Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201317:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

19.10.2016
На самом деле в сети Интернет немало бесплатных сервисов и всего прочего. По сути есть и библиотеки, и игры онлайн, и видео, и картинки, и музыка, также бесплатные публикации, и много всего прочего. Ко всему этому мы имеем свободный доступ. Не все конечно бесплатно, но в сети достаточно ресурсов, пользуясь которыми можно вполне обойтись бесплатными версиями. Что касается профессиональных сервисов, то здесь, разумеется, необходимо приобретать лицензию на использование в целях бизнеса. Либо если коммерческий развлекательный веб-ресурс – вас также попросят внести обычно небольшую плату за использование.
22.07.2014
Подключение к сети через модем - это самый первый и уже устаревший способ выхода в интернет для персональных компьютеров. Для подключения необходимо подключить модем к телефонной линии. При использовании этого типа подключения будет доступна очень низкая скорость интернета, которая подойдет только для просмотров сайтов, скачивания изображений и музыки . Еще одним важным минусом является занятая телефонная линия при каждом выходе в интернет. Модем подключенный через телефонный выход автоматически занимает линию, что вызывает режим снятой трубки.
12.04.2014
Интернет провайдеры всегда предъявляли высокие требования к созданию сайтов. Разработка новых сайтов под силу только профессионалам, работающим на рынке этих услуг долгое время. В любом случае, это - трудоемкий процесс, включающий в себя несколько этапов.Первый этап, пожалуй, самый важный, но бесплатный - мониторинг провайдера с целью изучения его потребностей. Дизайн сайта должен отвечать пожеланиям клиента и соответствовать его фирменному стилю.
17.06.2014
Российская интернет-компания «Яндекс» купила популярный автомобильный интернет-портал Auto.ru, сумма сделки составляет примерно 175 миллионов долларов. Об этом говорится в официальном сообщении «Яндекса».
25.02.2013
Недостаточное правовое регулирование сдерживает использование облачных технологий в госорганах и препятствует их распространению в целом в России, считают в Минкомсвязи. Для облачных провайдеров может быть введена административная ответственность, а для их руководителей и сотрудников – уголовная. Оказание облачных услуг для госорганов может быть передано специализированному Управлению. Минкомсвязи опубликовало проект технического задания на выполнение научно-исследовательской работы (НИР) по теме «Нормативно-правовое обеспечение возможности использования облачных технологий органами государственной власти и органами местного самоуправления». «В настоящее время технологии облачных вычислений приобретают все большую популярность, а концепция Cloud Computing является одной из основных мировых тенденций развития информационных технологий», – говорится в документе.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв