Anche Apache.org vittima dei cracker

Dopo SourceForge, un'altra vittima eccellente dei cracker: Apache.org, il sito del noto ed omonimo webserver open source. Come nel caso di SourceForge, anche questa volta si Ŕ temuto per i progetti ospitati sul server

Web - Sembra proprio che il recente cracking di uno dei server di SourceForge abbia coinvolto anche il sito dell'Apache Software Foundation (ASF), il sistema che ospita, fra gli altri, il progetto del noto webserver open source Apache.

In una lettera, il presidente della ASF Brian Behlendorf, ieri ha comunicato che il 17 maggio un "cracker sconosciuto", grazie ad una vulnerabilitÓ del client SSH di SourceForge, Ŕ riuscito ad ottenere un account per loggarsi sul Apache.org. Una volta ottenuta una shell sul server, il cracker avrebbe poi tentato di ottenere privilegi di super utente utilizzando dapprima, e con scarso successo, una vecchia installazione di Bugzilla, ed in seguito, questa volta riuscendovi, una vulnerabilitÓ di OpenSSH 2.2.

Una volta ottenuti i diritti di root, il cracker avrebbe poi sostituito il client SSH di Apache.org con uno compromesso, capace di "sniffare" nomi utente e password, modificando poi la configurazione del software di audit e seminando qua e lÓ alcuni troiani.
Behlendorf non specifica quanto tempo sia passato prima che gli amministratori di Apache.org si accorgessero della "visita", ma assicura che in queste settimane Ŕ stato eseguito un controllo approfondito del sistema e, a quanto pare, nessun progetto open source ospitato sul sistema ha subito danni o modifiche.

La ASF sta lavorando con altre organizzazioni per indagare sull'accaduto e risalire, se possibile, all'identitÓ dell'intruso che, a quanto pare, Ŕ un utente di SourceForge. GiÓ nel maggio del 2000 ASF era stata bucata e la home page del sito sostituita.
46 Commenti alla Notizia Anche Apache.org vittima dei cracker
Ordina

  • ... non sanno configurare apache e linux, e' chiaro. Mica e' colpa del sistema, che e' a dir poco assoluto.

    non+autenticato
  • > ... non sanno configurare apache e linux, e'
    > chiaro. Mica e' colpa del sistema, che e' a
    > dir poco assoluto.

    Ah...pensavo fosse x colpa del caldo. E' strano che quelli che scrivono un software non sappiano configurarlo...

    non+autenticato
  • Se non lo sanno configurare neanche loro allora chi dovrebbe saperlo fare....????? Chiamiamo il mago forrester!!!
    Ma fammi il piacere, l'hanno bucato e basta!
    Anche lipux ha i suoi limiti

    - Scritto da: Ciao
    > > ... non sanno configurare apache e linux,
    > e'
    > > chiaro. Mica e' colpa del sistema, che e'
    > a
    > > dir poco assoluto.
    >
    > Ah...pensavo fosse x colpa del caldo. E'
    > strano che quelli che scrivono un software
    > non sappiano configurarlo...
    >
    non+autenticato
  • - Scritto da: abc
    > Se non lo sanno configurare neanche loro
    > allora chi dovrebbe saperlo fare....?????
    > Chiamiamo il mago forrester!!!
    > Ma fammi il piacere, l'hanno bucato e basta!
    > Anche lipux ha i suoi limiti

    ???
    E leggere bene prima di parlare??
    Avreste scoperto che il problema era nella shell e non nel web server.
    E che il casino e' partito da un altro server, quello della sourceforge.
    non+autenticato
  • - Scritto da: Dbg
    > ???
    > E leggere bene prima di parlare??
    > Avreste scoperto che il problema era nella
    > shell e non nel web server.
    > E che il casino e' partito da un altro
    > server, quello della sourceforge.

    Ah! un server che gira su Winsozz??
    :)
    non+autenticato
  • > > E leggere bene prima di parlare??
    > > Avreste scoperto che il problema era nella
    > > shell e non nel web server.
    > > E che il casino e' partito da un altro
    > > server, quello della sourceforge.
    > Ah! un server che gira su Winsozz??

    no, rete di server Linux. Anche lì lo stesso problema, anche lì un software di terze parti
    non+autenticato
  • - Scritto da: KJK::Hyperion
    > no, rete di server Linux. Anche lì lo stesso
    > problema, anche lì un software di terze
    > parti

    Ma linux non e' tutto fatto da terze parti?
    non+autenticato


  • > no, rete di server Linux. Anche lì lo stesso
    > problema, anche lì un software di terze
    > parti

    Un software per windows? Un software closed source?
    non+autenticato


  • - Scritto da: Dbg
    > ???
    > E leggere bene prima di parlare??

    Stai chiedendo a questa gente di usare il cervello....ma lo sai che hai delle pretese assurde? Ficoso)
    fraternamente
    non+autenticato


  • > Stai chiedendo a questa gente di usare il
    > cervello....ma lo sai che hai delle pretese
    > assurde? Ficoso)
    > fraternamente

    L'assurdo e' il vostro mestiere no? Altrimenti non usereste linux.
    non+autenticato
  • assurdo è solo il tuo cervello.

    - Scritto da: Ciao
    >
    >
    > > Stai chiedendo a questa gente di usare il
    > > cervello....ma lo sai che hai delle
    > pretese
    > > assurde? Ficoso)
    > > fraternamente
    >
    > L'assurdo e' il vostro mestiere no?
    > Altrimenti non usereste linux.
    non+autenticato
  • Ecco la dimostrazione di quanto sia facile criticare windows e difficile criticare Linux.
    La mancanza di 200 post in questi treads dimostra sempre piu' la vigliaccheria, il pressapochismo e l'ipocrisia da parte di tutti quelli che se ce da parlare male di Microsoft spuntano come funghi.
    Sarà meglio che si abituino poiche' gli hacker che si divertono a bucare i sistemi unix stanno aumentando, i bachi sono sempre piu' numerosi anche se gli utenti sono si contano sulle dita.

    non+autenticato


  • - Scritto da: Alex
    > Ecco la dimostrazione di quanto sia facile
    > criticare windows e difficile criticare
    > Linux.
    > La mancanza di 200 post in questi treads
    > dimostra sempre piu' la vigliaccheria, il
    > pressapochismo e l'ipocrisia da parte di
    > tutti quelli che se ce da parlare male di
    > Microsoft spuntano come funghi.
    > Sarà meglio che si abituino poiche' gli
    > hacker che si divertono a bucare i sistemi
    > unix stanno aumentando, i bachi sono sempre
    > piu' numerosi anche se gli utenti sono si
    > contano sulle dita.
    >

    Ma quante cavolo di dita hai??
    non+autenticato
  • Per descrivere la percentuale degli utenti linux ne bastano 2.

    - Scritto da: Krecker
    > Ma quante cavolo di dita hai??

    non+autenticato
  • Alex ti facevo più intelligente.

    - Scritto da: Alex
    > Per descrivere la percentuale degli utenti
    > linux ne bastano 2.
    >
    > - Scritto da: Krecker
    > > Ma quante cavolo di dita hai??
    >
    non+autenticato
  • - Scritto da: z>
    > Alex ti facevo più intelligente.
    >
    > - Scritto da: Alex
    > > Per descrivere la percentuale degli utenti
    > > linux ne bastano 2.
    > >
    > > - Scritto da: Krecker
    > > > Ma quante cavolo di dita hai??
    > >

    Nemmeno con le provocazioni si viene a discutere questa notizia, chiediti piuttosto come mai 500 post per un'affermazione di un tipo e nessuno o quasi per un Apache.org hackerato.
    non+autenticato


  • - Scritto da: Alex
    > Sarà meglio che si abituino poiche' gli
    > hacker che si divertono a bucare i sistemi

    dato che non conosci nemmeno il significato delle parole hacker e cracker, non credo che la tua opinione sia minimamente rilevante
    non+autenticato
  • Una volta ho sentito ua frase del tipo:

    "Bravi Bravi, usate ancora Windows"



    .. e scusate se è poco, tutti quelli che se la ridono di coloro che usano WindowsNT
    (senza MINIMAMENTE considerare che per alcuni non è una scelta ma un obbligo per questioni di tempo e conoscenze)

    mentre loro usano Unix o Linux.

    Mi ride il b del c fino a Natale.

    Quelli di Source Forge e quelli di ASF credo con un buon grado di certezza, siano definibili quali esperti come pochi.

    Eppure li hanno bucati.


    Al primo che mi rompe ancora le balle gli tiro una scarica di cd di linux nei denti.

    Anche io lo sto imparando, di certo quando lo conoscerò non mi metterò a ridere di quelli che usano Winzoz. L'unica risata che mi concedo è la seguente

    ha ha ha ha ha ha ha ha ha ha.

    Certo , voi diLinux siete sicuramente piu' bravi di Lerdorf e company. Scusate.

    Ha ha, ha ha ha, mi rotolo sul pavimento... ha ha ha, HA HA HA HA

    UAH UAH UAAAAAH

    clap clap clap.
    ciao menti.

    Una gran verità , quelli (alcuni di quelli) che usano unix sembrano negare. Poi un giorno si trovano con il trojan nelle mutande. e gli danno fieno e carrube... mentre si leccano le ferite.

    Ciao a tutti i root.
    hi hi hi hi hi hi.



    PS: un nostro firewall su Piastra Sun (installato e gestito da remoto da una nota società telefonica) è stato forato e gli hanno inserito un bel box con cavallino di troia dentro....

    da lì il cracker ha cercato di sostituire diverse homepage con la pagina "fuckChina PoisonBox"

    E non è riuscito. dopo aver provato su 6 macchine WinNT. e win2000.

    Ooops, scusate WinzozNT e Winzoz 2000

    non+autenticato
  • > da lì il cracker ha cercato di sostituire
    > diverse homepage con la pagina "fuckChina
    > PoisonBox"
    >
    > E non è riuscito. dopo aver provato su 6
    > macchine WinNT. e win2000.
    >
    > Ooops, scusate WinzozNT e Winzoz 2000

    per forza, windows e' cosi' limitativo che pure qando lo buchi non riesci a farci praticamente un cazzo oltre a un deface.

    non+autenticato


  • - Scritto da: sonosempreio
    > Quelli di Source Forge e quelli di ASF credo
    > con un buon grado di certezza, siano
    > definibili quali esperti come pochi.
    >
    > Eppure li hanno bucati.

    ciccio... se ti metto un vnc server taroccato sul tuo pc di casa e tu accedi alla tua bella windows box come amministratore, la windows box puo' anche essere dietro 10.000 firewall, ma se ho la password ti apro anche il rubinetto dell'acqua nel tuo bagno.

    > PS: un nostro firewall su Piastra Sun
    > (installato e gestito da remoto da una nota
    > società telefonica) è stato forato e gli
    > hanno inserito un bel box con cavallino di
    > troia dentro....
    >
    > da lì il cracker ha cercato di sostituire
    > diverse homepage con la pagina "fuckChina
    > PoisonBox"
    >
    > E non è riuscito. dopo aver provato su 6
    > macchine WinNT. e win2000.
    >

    mai pensato che magari non era il suo campo preferito? anche loro hanno delle preferenze sai ?
    non+autenticato
  • 1 Il sistema perfetto non esiste
    2 Fatti un giro su www.alldas.de per vedere le quote tra win ed altri sistemi operativi, non superano win neanche se fanno la somma Sorride)
    3 Hai mai pensato che le perosne che gestivano le tue macchine erano pi˙ bravi in una cosa e meno in un altra, sai l'elemnto fondamentale a volta sei anche tu che gestisci le macchine Sorride) E logico che se lasci la tua macchina cosi....
    4 quante volte hanno patched il tuo win?
    OK ciao era solo questo adesso se vuoi continua a ridere
    non+autenticato
  • PP - Punto Peracottinux aveva già dato la notizia ieri con ben 16 ore di anticipo.
    Una bella dimostrazione di efficienza.

    http://punto-informatico.it/pol.asp?mid=38288&fid=...
    non+autenticato
  • Sei della concorrenza? Oppure paghi P.I. e rosichi?
    Secondo me e' la prima.
    Che giornale hai? Ce lo dici?
    non+autenticato
  • quindi non soltanto i sistemi Microsoft sono vulnerabili;)
    non+autenticato

  • Amche du palle...ma siete solo capaci di dire e' meglio il cattolicesio che la religione dell'Islam?

    Volete OS sicuri da attacchi? staccate il cavo della rete!

    Non esiste un sistema a prova di bomba....quelli M$ sono piu bacati per icapacita'....quelli UniX compatibili meno perche' nati per fare quello..


    dai ragazzi non sprecate il Vs tempo
    ::))

    Ciao
    - Scritto da: Pippo
    > quindi non soltanto i sistemi Microsoft sono
    > vulnerabili;)
    non+autenticato


  • - Scritto da: mah
    >
    > Amche du palle...ma siete solo capaci di
    > dire e' meglio il cattolicesio che la
    > religione dell'Islam?
    >
    > Volete OS sicuri da attacchi? staccate il
    > cavo della rete!
    >
    > Non esiste un sistema a prova di
    > bomba....quelli M$ sono piu bacati per
    > icapacita'....quelli UniX compatibili meno
    > perche' nati per fare quello..
    >
    sulle statistiche di securityfocus dell'anno scorso si sono rilevati + bug (e relativi exploit) nei vari programmi e kernel dei vari *nix
    ma al di la di inutili conti e conticini... quelli che si domandavano come uno ci si può fidare di "lasciare i propri dati su web server che girano sotto OS Microsoft" ora si faranno la stessa domanda con Apache (e *nix come OS)?:)
    e via di sniffing fino al prossimo:P
    non+autenticato
  • > sulle statistiche di securityfocus dell'anno
    > scorso si sono rilevati + bug (e relativi
    > exploit) nei vari programmi e kernel dei
    > vari *nix

    si potrebbe spiegare così: nei sw a codice aperto, è possibile scoprire un bug anche solo analizzando il codice (c'è gente che lo fa proprio per divertimento), mentre nei sw proprietari ti accorgi di un bug solo quanto ti si presenta.
    quindi è più facile che ci siano segnalazioni di bug nei sw o.s., dato che è più facile scovarli.
    (c'è anche da dire che le ditte di sw proprietario tendono piuttosto a nasconderli i bug, in modo da non compromettere la propria immagine)
    il discorso dei fix poi è sempre lo stesso: nei sw o.s., molto spesso, assieme alla segnalazione del bug arriva anche il fix, in quelli proprietari bisogna aspettare che sia la casa a fornirlo (beninteso, potrebbe anche fornirlo già il giorno dopo, non è detto che ci metta sempre un eternità... ma cmq, devi sempre dipendere da loro).

    > ma al di la di inutili conti e conticini...
    > quelli che si domandavano come uno ci si può
    > fidare di "lasciare i propri dati su web
    > server che girano sotto OS Microsoft" ora si
    > faranno la stessa domanda con Apache

    quà apache non c'entra nulla, la vulnerabilità era in openssh.

    > (e *nix come OS)?:)

    vedi, in fatto è che ormai i sistemi della MS si sono fatti una bruttissima reputazione (e anche meritatamente, IMO), se anche diventassero strasicuri e ti fornissero tutti gli strumenti, che solitamente ti danno gli unix per controllare e "blindare" il sistema, farebbero gran fatica a scrollarsi di dosso la fama di sistemi insicuri ed instabili.
    non+autenticato

  • > sulle statistiche di securityfocus dell'anno
    > scorso si sono rilevati + bug (e relativi
    > exploit) nei vari programmi e kernel dei
    > vari *nix

    ti consiglio caldamente di fare un salto su
    http://www.securityportal.it/hackindex.php
    giusto per farti un'idea di quali siti siano piu'
    vulnerabili.

    > ma al di la di inutili conti e conticini...
    > quelli che si domandavano come uno ci si può
    > fidare di "lasciare i propri dati su web
    > server che girano sotto OS Microsoft" ora si
    > faranno la stessa domanda con Apache (e *nix

    apache in questo caso non c'entra nulla, sono state sfruttate delle vulnerabilita' di ssh.

    PS: chi lavora sotto unix si chiede da sempre, e non solo da adesso, come ci si puo' fidare a lasciare i propri dati su un server. Per questo
    tra gli addetti ai lavori nel settore unix si e' sviluppata una consapevolezza riguardo alle problematiche di sicurezza che spesso non c'e' tra altri "esperti del settore"
    non+autenticato


  • - Scritto da: Dr. Foobar

    >
    > ti consiglio caldamente di fare un salto su
    > http://www.securityportal.it/hackindex.php
    > giusto per farti un'idea di quali siti siano
    > piu'
    > vulnerabili.

    scusa.. con tutto il rispetto che ho per i ragazzi che gestiscono quel portale, credo che sia un pò + autorevole securityfocus, e cmq non ho parlato di quantità di siti (che implicherebbe un discorso molto + ampio), ma di numero di bug rilevati (ed exploit relativi), ergo pontezialità di vulnerabilità di un certo tipologia di sitema

    > apache in questo caso non c'entra nulla,
    > sono state sfruttate delle vulnerabilita' di
    > ssh.

    anche qui, come credo che sia piuttosto ovvio, non intendo solo del demone stesso(che tra l'altro rimane ancora tra i meno cedevoli ai bug), ma del tipo di sistema (ssh, precisamente openSSH, in questo caso, è prerogativa di sistemi *nix)

    > PS: chi lavora sotto unix si chiede da
    > sempre, e non solo da adesso, come ci si
    > puo' fidare a lasciare i propri dati su un
    > server. Per questo
    > tra gli addetti ai lavori nel settore unix
    > si e' sviluppata una consapevolezza riguardo
    > alle problematiche di sicurezza che spesso
    > non c'e' tra altri "esperti del settore"
    daccordo con te.

    non+autenticato
  • > http://www.securityportal.it/hackindex.php

    hahahahaha, securityportal.it??? ma chi sono questi cioccolatai? cos'e' di moda aprire siti security-related negli ultimi 20 minuti?
    non+autenticato
  • > hahahahaha, securityportal.it??? ma chi sono
    > questi cioccolatai? cos'e' di moda aprire
    > siti security-related negli ultimi 20
    > minuti?

    no, pare essere più di moda spacciarsela nei forum di PI
    non+autenticato


  • - Scritto da: Pippo
    >
    >
    > - Scritto da: mah
    > >
    > > Amche du palle...ma siete solo capaci di
    > > dire e' meglio il cattolicesio che la
    > > religione dell'Islam?
    > >
    > > Volete OS sicuri da attacchi? staccate il
    > > cavo della rete!
    > >
    > > Non esiste un sistema a prova di
    > > bomba....quelli M$ sono piu bacati per
    > > icapacita'....quelli UniX compatibili meno
    > > perche' nati per fare quello..
    > >
    > sulle statistiche di securityfocus dell'anno
    > scorso si sono rilevati + bug (e relativi
    > exploit) nei vari programmi e kernel dei
    > vari *nix

    tieni presente che probabilmente ti stai riferendo a tutti i bugs di tutti i sistemi *nix
    mi sa pero che se li prendi singolarmente solo la red hat ha un numero di bugs relativamente elevato.

    inoltre i piu' esperti grazie all'open source hanno la possibilita' di correre ai ripari personalmente per sopperire alle vulnerbilita' del loro sistema *nix, mentre con M$ quelle sono e quelle rimangono, finche non esce il succesivo e raffazzonato service pack.

    Nessuno afferma che gli os unix like siano invulnerabili ma grazie alla collaborazione del mondo informatico e piu'facile che siano prodotti meglio riusciti...
    > ma al di la di inutili conti e conticini...
    > quelli che si domandavano come uno ci si può
    > fidare di "lasciare i propri dati su web
    > server che girano sotto OS Microsoft" ora si
    > faranno la stessa domanda con Apache (e *nix
    > come OS)?:)
    > e via di sniffing fino al prossimo:P
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)