Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201317:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

17.01.2015
Искусственная дорожная неровность является одним из часто встречающихся атрибутов нахождения в большом городе и мегаполисе. В чем ее суть и почему количество таких изделий растет с каждым годом? Получается, что эти элементы способны принудительно заставить автомобилиста сбавить скорость в определенном месте. А потому решение о том, чтобы заказать ИДН с установкой, может оказаться важным и без преувеличения спасительным в определенных ситуациях.
09.10.2015
3G WiFi роутеры в настоящее время стали просто незаменимой вещью, ведь он дает возможность выходить в интернет практически с любого устройства – со смартфона, планшета, ноутбука, компьютера. Более того, вы можете  подключать к роутеру несколько пользователей – ваши знакомые и друзья рядом также могут иметь доступ в веб-пространство с помощью одного вашего роутера.
17.06.2014
Мошенничество В таких случая, ddos атака осуществляется по инициативе хакера. Целей для её проведения, может быть много, но основные это полный доступ к компьютеру (ам) пользователя (ей) для полной блокировки работы системы. В случаях если защиты нет, то хакер может полностью парализовать работу такого компа или же целого сервера. После этого требуется, какой либо выкуп за разблокировку. Что примечательно, некоторые пользователи соглашаются на условия мошенников и выплачивают требуемые деньги. Конкуренция
24.11.2014
Сегодня в интернете можно найти без преувеличения всё, что нужно обычному человеку для повседневной жизни и гораздо больше для своего развития. Кажется, что без интернета сложно представить жизнь. Что же нужно, чтоб получить доступ к сети Интернет? Всего лишь - выбрать провайдера. Но как это сделать? Следует разобраться.
18.09.2013
В эпоху информационного бума никого уже не удивляет наличие собственного сайта или возможности зарабатывать посредством интернета. И многие задаются вопросом, как создать сайт.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв