Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: Security.nl

Security.nl meldde nu precies een dag geleden dat apache.org, de website van 's werelds meest gebruikte webserver even daarvoor was gehackt: (bedankt voor de link, imeller)

De site van de ontwikkelaars van 's wereld meest gebruikte webserver, www.apache.org is hedennacht door nog onbekenden gekraakt. Wij wisten een screenshot te bemachtigen en maakten een kopie. Hoe de krakers, die een logo van MS BackOffice op de site plaatsten zijn binnengekomen is nog onbekend.[break]Later is daar een link aan toegevoegd naar tekst en uitleg van de hackers:[/break] This paper describes how, over the course of a week, we succeeded in getting root access to the machine running www.apache.org, and changed the main page to show a 'Powered by Microsoft BackOffice' logo instead of the default 'Powered by Apache' logo (the feather). No other changes were made, except to prevent other (possibly malicious) people getting in. Note that the problems described in this paper are not apache-related, these were all config errors (one of 'm straight from BugZilla's README, but the README had enough warnings so I don't blame the BugZilla developers). People running apache httpd do not need to start worrying because of anything uncovered herein. [...] While searching for the laters apache httpserver to diff it the with previous version and read that diff file for any options of new buffer overflows, we got ourselves to ftp://ftp.apache.org. We found a mapping of the http://www.apache.org on that ftp including world writable directories.[break]Ai... dat is vragen om moelijkheden... [/break]So we wrote a little wuh.php3 including passthru($cmd);
?> and uploaded that to one of the world writable directories.

Met behulp van dit php'tje konden ze vervolgens programma's op de server starten en hebben ze uiteindelijk root rechten verkregen.
Lees hier verder voor de details.

Moderatie-faq Wijzig weergave

Reacties (30)

Tja, het is ook niet zo'n slimme zet van de beheerders van apache.org om een writable dir op een public ftp server ook nog eens webaccesable te maken (ook nog eens met php mogelijkheden) dat is eigenlijk vragen om dit soort acties, hoewel ik zelf ook apache gebruik vind ik het best een strakke actie :)

het toont maar mooi weer aan hoe belangrijk een goede config is!
Ha nog gehacked door een nederlander ook. Perfecte actie van die gast. Geen vernielingen aangericht en netjes uitgelegt wat er mis was...

Greetz
Jeez guy's
HET LAG NIET AAN APACHE
maar aan een config fout in de ftp server/dir rechten. (en nog wat meer dingen, maar niet aan echt apache zelf)

Apache valt niets te verwijten, dat zeggen ze (de hackers) zelf, lezen is moeilijk

P.s ik wil apache helemaal niet verdedigen al lijkt het vast zo, maar ik wil misverstanden voorkomen! ;)
Op www.security.nl zag je ook meteen reacties als "Ik dacht dat Apache exploit proof was" en "Zelfs in Apache zit een lek", daar word ik dus zo ziek van.

Als apache.org gehacked wordt hoeft het niet meteen een lek in Apache te zijn. Een hack moet je relativeren.
Trouwens prachtig van tweakers.net dat er nog info bij komt hoe de site gehacked is; je ziet meteen dat het door nalatendheid van een aantal webmasters komt, en niet door Apache.

Voorkomt weer heel wat flamebaits ;)
Ja mensen niet om het 1 of het ander hoor... maar dit vind ik dus wel _erg_ slordig... Ik bedoel dan beheer je goddomme DE site die de veiligste webserver vertegenwoordigd... en dan maak je zulke config fouten. Ze hebben nog mazzel gehad IMHO dat ze met zo'n 'toffe' hacker te maken kregen, dit had heel anders uit kunnen pakken...

Maar goed, wie ben ik... * DF040F iGadgetdus waar lul ik eigenlijk over... :7
Dit zijn geen config fouten, dit zijn directe blunders. In IEDERE manual worden dingen vermeld als: MySQL daemon niet als root-user laten draaien, geen world-writable dir via het web bereikbaar maken enz. Ik vind het enigszins verbazingwekkend dat de makers van apache zo onzorgvuldig omgaan met inrichting/beheer van deze machine, je merkt al meteen dat iedereen denkt dat er bugs in apache zitten.

Waarom heeft die bugs-user alle rechten??? Alleen insert is in principe toch genoeg om geraporteerde bugs op te slaan. De regel is en blijft toch dat je alles dichtgooit en alleen datgene openzet wat je absoluut nodig hebt.

Verder is het een leuke hack, wie denkt nou dat de beheerders van apache.org ZELF dit soort blunders maken(nederlanders dus :)).
Nou, ik zal je even vertellen, die hackers zeggen niet voor niets, dat het niet aan Apache Servers ligt... Die hackers zijn bang, dat als ze de naam van Apache httpd omlaag gaan halen, dat ze dan een flink proces aan de broek krijgen!!!

En tja, als de makers van Apache nog niet eens hun eigen server goed kunnen beveiligen...

Dat wordt dan nog leuk met toekomstige hacks :r
Wauw wat een fame allemaal, goed voor onze ego, tnx ((:

Om toch nog ff wat recht te zetten, we hadden een week voor de deface apache.org gemailt over de ftproot=www.oot, twee keer zelfs maar kennelijk is de boodschap niet helemaal goed overgekomen... Vlak voor de deface hebben we de admins een mail gestuurt met alle dingen die wij hadden gevonden die insecure waren, en alle handelingen te verrichten om ook ons kwijt te zijn (setuid0 shell verwijderen en dat soort grapjes :)
Een half uur na de deface zagen we reacties aan de kant van de apache admins, en logden we nog 1 keer in om ze uit te nodigen voor om met ons op irc te chatten. Na uren met 7 apache.org admins te hebben gechat hadden we toestemming de howto overal te posten onder het mom dat andere beheerders er baad bij hadden. De howto is ook nog eerst naar de apache admins gestuurt voor approval, die we kregen..

Mijn complimenten gaan vooral naar de apache admins omdat ze in deze situatie op deze manier hebben gehandeld. Ze hadden ook kunnen zeggen we'll sue you two, en daarmee was de hele hype er eigenlijk niet geweest maar was ook de waarschuwing er niet geweest.


{}
'{}' (is dat zoiets als 'the symbol' ? ;)) : wat ik me afvroeg: het is GEEN apache bug, maar een configbug (zoals vrijwel alle lekken in websites), mensen hebben te licht gedacht over security, WAAROM heb je toch dit zo in de publiciteit gebracht? Ik bedoel, je had ook apache.org gewoon kunnen mailen, kijk dit kan en dit kan, etc, zonder dat de website werd gedefaced. Nu krijgt apache een 'slechte' naam bij de grote groep dombo's in de wereld, en IMHO onterecht. (het was immers een configfout)

Toegegeven, melden dat het kon etc had minder publiciteit opgeleverd, maar zoals ook in de tekst staat: er waren geen nieuwe exploits gebruikt, iedere admin _WIST_ dit allemaal al.

Heb je nu niet, wellicht niet bewust, meegewerkt aan een smet op de naam van apache?
Ondanks dat je beweert dat het kinderspel is zou het alsnog niet zo makkelijk kunnen zijn om root-acces te krijgen (tenzij ze natuurlijk apache door root draaien) door simpelweg programma's te draaien. Of had FreeBSD nou niet shadow passwording standaard (in die tijd dat ze apache.org opzetten)??

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True