Apache.org hacké

Le 27 août, à partir d'environ 18h00 UTC, un compte utilisé pour les sauvegardes automatiques du site web ApacheCon [..] a été utilisé pour télécharger des fichiers sur minotaur.apache.org. Le compte a été consulté en utilisant l'authentification par clé SSH de cet hôte.

Voilà ce qu'on peut lire sur Apache.org, dans un billet intitulé « Apache.org dowtime : Rapport initial ».

Ce que nous savons à cette heure-ci est qu'aucun des utilisateurs finaux n'ont été touchés par cet incident et que les attaquants n'ont pas été en mesure d'élever leurs privilèges sur les machines.
Bien que nous n'ayons aucune preuve que les téléchargements ont été touchées, les utilisateurs sont toujours invité à vérifier les signatures numériques dans les cas prévus.

• 27 aout - 18H00 : Intrusion dans la machine minotaur.apache.org (FreeBSD 7 Stable) et upload de fichier (dont des CGi).
• 27 aout  - ??H?? : Rsync répercute automatiquement les fichiers uploadés vers les serveurs Web en production
• 28 aout - 7H00 : Activation des fichier uploadés via HTTP
• 28 aout - 7H45 : Découverte de la présence des « processus voyous » sur le serveur web eos.apache.org (OpenSolaris 10)
• 28 aout - 7H55 : Par précaution, arrêt des machines infectées

Les principaux services proposés par Apache.org sont de nouveau accessibles. Les dégâts sont, semble-t-il, quasi nul mais l'équipe indique qu'il est plus que conseillé de vérifier l'intégralité des fichiers téléchargés. Des nouvelles plus précises de l'attaque seront publiées dès que possible.

Cette attaque pourrait relancer les questions de fiabilité des clés SSH, puisqu'il semble que ce soit par là que l'intrusion ait commencé.