De server van Apache.org gehackt

Dat heeft het Apache Infrastructure Team laten weten in een blogpost. Op donderdagavond gebruikten de aanvallers een account voor geautomatiseerde backups voor de ApacheCon website voor het uploaden van files naar minotaur.apache.org. Minotaur dient als host voor de meeste apache.org websites en levert bovendien shell accounts voor alle Apache committers. Voor het uploaden werden SSH key authentication voor deze host gebruikt. Hoe de aanvallers aan de sleutels zijn gekomen is nog niet bekend.

Scripts

De aanvallers hebben verschillende files, waaronder een aantal SGI scripts, in de directory gezet waarin ook bestanden staan van www.apache.org. Vervolgens zijn deze files automatisch gesynchroniseerd naar de productie webservers. Vrijdagochtend werden de scripts door de aanvallers aangeroepen, wat drie kwartier later werd opgemerkt. Weer tien minuten later werden de servers offline gehaald.

Na het eerste onderzoek is DNS voor de meeste apache.org services veranderd naar eris.apache.org, een machine die niet was aangetast, zodat er tenminste netjes kon worden medegedeeld dat de services down waren. De mededeling is nog te zien op de site van Trend Micro, waarop Rick Ferguson de hack breder bekend maakte.

De Europese failover en backup machine aurora.apache.org bleek ook niet aangetast. Er waren wel files naar gekopieerd, maar die waren niet uitgevoerd, zodat die machine weer online kon worden gebracht.

Handtekeningen controleren

Volgens het Infrastructure Team zijn de aanvallers er niet in geslaagd om meer rechten te verkrijgen op de machines. Hoewel ze geen aanwijzingen hebben dat er downloads aangetast zijn, raden ze aan om de handtekeningen goed te controleren. Het onderzoek is nog niet afgerond, dus er kan nog meer aan het licht komen. Een inbraak in de server van Squirrelmail bleek later ook meer gevolgen te hebben dan aanvankelijk werd aangenomen.

Een aantal machines blijft nog even offline, maar de meeste publieke websites zijn weer bereikbaar.

Bron: Techworld