Server der Apache Software Foundation angegriffen

Angreifer verschaffen sich Zugang über JIRA zu weiteren ASF-Servern

Ein erfolgreicher Angriff auf die Server der Apache Software Foundation hat es Hackern ermöglicht, tausende von Passwörtern auszulesen. Benutzer der von Apache gehosteten JIRA, Bugzilla oder Confluence Server sollten ihre Passwörter ändern.

Anzeige

Die Hostingserver der Apache Software Foundation (ASF) sind kompromittiert worden. Betroffen sind der kommerzielle Server der Firma Atlassian, der den Issue-Tracker JIRA hostet (Atlassian JIRA), sowie der JIRA-Server bei Apache brutus.apache.org und der Haupt-Shell-Server people.apache.org (minotaur.apache.org).

Benutzer der JIRA-, Bugzilla- oder Confluence-Services werden aufgefordert, ihre Passwörter zu ändern. Insbesondere sind die Benutzer betroffen, die sich zwischen dem 6. und dem 9. April 2010 auf Apache JIRA angemeldet haben.

Laut Apache griffen die Hacker den Atlassian-JIRA-Server über zwei Vektoren an. Zunächst wurde eine Attacke per Cross-Site-Scripting (XSS) initiiert, die eine Cookie-Session eines angemeldeten Benutzers stehlen sollte. Dafür erstellten die Angreifer ein neues Ticket und betteten eine gespickte URL ein.

Zeitgleich wurde eine Brute-Force-Attacke gestartet, über die zahlreiche Passwörter ausprobiert wurden. Über einen dieser Angriffsvektoren verschafften sich die Angreifer Zutritt mit Rootrechten zum JIRA-Server, wo sie ungehindert Dateien und Verzeichnisse durchstöbern und über präparierte JSP-Dateien herunterladen konnten. Zusätzlich fingen sie Passworteingaben über die Login-Oberfläche ab.

Eines dieser Passwörter wurde von einem Administrator auch für das Login auf brutus.apache.org verwendet, der dort Sudo-Rechte besaß. Neben JIRA hostete dieser Server (brutus.apache.org) auch Confluence und Bugzilla. Dort wiederum konnten die Angreifer die gecachten Daten von Subversion-Zugängen auslesen und weitere Passwörter ergattern. Mit diesen konnten sie sich dann auf dem Haupt-Shell-Server minotaur.apache.org einloggen, dort aber keine Root-Rechte erlangen und somit wenig Schaden anrichten.

Nachdem das Apache-Team den Einbruch bemerkt hatte, wurden die entsprechenden Server heruntergefahren und gingen dann mit geänderten Passwörtern und entsprechenden Reparaturen wieder online. Lediglich der Server brutus.apache.org wurde komplett ausgetauscht, denn dort hatten die Angreifer mehrere Stunden einen Root-Zugang.

Kommentarübersicht
Re: Danke der Apachefoundation für die Offenheit
SourceR 15. Apr 2010

Ich denke, das ist nicht all zu schlimm, ein Brute-Force dauert eine ganze weile, wenn...

Re: Na kein Wunder ...
SourceR 15. Apr 2010

Linux ist Benutzerfreundlich, ist nur eben ein wenig Wählerisch bei seinen Freunden^^ Ich...

Re: Kindersoftware?
Leser 14. Apr 2010

Bitte konzentriert den Artikel lesen und erst dann weiterlabern: Die Angreifer...

Re: SSH Login ... WebLogin?
Schnarchnase 14. Apr 2010

Bitte nicht fail2ban, das ist die denkbar ungünstigste Variante. Erstens wird das Skript...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Administrator Datenbanksysteme (m/w)
    DRK-Blutspendedienst Baden-Württemberg - Hessen gemeinnützige GmbH, Baden-Baden
  2. IT Ingenieur/-in Fachgebiet Desktop Basic
    ZF Friedrichshafen AG, Friedrichshafen
  3. Webentwickler / Webentwicklerin
    FIZ CHEMIE Berlin GmbH, Berlin
  4. Senior Softwaredeveloper C# / .Net im ALM Service (m/w)
    Siemens AG, Fürth

 

Detailsuche

Folgen Sie uns
       
Videos
T-Pod - mobiles Kraftwerk mit Teelicht T-Pod - mobiles Kraftwerk mit Teelicht
Meistgelesen
  1. Bernd Schlömer

    Twittern und Mailen für die Piratenpartei im Dienst verboten
  2. Anstößige Animationen

    Cinemagram-App wieder in Apples App Store
  3. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"
  4. Kim Dotcom

    "Gebt mir meine Rechner zurück!"
  5. Bang! Lamp

    Eine Designlampe zum Abknallen
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 384 | letzter Beitrag 25.05. 15:32

  2. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 220 | letzter Beitrag 25.05. 19:00

  3. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 25.05. 11:40

  4. F2, F8, F12: Windows 8 startet zu schnell

    Kommentare: 183 | letzter Beitrag 25.05. 20:19

  5. USB-Sticks und Speicherkarten: Hersteller wehren sich gegen neue "Mondtarife"

    Kommentare: 124 | letzter Beitrag 25.05. 21:15

Mehr

Ticker
  1. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen

  2. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd

  3. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

  4. Sony

    Music Unlimited nun auch fürs iPhone

  5. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten

  6. Gewerkschaft

    Entlassungen werden bei HP-Deutschland voll durchschlagen

  7. Tex Murphy

    Privatermittler sucht Privatinvestoren

  8. Studie

    Fast jeder zweite Nutzer hört legal Musik im Netz

  9. Funcom

    The Secret World mit neuen Plänen bis zum Start

  10. Play Store

    Google startet Bezahlabos in Android-Anwendungen

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Lockheed Martin
Lockheed Martin: US-Soldaten in Afghanistan bekommen Exoskelett
Lockheed Martin
US-Soldaten in Afghanistan bekommen Exoskelett

Lockheed Martin hat eine neue Version des Exoskeletts Hulc vorgestellt, das es einem Menschen ermöglicht, schwere Lasten zu heben und zu tragen. Der Hersteller will das System im Spätsommer testen und, wenn alles gutgeht, danach an US-Soldaten in Afghanistan ausliefern.

  1. Rüstung Ramsch-Technik aus China in US-Waffensystemen
Rollenspiele
Kingdoms of Amalur: 38 Studios entlässt alle Mitarbeiter
Kingdoms of Amalur
38 Studios entlässt alle Mitarbeiter

Das vom US-Baseballstar Curt Schilling gegründete Entwicklerstudio 38 Studios ist so gut wie pleite: Nach einer Reihe von Finanzproblemen hat die Firma jetzt alle Beschäftigen entlassen.

  1. MMXII D.W. Bradley plant Neuauflage von Dungeon Lords
  2. Legend of Grimrock im Test-Video Das Anti-Skyrim
  3. Wasteland 2 Kreativhilfe durch Obsidian ab 2,1 Millionen US-Dollar
Windows 8
F2, F8, F12: Windows 8 startet zu schnell
F2, F8, F12
Windows 8 startet zu schnell

Windows 8 kann auf entsprechender Hardware in weniger als 8 Sekunden booten. Dabei bleibt zu wenig Zeit, um den Bootvorgang zum Sprung ins Bios, ins UEFI-Menü oder in die Startauswahl von Windows zu unterbrechen.

  1. Dice Einige Frostbite-2-Spiele nur mit 64-Bit-Betriebssystem
  2. Windows RT Windows-Tablet-Lizenz soll angeblich 100 US-Dollar kosten
  3. Windows 8 Release Preview Microsoft verbessert Multi-Monitor-Unterstützung
Forumsbeiträge »
  1. Schmerzlos MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

    Re: Startrek lässt grüßen :)

    __destruct() | 00:51

  2. Schmerzlos MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

    ich hab da ja noch meine bedenken..

    Seasdfgas | 00:47

  3. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    Re: Endlich kein schlechtes Gewissen mehr bei...

    NeverDefeated | 00:45

  4. Firefox 14 für Android Beta Mozillas Browser wird schneller und unterstützt Plugins

    Re: user agent

    Tim2k | 00:38

  5. Test HTC One XL Smartphone-Leichtgewicht mit LTE

    Re: Tippfehler?

    DerWeise | 00:23

Ticker »
  1. iOS Untethered Jailbreak für iOS 5.1.1 erschienen

    18:49

  2. CSU-Vizechefin Aussagen zur Internetsucht sind absurd

    18:33

  3. Schmerzlos MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

    18:08

  4. Sony Music Unlimited nun auch fürs iPhone

    17:44

  5. Samsung Galaxy S3 Siri braucht sich nicht zu fürchten

    17:17

  6. Gewerkschaft Entlassungen werden bei HP-Deutschland voll durchschlagen

    16:57

  7. Tex Murphy Privatermittler sucht Privatinvestoren

    15:46

  8. Studie Fast jeder zweite Nutzer hört legal Musik im Netz

    14:39

Zum Artikel