De hackers zijn binnengekomen door middel van een SQL-injectie op de website van GNU Savannah. Dat is de open source-software hostingapplicatie die open source-stichting FSF (Free Software Foundation) gebruikt. GNU Savannah is een aftakking (fork) van het bekende SourceForge. De hackers hebben de volledige database van namen en wachtwoorden in versleutelde (gehashte) vorm gestolen. Sommige van die wachtwoorden zijn met brute-force aanvallen ontsleuteld.

Offline gehaald

De projectmanagers bij de FSF hebben GNU Savannah meteen offline gehaald toen ze de inbraak ontdekten, afgelopen zaterdag. Dat is meer dan 48 uur nadat de aanval zich voltrok. Het hele code-hostingsysteem wordt nu geleidelijk aan weer online gezet, in eerste instantie dus niet met 100% functionaliteit.

Daarbij wordt de back-up van vorige week woensdag hersteld, van voor de aanval. Volgens campaigns manager Matt Lee van de FSF is er geen reden om te vrezen dat de hackers hebben ingegrepen op source code die op de site gehost wordt.

Per ongeluk uitvoeren

De aanvallers hadden wel toegang tot de hostingsite. Zij voegden een hidden static HTML-bestand toe aan een CVS repository en een webpagina die de GNU.org-homepage defacete.

Vervolgens vonden de hackers een map op de webserver die per ongeluk ingesteld stond om PHP-scripts uit te voeren. Daar hebben ze een PHP reverse shell script geplaatst, wat de aanvallers een backdoor verschafte die zichzelf van binnenuit opent. Dat kwaadaardige script, ironisch genoeg zelf ook open source (GPL), is echter ook ontdekt door de beheerders van de FSF.

De hackers hebben echter ook nog een lading rootkits losgelaten op de GNU.org-webserver. Het is volgens FSF-manager Matt Lee niet bekend of ze daarmee root-toegang hebben gekregen.