[FUG-BR] (OT) Fundação Apache tem servidores crackeados.

Luiz Otavio O Souza lists.br em gmail.com
Segunda Agosto 31 10:11:38 BRT 2009 

> Welkson Renny de Medeiros escreveu:
>> Alessandro de Souza Rocha escreveu:
>>
>>> link: http://www.noticiaslinux.com.br/nl1251679441.html
>>> link: 
>>> https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report
>>>
>>> Nesta sexta-feira os servidores da fundação Apache apresentaram
>>> durante algumas horas uma página informando que estavam investigando
>>> um incidente em seus servidores. Ao que parece, primeiro foi
>>> comprometido via SSH o servidor minotaur.apache.org, depois partiu-se
>>> para o resto da infraestructura incluindo www.apache.org onde foram
>>> instalados diversos arquivos. Segundo a Apache a investigação continua
>>> e por enquanto não tem conhecimento dos usuários finais afetados,
>>> ainda que recomendem efetuar a verificação da assinatura dos arquivos.
>>> Não é a primeira vez que o apache.org é comprometido, sendo a anterior
>>> em 2005.
>>>
>>>
>>>
>>>
>> Não tem a DATA, mas pode ter sido isso:
>> http://www.dataloss.net/papers/how.defaced.apache.org.txt
>>
>>
> Algumas dúvidas que fiquei... pelo que li o FreeBSD usado é o 3.4... no
> release note vejo que o mesmo foi lançado em OUTUBRO de 1999 (quase 10
> anos). Essa versão ainda tem suporte?
>
> Eles comentam sobre MYSQL com senha root em branco, diretório wwwroot
> com direito de execução, etc... mas como eles conseguiram entrar? falha 
> DNS?

Segundo as informações no blog do apache não se trata do mesmo problema 
(esse descrito no dataloss).

O blog do apache diz que foram copiados arquivos para a maquina utilizando 
uma chave de ssh (resta saber como essa chave foi comprometida), mas não da 
maiores detalhes.

Nas informações do dataloss, um arquivo php foi upado via ftp e o root do 
ftp era o mesmo do www, havia falha nas permissões e foi possível colocar o 
arquivo de forma que o mesmo pudesse ser executado via web.

Em seguida foi utilizado o mysql que estava rodando como root para gerar 
arquivos que instalavam um copia do shell com suid bit (pode ser executado 
por qualquer usuário e rodará como root).

A parte interessante é que o mysql só gerou um script que precisava ser 
executado pelo root de verdade, por isso o arquivo foi gerado como 
"/root/.tcshrc" que foi executado no proximo login real do root (ou su -). 
Foi só esperar até o proximo login do root e correr pro abraço ;)

Até pela versão do FreeBSD, esse relato deve ser bem antigo...

No blog do apache eles dizem que a maquina afetada rodava FreeBSD-7-STABLE.

[]'s
Luiz

Mais detalhes sobre a lista de discussão freebsd