> Welkson Renny de Medeiros escreveu: >> Alessandro de Souza Rocha escreveu: >> >>> link: http://www.noticiaslinux.com.br/nl1251679441.html >>> link: >>> https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report >>> >>> Nesta sexta-feira os servidores da fundação Apache apresentaram >>> durante algumas horas uma página informando que estavam investigando >>> um incidente em seus servidores. Ao que parece, primeiro foi >>> comprometido via SSH o servidor minotaur.apache.org, depois partiu-se >>> para o resto da infraestructura incluindo www.apache.org onde foram >>> instalados diversos arquivos. Segundo a Apache a investigação continua >>> e por enquanto não tem conhecimento dos usuários finais afetados, >>> ainda que recomendem efetuar a verificação da assinatura dos arquivos. >>> Não é a primeira vez que o apache.org é comprometido, sendo a anterior >>> em 2005. >>> >>> >>> >>> >> Não tem a DATA, mas pode ter sido isso: >> http://www.dataloss.net/papers/how.defaced.apache.org.txt >> >> > Algumas dúvidas que fiquei... pelo que li o FreeBSD usado é o 3.4... no > release note vejo que o mesmo foi lançado em OUTUBRO de 1999 (quase 10 > anos). Essa versão ainda tem suporte? > > Eles comentam sobre MYSQL com senha root em branco, diretório wwwroot > com direito de execução, etc... mas como eles conseguiram entrar? falha > DNS?
Segundo as informações no blog do apache não se trata do mesmo problema (esse descrito no dataloss). O blog do apache diz que foram copiados arquivos para a maquina utilizando uma chave de ssh (resta saber como essa chave foi comprometida), mas não da maiores detalhes. Nas informações do dataloss, um arquivo php foi upado via ftp e o root do ftp era o mesmo do www, havia falha nas permissões e foi possível colocar o arquivo de forma que o mesmo pudesse ser executado via web. Em seguida foi utilizado o mysql que estava rodando como root para gerar arquivos que instalavam um copia do shell com suid bit (pode ser executado por qualquer usuário e rodará como root). A parte interessante é que o mysql só gerou um script que precisava ser executado pelo root de verdade, por isso o arquivo foi gerado como "/root/.tcshrc" que foi executado no proximo login real do root (ou su -). Foi só esperar até o proximo login do root e correr pro abraço ;) Até pela versão do FreeBSD, esse relato deve ser bem antigo... No blog do apache eles dizem que a maquina afetada rodava FreeBSD-7-STABLE. []'s Luiz ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd