Инфраструктура австралийского Linux-сообщества подверглась взлому

05.04.2015 09:37

Президент организации Linux Australia (linux.org.au), курирующей Linux-сообщество в Австралии и занимающейся проведением конференций linux.conf.au и PyCon Australia, сообщил о выявлении следов злоумышленников в инфраструктуре проекта. Атакующим удалось получить доступ к серверу управления конференциями и базе данных, содержащей персональные данные пользователей и хэши их паролей.

Взлом был совершён 22 марта и зафиксирован 24 марта после попыток разобраться в аномально большом потоке уведомлений об ошибках со стороны системы управления конференциями Zookeepr. Сообщается, что для проникновения на сервер была использована неизвестная уязвимость, которая привела к удалённому переполнению буфера и получению root-привилегий. После взлома злоумышленниками на сервер было установлено ПО для удалённого управления сервером и подключения сервера к участию в работе ботнета.

В процессе автоматизированного создания резервных копий СУБД, на диск подконтрольного атакующими сервера был сохранён полный дамп базы данных сервера конференций. В БД были отражены персональные данные посетителей конференций, их имена, адреса, email, номера телефонов и хэши паролей. Несмотря на то, что нет прямых подтверждений того, что атакующие воспользовались данным дампом, нет доказательств и того, что он остался незамеченным. Информация о номерах кредитных карт и платежных реквизитах не пострадала, так как обработка платежей производилась на отдельном платёжном шлюзе.

Для предотвращения подобных инцидентов в будущем введён в строй новый сервер на базе свежайшего программного обеспечения, ужесточены связанные с безопасностью настройки, разрешён только вход по SSH-ключам, минимизировано число доступных через интернет сервисов, применена более жесткая политика установки обновлений, ведение логов продублировано на удалённых серверах, установлен анализатор аномалий в логах, введено блокирование аккаунтов пользователей через 3 месяца после окончания конференции, реализовано преобразование в статический HTML содержимого сайтов linux.conf.au и PyCon Australia через 6 месяцев после завершения конференций, база данных Zookeepr перенесена на отдельный сервер.

исправить +11 +/–

Главная ссылка к новости (http://lists.linux.org.au/pipe...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41979-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (-), 10:00, 05/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Как-то они слишком мало написали про "unknown vulnerability to trigger a remote buffer overflow and gain root level access to the server". Хоть бы упомянули, какой дистрибутив использовали и как давно устанавливали обновления.

2.16, Меломан (ok), 12:22, 05/04/2015 [^] [^^] [^^^] [ответить]

+/–

> Как-то они слишком мало написали про "unknown
> vulnerability to trigger a remote buffer overflow and gain root level access
> to the server". Хоть бы упомянули, какой дистрибутив использовали и как давно
> устанавливали обновления.

Девственный Puppy Linux, надо полагать.

3.51, Аноним (-), 11:41, 06/04/2015 [^] [^^] [^^^] [ответить]	+4 +/–
Какой же он девственный? Его поимели!

3.62, Аноним (-), 14:45, 09/04/2015 [^] [^^] [^^^] [ответить]	+/–
putty_linux.exe //fixed

2.25, Пропатентный тролль (?), 16:03, 05/04/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Да какая "unknown vulnerability". Небось пароль на рута сделали root123 и открыли доступ по ССШ, чтобы с sudo не заморачиваться. А теперь "unknown vulnerability"...

2.32, Аноним (-), 20:18, 05/04/2015 [^] [^^] [^^^] [ответить]	+/–
Редхат небось какой-нибудь на древнем апаче, обслуживаемый парой эникейщиков раз в год. Иначе как можно хранить в одной базе номера кредиток и остальную юзверь-инфу?

3.50, imprtat (ok), 11:32, 06/04/2015 [^] [^^] [^^^] [ответить]	+/–
Написано же >> Информация о номерах кредитных карт и платежных реквизитах не пострадала, так как обработка платежей производилась на отдельном платёжном шлюзе.

4.55, клоун (?), 14:02, 06/04/2015 [^] [^^] [^^^] [ответить]

–3 +/–

Хранение данных
Обработка платежей

Не пострадала
Спёрли

Найди 10 отличий.

1.14, IMHO (?), 12:03, 05/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
безопасность во всей красе

2.15, fghj (?), 12:16, 05/04/2015 [^] [^^] [^^^] [ответить]	+5 +/–
Пока гром не грянет кенгуру не почешется. )

1.28, Капитан (??), 19:12, 05/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
(grsecurity + pax) не осилили...

2.34, grec (?), 01:34, 06/04/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Процетировал надпись с забора?

1.30, Аноним (-), 19:47, 05/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
противники Австралиса в ff проявили себя

1.31, Аноним (-), 19:48, 05/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
))Свежайщее ПО установили))) это как у нас прокся еще 2.4 версии))) и все сыкают обновлять ее)

2.58, count0krsk (ok), 12:57, 07/04/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Просто в 3м сквиде формат конфига чуток поменялся, и через копировать-вставить не получится его перенести ))) Вот и ссыкают. Уже на виртуалке бы копию сервака подняли, там поправили, копирнули папочку /etc/squid3 На боевой, и уже потом apt-get install. Делов на час.

1.59, Жырная Жопа (?), 09:23, 08/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
После взлома админы все решили разнести с виртуализирвать...

1.60, Жырная Жопа (?), 09:23, 08/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
После взлома админы все решили разнести и виртуализирвать...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: