Как был взломан Apache.org

[SDA]

На прошлой неделе мы писали об уязвимости в системе безопасности, которая привела к временному отключению некоторых сервисов. На данный момент все они восстановлены. Мы проанализировали события, которые привели к взлому и продолжили работу по улучшению безопасности наших систем.

ВАЖНО

Ни в какой момент времени никакие репозитории кода Apache Software Foundation, загрузки или сами пользователи в связи с этим вторжением риску не подвергались. Однако мы полагаем, что предоставление деталей случившегося сделает интернет лучшим местом, позволив другим поучиться на наших ошибках.

Что произошло?
Наша первоначальная теория оказалась верной – сервер, на котором располагался сайт apachecon.com (dv35.apachecon.com), был скомпрометирован. Машина работала под управлением CentOS, и мы подозреваем, что они могли использовать недавние эксплоиты для повышения локальных привилегий, которые были пропатчены в RHSA-2009-1222. Атакующие полностью скомпрометировали эту машину, получив root-привилегии и уничтожив большинство логов, что затруднило нам подтверждение подробностей всего случившегося с машиной.

Какие изменения мы проводим сейчас?
После вторжения мы проводим ряд изменений для того, чтобы обезопасить нашу инфраструктуру от подобных инцидентов в будущем. Вот список проводимых нами изменений:

Требование ко всем пользователям с повышенными привилегиями использовать OPIE for sudo на определенных машинах. Это требование уже действует в некоторых местах, однако теперь данная практика будет обязательно расширена.
Повторное создание и использование SSH, одного для каждого хоста, для использования при резервном копировании. Также – обязательное использование опций from="" и command="" в файле авторизованных ключей на сервере назначения резервного копирования. В совокупности с ограничениями, позволяющими устанавливать соединения только тем машинам, которые действительно создают резервные копии данных, данная мера позволит предотвратить возможность установления SSH-соединений сторонними машинами.
Строка command="" в файле авторизованных ключей теперь является явно заданной и позволяет осуществлять только односторонний rsync-трафик.
Новые ключи сгенерированы для всех хостов, минимальная длина ключа при этом– 4096 бит.
Виртуальная машина, на которой была расположена старая версия сайта apachecon.com, остается отключенной и ожидает дальнейшего детального анализа. Сайт apachecon.com вновь развернут на новой виртуальной машине, у нового провайдера и под другой операционной системой.
Мы рассматриваем возможность отключения поддержки CGI на большинстве систем с веб-сайтами. Это привело к созданию нового модуля httpd, который будет управлять предоставлением зеркал для загрузок.
Метод, согласно которому большинство наших публичных веб-сайтов разворачивается на наших производственных серверах, также будет изменен, этот процесс станет более автоматизированным. Мы надеемся в течение ближайших нескольких недель перейти на использование системы, основанной на SvnSubPub / SvnWcSub.
Мы вновь внедрим на всех машинах практику бана по IP-адресу после нескольких неудачных попыток авторизации.
Было выдвинуто предложение по введению системы централизованного журналирования. Эта система включит в себя все логи, и возможно также такие сервисы, как smtpd и httpd

полностью читать перевод на http://www.xakep.ru/post/49377/default.asp
оригинал https://blogs.apache.org/infra/entry...owntime_report

[valho]

Вот думаю, когда на sourceforge.net тоже всё исправят, уже наверно полгода прошло