De hack heeft plaatsgevonden door middel van SQL-injectie op de website van GNU Savannah. Dit is de open-source software hosting applicatie die gevorkt is van SourceForge. De hackers hebben de volledige database van namen en wachtwoorden in gehashte vorm gepikt, waarvan er sommige ontsleuteld zijn met brute-force aanvallen.

Gehackt

De project managers hebben GNU Savannah meteen offline gehaald afgelopen zaterdag. Dat is meer dan 48 uur nadat de aanval zich voltrok. Woensdag zal alles waarschijnlijk weer online gaan, hoewel waarschijnlijk niet met 100% functionaliteit. De back-up van vorige week woensdag zal worden hersteld. Volgens campaigns manager van Free Software Foundation Matt Lee is er geen reden om te vrezen dat source-code geaffecteerd is die op de site gehost wordt.

De aanvallers hadden toegang tot de site en voegden een hidden static HTML-bestand aan een CVS repository toe en een webpagina die de GNU.org homepage defacete. Toen de hackers een map vonden die per ongeluk ingesteld was om PHP scripts uit te voeren, hebben ze een PHP reverse shell script ingeschoten. Vervolgens hebben ze een heleboel rootkits losgelaten op de GNU.org webserver. Of ze root toegang hebben gekregen is nog niet bekend volgens Lee.

Bron: Techworld