонда свободного ПО опубликована заметка с изложением хронологии событий. Атака была произведена 24 ноября с грузинского блока IP-адресов. После загрузки базы пользователей, атакующим удалось 26 ноября подобрать пароль одного из администраторов, что позволило им вечером того же дня пробраться на сервер www.gnu.org и разместить на нем в тестовых целях собственные страницы.

После успешной загрузки тестовой страницы, злоумышленники нашли директорию, в которой выполняются PHP-скрипты и загрузили туда web-shell на языке PHP, после чего принялись тестировать возможность установки руткитов. Данная активность была сразу замечена администраторами, которые в 1:37 27 ноября восстановили изначальное состояние сайта из резервной копии. Через несколько часов атакующие вновь проникли на сайт, через ранее запущенный web-shell. После чего администраторы блокировали работу кластера Savannah и web-сайта проекта GNU и начали более детальный разбор действий злоумышленников. Через несколько часов сайт работа сайта www.gnu.org была восстановлена на новом сервере.

Восстановление работы savannah.gnu.org и аудит кода платформы Savane2 еще не завершен. Так как точно не установлено удалось ли злоумышленникам получить root-доступ в системе и проникли ли они на другие узлы кластера, решено переустановить с нуля содержимое всех серверов Savannah.