Взлом сервера Apache

Администраторы Apache Software Foundation в экстренном порядке произвели изменение в DNS зоне apache.org, перенаправив запросы основного web-сервера проекта на запасное зеркало в Европе. Пользователи, у которых старый IP сайта www.apache.org все еще находится в DNS кэше, могут увидеть пустую страницу с уведомлением в блокировке работы сайта в связи со взломом.

Неизвестной уязвимости в Apache не было

Подробности пока неизвестны, в уведомлении рассказано только о том, что ряд серверов пришлось отключить от сети из-за обнаружения следов проникновения злоумышленников. По предварительным данным, проникновение было организовано через украденный у одного из разработчиков SSH-ключ, а не через неизвестную уязвимость в http-сервере Apache.

Взлом через перехват ключа SSH

Команда разработчиков, обслуживающих инфраструктуру Apache, опубликовала информационное письмо с изложением подробностей. Взлом был совершен через перехваченный SSH-ключ, используемый для резервного копирования с привлечением стороннего провайдера. Злоумышленникам удалось разместить CGI-скрипт на сервере, данные с которого синхронизируются с данными на рабочих серверах проекта, после завершения очередной синхронизации, через обращение к этому скрипту атакующие добились выполнения своего кода на сервере eos.apache.org. После выявления постороннего процесса, администраторы осуществили откат на серверах инфраструктуры проекта на ZFS-снапшот, созданный до момента синхронизации с взломанным хостом.

Взлом Apache

Злоумышленникам не удалось получить привилегии суперпользователя и изменить файлы с архивами программ, доступные для загрузки с сайта. Тем не менее, несмотря на отсутствие доказательства изменения файлов и уверение о том, что атака никаким образом не повлияла на пользователей проекта, разработчики рекомендуют при загрузке программ с apache.org обязательно провести сверку полученных архивов по цифровым сигнатурам.