Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201317:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

03.04.2013
Компания Google может включить в новые версии мобильной операционной системы Android игровой сервис, аналогичный сервису Game Center в устройствах Apple, сообщает блог Android Police. К такому выводу издание пришло, изучив MyGlass – приложение для работы с очками Google, предназначенное для платформы Android. Программа вышла в начале недели. Внутри APK-пакета MyGlass обнаружилась папка «Игры». Она содержала файлы, имена которых соответствовали функциям игрового сервиса.
29.04.2014
Японская корпорация Panasonic, один из крупнейших мировых производителей электроники, по итогам 2013-2014 финансового года, завершившегося 31 марта, зафиксировала прибыль в размере 120,4 млрд иен ($1,2 млрд). В прошлом финансовом году убыток Panasonic составил 754,3 млрд иен, а в 2011-2012 финансовом году —772,2 млрд иен. В последний раз Panasonic фиксировала годовую прибыль по итогам 2010-2011 фингода — в размере 74 млрд иен. Выручка корпорации в 2013-2014 финансовом году возросла на 6% до 7,7 трлн иен (приблизительно $75,3 млрд). Росту продаж способствовало обесценивание иены.
26.06.2014
Итак, вам необходимо подключение к интернету, и вы задались вопросом выбора поставщика интернет-услуг. От него будут зависеть удобство и качество работы в сети. Большинство пользователей в большей мере при выборе провайдера смотрят на адекватность цены и быстроту соединения, и это вполне справедливо, но однозначно таким образом выявить своего провайдера нельзя – выбор здесь зависит сперва от вашего вкуса и целей, какие вы хотели бы достичь с помощью Интернета.
03.05.2015
Предупреждать людей о грядущих волнениях стихии ученые намерены с помощью всеобъемлющей интернет-связи — так, как это было в минувшем августе, когда в калифорнийцев из Южной Напы оповестили о приближающихся подземных 6-балльных толчках. Эксперты считают, что создание эффективной системы оповещения о стихийных бедствиях может спасти сотни тысяч человеческих жизней. 
10.12.2013
В Минкомсвязи поступили жалобы от мобильных компаний, в которых утверждается, что конкуренты не хотят отпускать своих клиентов к другим операторам в рамках отмены «мобильного рабства» и создают препятствия. Об этом в номере от 10 декабря пишет газета «Ведомости» со ссылкой на неназванные источники. Компании «большой тройки» обвиняют друг друга в игнорировании части заявок на услугу переносимости номера (Mobile Number Portability, MNP), которая также известна как отмена «мобильного рабства».

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв