Apache.org-site korte tijd offline gehaald na hackeraanval

Apache.org, de website van de Apache Software Foundation, is vrijdag korte tijd offline gehaald. Systeembeheerders hadden ontdekt dat hackers met behulp van een vermoedelijk gestolen ssh-sleutel een server waren binnengedrongen.

De onbekende hackers hadden hun pijlen gericht op de webserver waarop ApacheCon draait. Deze server wordt gehost door een extern hostingbedrijf. Het account en de bijbehorende ssh-sleutel die door de hackers werden gebruikt, deden dienst voor het uitvoeren van automatische backups naar minotaur.apache.org, een server die draait op FreeBSD 7 en onder andere gebruikt wordt voor het accountbeheer van ontwikkelaars van het opensource-project. Ondanks dat de aanvallers er niet in slaagden om de rechten van dit account te vergroten, plaatsten zij wel diverse kwaadaardige cgi-scripts en bestanden op de server. Door het sync-mechanisme werden deze bestanden automatisch naar andere webservers van Apache.org gekopieerd.

Toen het Apache Infrastructure Team op vrijdag bemerkte dat er via http-requests geprobeerd werd om de geparkeerde cgi-scripts op afstand aan te roepen, gingen de alarmbellen af. Uit voorzorg werd besloten om alle servers direct offline te halen. Nadat uit een eerste onderzoek bleek dat een Europese webserver buiten schot was gebleven, werd al het verkeer naar Apache.org tijdelijk naar deze machine gerouteerd. Vervolgens zijn de systeembeheerders begonnen met een grootschalige schoonmaakoperatie.

Een aantal servers van de opensource-organisatie is nog steeds offline, maar webservers die voor het publieke deel van Apache.org worden gebruikt, zouden grotendeels weer in de lucht zijn. De gebruikte ssh-key om de servers van Apache.org binnen te dringen, is mogelijk gestolen, maar nader onderzoek moet meer duidelijkheid geven. Volgens het Apache Infrastructure Team lijkt het er op dat er geen eindgebruikers direct zijn getroffen door de hack. Wel wordt aangeraden om de digitale handtekeningen van Apache-software de komende tijd extra goed te controleren.

Door Dimitri Reijerman

Redacteur

Feedback • 30-08-2009 12:01
45 • submitter: StM

30-08-2009 • 12:01

45

Submitter: StM

Lees meer

Hackers kraken database Wine-emulator
Hackers kraken database Wine-emulator Nieuws van 12 oktober 2011
Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen
Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen Nieuws van 25 augustus 2011
Google geeft Apache-module voor webserveroptimalisatie vrij
Google geeft Apache-module voor webserveroptimalisatie vrij Nieuws van 4 november 2010
Hackers bemachtigen wachtwoorden Apache Foundation
Hackers bemachtigen wachtwoorden Apache Foundation Nieuws van 14 april 2010
Lek in Apache voor Windows noopt tot upgrade
Lek in Apache voor Windows noopt tot upgrade Nieuws van 9 maart 2010
Google Web Server serveert 13 procent van alle actieve websites
Google Web Server serveert 13 procent van alle actieve websites Nieuws van 1 februari 2010
Microsoft steekt 1 miljoen dollar in opensource-stichting Codeplex
Microsoft steekt 1 miljoen dollar in opensource-stichting Codeplex Nieuws van 13 september 2009
Hacktool legt 'kwetsbaarheid' Apache bloot
Hacktool legt 'kwetsbaarheid' Apache bloot Nieuws van 19 juni 2009
Microsoft gaat Apache-organisatie sponsoren
Microsoft gaat Apache-organisatie sponsoren Nieuws van 27 juli 2008
IIS blijft langzaam aandeel van Apache afsnoepen
IIS blijft langzaam aandeel van Apache afsnoepen Nieuws van 7 augustus 2007
Meer producten en artikelen
Websites en community's Netwerk en systeembeheer Serversoftware Beveiliging Hackers Open source Webserver

Reacties (45)

-Moderatie-faq
45
40
28
2
0
0
Wijzig sortering
JKVA 30 augustus 2009 15:27
Dit is niet de eerste hackpoging op Apache. Ik zie (als committer) regelmatig interne mailings van het Infrastructure Team over hackpogingen in alle soorten en maten.

Maar het Infrastructure is echt een goede club. Dat kun je in die mailings wel zien. Ze houden alles goed in de gaten, er wordt proactief gemonitored, etc... Totaal niet te vergelijken met de bedrijven die ik voor mijn gewone werk zie (o.a. banken). Je kunt zien dat Infrastructure een techneutenhart heeft.

Aan de andere kant, ook de Apache community is een trust netwerk. Ik ben er (los van mijn bijdragen aan de community en codebase) binnengekomen via een ex-collega die Chairman is (en dus status/merit heeft), waardoor mijn integriteit redelijk gecontroleerd is.
Maar je houdt nooit iemand tegen die verkeerde intenties heeft. Iemand kan zich een jaar voor een project inzetten en goede patches aanleveren, maar zich als committer misdragen en misschien wel schade aanrichten. Gelukkig hebben committers beperkte rechten en worden misdragingen relatief snel opgemerkt (voordeel van open development). Als iets dergelijks uitkomt, lig je er gewoon uit.

Al met al durf ik te zeggen dat Apache zijn zaakjes goed op orde heeft, maar uiteindelijk blijft het beheer van SSH keys, passwords, etc. mensenwerk en daarmee de zwakste schakel. Daar doe je als beheerorganisatie niet veel aan.
Maar dit geldt voor iedere grote partij die zich op het internet begeeft.
A4-tje @JKVA30 augustus 2009 18:31
ja dat ze goed bezig zijn zie je wel. want zonder een sleutel waren ze nooit zo ver gekomen... wel benieuwd hoe ze eraan gekomen zijn: sociaal hacking of een botnet aan het werk gezet om een sleutel ergens uit te kunnen destilleren?
the_stickie 30 augustus 2009 12:21
Hoewel deze hack eigenlijk zoveel was als de diefstal van een key (hoe?), liijkt me de impact toch niet te oderschatten. Apache.org is zowat het "voorbeeld", het "uithagbord" van de apache-software. Schade aan het vertrouwen van systeembheerders kunnen ze missen als kiespijn! Bovendien host deze site de "officiële" apache software; het zou kunnen uitdraaien op een www-crisis als zou blijken dat die niet koosjer meer is!!!
Ik denk dat het ook vandaar is dat er zo' uitgebreide communicatie gebeurt over het hoe en waarom; dat is de enige manier om de apache software (en het vertrouwen erin)buiten schot te houden ;)

[Reactie gewijzigd door the_stickie op 25 juli 2024 23:23]

XBL @the_stickie30 augustus 2009 12:31
Als ik je wachtwoord jat en ik log in op jouw computer en doe allemaal dingen, is Windows dan de schuldige?

Mocht software al aan te wijzen zijn, dan is het hun sshserver die het probleem is. De apache software staat hier helemaal buiten. Eerder is het gewoon een slordige medewerker (laptop of smartphone kwijtgeraakt), een corrupte medewerker of hebben de hackers daadwerkelijk de key gejat (fysiek overgenomen van een computer)... legio voorbeelden te bedenken waar software niet aan te wijzen is als schuldige.
Gomez12 @XBL30 augustus 2009 12:45
Tja, maar het gevolg kan wel uitwerken naar een backdoor in de apache source-code.

En als dat zo blijkt te zijn, dan heeft de apache foundation toch echt wel een gigantisch pr-probleem...

Ongeacht waar de fout in 1e instantie door kwam, de gevolgen gaan op een heel ander vlak spelen...
Verwijderd @Gomez1230 augustus 2009 14:37
Hoezo ? De source is toch open, iedereen kan het inzien dus er kan best gecheckt worden wat er veranderd zou zijn.
Sfynx @Verwijderd30 augustus 2009 17:02
Hoeveel % van de mensen die Apache tarball downloadt en installeert (wat bijvoorbeeld alle gebruikers van Gentoo Linux en FreeBSD servers laten doen door de package manager) gaan alle source doorlezen bij elke update?

Dat doe je niet als eindgebruiker.
Aaargh! @Sfynx30 augustus 2009 19:43
Hoeveel % van de mensen die Apache tarball downloadt en installeert (wat bijvoorbeeld alle gebruikers van Gentoo Linux en FreeBSD servers laten doen door de package manager) gaan alle source doorlezen bij elke update?
Dat hoeft ook niet, er zijn altijd mensen die de source in de gaten houden, op z'n minst de developers die er aan werken. Het hoeft maar 1 iemand op te vallen en die kan dan alarm slaan.
thegve @Sfynx31 augustus 2009 23:43
De meeste distro's werken met hun eigen patches etc. Dit alleen houd al in dat de meeste distro-bakkers (voor serieuze server-distro's) de code doorspitten. Ik schat niet direct een groot gevaar in voor gebruikers.
elmuerte @the_stickie30 augustus 2009 13:25
FYI, Apache Software Foundation heeft meer software dan webserver software. Andere bekende software van ASF:
- Ant
- Maven
- Hadoop
- Lucene
- SpamAssassin
- Tomcat
- Xalan
- Xerces

En zo nog tientallen andere veel gebruikte software pakketten.
brabbelaar @the_stickie30 augustus 2009 15:31
Apache.org is zowat het "voorbeeld", het "uithagbord" van de apache-software. Schade aan het vertrouwen van systeembheerders kunnen ze missen als kiespijn! Bovendien host deze site de "officiële" apache software; het zou kunnen uitdraaien op een www-crisis als zou blijken dat die niet koosjer meer is!!!
En als er een virus / hack / crack voor Windows is leidt dat tot wat voor crisis dan? We are all doomed? Dit soort berichten in verschillende vorm is er regelmatig. Het leidt echt alleen tot slechte pr hoor, verder leidt het helemaal nergens toe...
wouterds 30 augustus 2009 12:36
Hopelijk is de apache software niet aangetast want zoals hierboven al gezegd werd moest er een update komen en webservers updaten zou dat een gigantisch geïnfecteerd netwerk zijn.

Wat ik me wel afvraag, hoe kwamen ze aan de ssh-key? Hoe hebben ze die kunnen stelen, staat nergens beschreven en vind ik wel altijd interessant hoe ze aan zo'n dingen komen =).

Edit; zelf is mijn website ook down, de support is vandaag niet online dus ik kan hen niet vragen hoe het komt. (paradox-productions.net)

[Reactie gewijzigd door wouterds op 25 juli 2024 23:23]

martijnvanegdom @wouterds30 augustus 2009 15:42
@ Paradoxj,

Zoals al eerder gezegd, apache heeft geen 'auto-update' functionaliteit in de webserver zitten. Als apache al automatisch geupdate word door systeembeheerders dan is dat eigenlijk altijd via het package systeem in van linux / *bsd

Dus zomaar een gigantisch botnet krijgen door dit truckje gaat niet werken

En daarnaast iedere systeembeheerder die een kritische server beheert en het de automatische updates van zijn server aanzet, of het nu Windows / *nix / wathever is moet eens heel goed nadenken waar die mee bezig is.
himlims_ @wouterds30 augustus 2009 12:49
admin ww zelfde als fok-userdatabase :*) :Y)
xxxneoxxx @himlims_30 augustus 2009 13:23
Ja, want die zaken hebben echt raakvlakken met elkaar.. |:(

Overigens wel een slimme hack/crack.. Ik neem aan dat men wel wist van de sync feature van de webservers onderling. Dat met de reeds bekende ssh key doet mij vermoeden dat het haast gebeurd moet zijn i.s.m. iemand binnen de organisatie.

Veel lof trouwens voor de sysadmins daar die bemerkt hebben dat er http requests de kant van de cgi scripts op gingen.. Kan mijzelf voorstellen dat dat ook niet iets is waar je elke dag op monitort, access naar UFO objects op je webserver.
Roconda @xxxneoxxx30 augustus 2009 14:01
Maar op processen wel. bron: http://www.security.nl/ar...ffici%C3%ABle_server.html
thegve @xxxneoxxx31 augustus 2009 23:46
Kan mijzelf voorstellen dat dat ook niet iets is waar je elke dag op monitort, access naar UFO objects op je webserver.
Daar heb je intrusion detection systemen voor.

http://en.wikipedia.org/wiki/Intrusion_detection_system

Altijd geluk hebben natuurlijk met een geautomatiseerde detectie van "ongewenst gedraag".
Freeaqingme 30 augustus 2009 15:20
Respect voor de admins overigens die dit door hadden. Ik weet menig beheerder die dit nooit doorgehad zou hebben...

Je zou bijna denken dat ze bij Apache iets van webservers afweten :D

[Reactie gewijzigd door Freeaqingme op 25 juli 2024 23:23]

DCK 31 augustus 2009 00:28
Gelukkig valt de software in kwestie (Apache HTTP Server draaiende op FreeBSD 7) en de kundigheid van de beheerders van deze servers niets te verwijten. Tegen het ontvreemden van SSH-sleutels valt softwarematig weinig te beginnen.

Het enige punt van kritiek is dat de sleutel niet in handen van de groep had mogen vallen, maar ik denk dat ze bij de Apache Foundation in de toekomst hier stricter mee om zullen gaan.
himlims_ @zozamis30 augustus 2009 12:17
ongeveer 80% van de webserver draait apache; wat als je die broncode kunt aanpassen met evil code ... dan heb je een mooi netwerkje van servers (!) [indien geupdate]

[Reactie gewijzigd door himlims_ op 25 juli 2024 23:23]

codeneos @himlims_30 augustus 2009 12:55
Apache is opensource, meeste grote hosters zullen zelf de bron code compileren. Daarbij zou het direct opvallen als er malafide code in het versie beheer (svn/cvs/git) van apache zou opduiken.

Daarnaast gaat het hier om het sync mechanisme van de clusters waar op de apache websites en apachecon op gehost worden. De apache webserver (ik doel hier op httpd) zelf heeft geen auto update mechanisme zoals je deze bij veel end-user software ziet zoals virus scanners of Windows.

Dus nee er is nooit een gevaar geweest dat we een botnet van apache powered websites zouden krijgen.

[Reactie gewijzigd door codeneos op 25 juli 2024 23:23]

Cobalt @codeneos30 augustus 2009 13:11
Is het niet een beetje naïeve om te denken dat alle gebruikers hun bron zelf compileren en alle code doorlezen. Malafide code zal heus wel compileren. In versie beheer valt het wel op, maar je kan op apache.org ook gewoon src zip en binaries downloaden.

[Reactie gewijzigd door Cobalt op 25 juli 2024 23:23]

Balachmar @Cobalt30 augustus 2009 13:26
Nee, maar je kan niet zomaar even code toevoegen zonder dat het opvalt bij de versie beheer software. (SVN, CVS of whatever).
Alle wijzigingen zullen echt wel bekeken worden door een aantal mensen. Als die het gek vinden is het er zo weer uit. (En waarschijnlijk kan dit alleen in een unstable tak, welke niet echt gebruitk zullen worden door hosters.)
latka @Balachmar30 augustus 2009 15:17
Als je echt goed bent dan edit je direkt de repository zodat je geen changelog achterlaat. Voordat je commit doe je eerst een update als developer en wordt de trojan gewoon naar de developer gesynchroniseerd. Aangezien de code als in SVN stond kun je ervanuitgaan dat dit klopt et. voila. Uiteraard als je echt paranoia bent dan doe je eerst een cvs diff om te zien wat de update gaat doen, maar ik ken niemand die altijd zo paranoia is.
Blijft overigens onwaarschijnlijk dat als je de httpd repo modificeert niemand het doorheeft. De kans dat het opgemerkt wordt is in ieder geval vele malen groter dan als iets dergelijks bij een closed-source produkt gebeurt.
siepeltjuh @latka30 augustus 2009 19:14
Hoezo bij closed source heb je precies dezelfde repositories en zijn er net zo veel (of op vergelijkbare schaal) developers die gebruik maken van zo`n repository.

Het heeft imho _niets_ te maken met closed of open source.
lammert @siepeltjuh30 augustus 2009 23:07
Het verschil is dat bij closed source alleen de developers toegang hebben tot de broncode, een relatief kleine groep dus. Bij open-source software hebben zowel de developers als alle eindgebruikers toegang tot de broncode.

Ondanks dat lang niet iedere eindgebruiker van source zal compileren, laat staan een diff doen, is dit toch een veel grotere groep en dus ook een grotere kans om malafide modificaties op te merken.
thegve @siepeltjuh31 augustus 2009 23:39
Ik denk dat er niet zo gek veel closed source projecten zijn waar zo veel ontwikkelaars aan werken als aan de Apache httpd ;).
Blijft natuurlijk dat je nou niet direct kan zeggen dat als er 50 ontwikkelaars aan een project werken (die nu ook nog eens "gewaarschuwd" zijn), of dat er nou een paar duizend aan werken, dat een source wijziging minder snel opvalt.
4980 keer de melding dat er een foute wijziging is, is ook overbodig ;).
silentsnake @Cobalt30 augustus 2009 13:41
Beter gezegd, lang niet elke systeembeheerder kan code lezen. Ze maken scriptjes om hun leven makkelijker te maken maar het zijn geen programmeurs met diepgaande kennis van taal X.
_JGC_ @codeneos30 augustus 2009 14:13
Apache is opensource ja. Ze hebben tarballs op de download plaatsen staan. Pas de tarballs aan, pas de checksum bestanden aan, liefst met terugzetten van originele datum, en alleen de mensen die controleren tegen checksums die destijds in de announcement mailtjes stonden komen erachter dat er iets niet klopt, en dan is slechts een klein deel daarvan nog zo slim om ook daadwerkelijk te controleren waarom de checksum niet klopt.
Squirrelmail is een tijdje geleden ook gehackt, heeft een tijdje geduurd tot men erachter was dat er een aantal plugins waren voorzien van password sniffers.
Icekiller2k6 @zozamis30 augustus 2009 12:12
Heb je het artikel uberhaut gelezen?

staat duidelijk in dat ze bezig waren met het 'hacken' (cracken eigenlijk maar ok..)

Van de accountbeheer wat instaat voor de automatische updates.

Wat dat betekend is, als ze daar ingeraakt waren, dat elke server die automatisch de updates binnenhaalde vb een trojan/spyware... had kunnen binnen halen.
Verwijderd @Icekiller2k630 augustus 2009 13:26
Dat verklaart nog steeds niet wat ze nu echt WILLEN?

Zombie netwerk? Betalingsgegevens? Paswoorden?
kimborntobewild @Verwijderd31 augustus 2009 15:44
Alle drie - waarvan de middelste natuurlijk 't doel, en de andere twee de middelen.
elmuerte @Icekiller2k630 augustus 2009 13:19
Er staat duidelijk "automatische backups" en niet "automatisch updates".
HoeZoWie @zozamis31 augustus 2009 16:23
Weer die hackers, wat willen ze?
Hakkeuuhhhh! ;)

[Reactie gewijzigd door HoeZoWie op 25 juli 2024 23:23]

SuperDre
@Bitage31 augustus 2009 09:58
Oh, je bedoelt jouw interpretatie van wat een hacker/cracker is.... het gaat hier gewoon om hackers........
Bitage @SuperDre1 september 2009 07:31
Even Google'n voordat je iets typt:
De term computerkraker, vaak aangeduid in jargon als cracker of black hat hacker
En ook http://nl.wikipedia.org/wiki/Hacker Lees dan gelijk het 2de kopje even door. Het is dus niet mijn interpretatie, maar die van zo'n beetje de hele gemeenschap, ga dus eerst maar eens zoeken voordat je weer zo'n poging tot sarcasme post.

@ Mizitras, dat zal ik denk ik ook eens doen ja, maar ik dacht dat als ik het hier post er misschien wel sneller zou kunnen blijken of er wat mensen het met me eens zijn. Vind het in ieder geval wel raar dat als er toch wel vaak weer discussies zijn over hackers en crackers de redactie daar niet handig op inspeelt om het gelijk goed te doen.
kimborntobewild @SuperDre31 augustus 2009 15:43
Nee, niet zijn interpretatie, maar de globale / algemene: nl. black hat = cracker, white hat = hacker.
mystic101 @kimborntobewild31 augustus 2009 16:18
In de volksmond is een hacker iemand die zich zonder toestemming toegang verschaft tot een systeem, ongeacht de reden dat men dit doet. Dat een groep mensen liever heeft dat hackers als goed worden gezien en voor slecht gedrag de term cracker hebben geponeerd en dit geheel als 'globale/algemene' definitie hebben verheven doet hier niets aan af.
HoeZoWie @kimborntobewild31 augustus 2009 16:19
OffTopic: / Grapje
Ik kwam laatst een Tracker tegen... -
een tracker ??? bedoel je niet een cracker of een hacker?
Nee ik kwam laatst een Tracker tegen!
een tracker, hmmm, wat is dat ??

Dat was ooit eerst een hobby-ende Hacker,
heeft van zijn hobby zijn werk gemaakt,
kreeg niet de juiste baan in de IT/ICT-Security
en is daardoor beland in de Cyber-Space Criminaliteit,
belande op het 'foute pad' en is sinds dien opgejaagd door Global Goverment,
en is nu een vluchtende Cracker, die uiteindelijk
Assiel aanvraagt in een ander neutraal land, een Tracker! :)

Tracker = 'Tracing Hacker die Trekt'

[Reactie gewijzigd door HoeZoWie op 25 juli 2024 23:23]

Mizitras @Bitage31 augustus 2009 01:15
Je kan via het forum een suggestie doen om, bij eventuele foute woorden, dit te corrigeren. Niet de plaats om te discussiëren over het inhoudelijke, laat dat wel duidelijk zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq