Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Drupal.org breach + Rails botnet

2013.05.29. 23:08 | buherator | 2 komment

Most esett be a hír (thx @domi007), hogy illetéktelenek fértek hozzá a népszerű portálmotor, a Drupal infrastruktúrájához. A támadók több mint valószínű, hogy az nginx webszerver legutóbbi stack túlcsordulást okozó hibáját kihasználva jutottak be az association.drupal.org-ra [szerk. egy bennfentes kollega szerint nem nginx volt, de további részletek egyelőre nem nyilvánosak], ahonnan a www.drupal.org és groups.drupal.org hosztokra is kiterjesztették hatalmukat. A nyomozás még tart, egyelőre annyi biztos, hogy felhasználónevek, e-mail címek, hash-elt jelszavak kerültek illetéktelen kezekbe - jelszócsere ajánlott (szerk. A Drupal egyébként elég erős algoritmussal hasheli jelszavakat.). 

Nmap scan report for association.drupal.org (140.211.10.16)
Host is up (0.21s latency).
rDNS record for 140.211.10.16: master.drupal.org
PORT    STATE SERVICE VERSION
443/tcp open  http    nginx 1.4.1

A további incidensek megelőzése érdekében a Drupal csapata grsec-es kernelt telepített az infrastruktúra nagy részére, folyamatos integritásellenőrzést vezetnek be a kritikus fájlokra, valamint az archív oldalakat ezen túl statikus tartalomként fogják kiszolgálni.

+++

Eközben Ruby földön egy év eleji Rails hibát használnak ki tömegesen. A behódított gépeket botnetbe sorozzák, melyet egy orosz IRC szerverről írányítanak. Figyeljetek a gyanús crontab bejegyzésekre, és nem utolsó sorban frissítsétek a Railst (hello dependency hell ;)!

Címkék: incidens ruby on rails ruby botnet nginx drupal.org

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_2501 2013.05.30. 14:28:22

railsvétem... -_-

bean 2013.05.31. 08:44:41

Nem mondhatok tobbet mint a nyilvanos informaciokban van, azt irtak hogy lesz technikai followup -- nem nginx volt. Pont.