Jeden z najbardziej znanych dostawców usług hostingowych, Dream Host, poprosił dzisiaj wszystkich swoich użytkowników o zmianę haseł FTP oraz SSH. Powodem zmiany wg komunikatu miało być „wykrycie nieautoryzowanej aktywności w jednej z baz danych”.
Serwis nie poprzestał na zachęceniu użytkowników do zmiany tych haseł, ale jednocześnie zaczął sam je zmieniać. Ze względu na skalę operacji, automatyczna zmian haseł trwała przez kilkanaście godzin. Operacja została już zakończona. Każdy użytkownik może zalogować się do swojego webpanelu (to hasło nie podlegało zmianie) i ustawić nowe hasła dla swoich usług.
Wcześniejsze włamania na konta użytkowników?
Jak wynika z komentarzy użytkowników, wielu z nich doświadczyło włamań na swoje konta. Z reguły dotyczyło to kont, na których umieszczony był WordPress, Drupal lub phpbb (chociaż podobno zdarzało się również na kontach ze statycznym kodem html), a działalność włamywacza koncentrowała się na podmianie pliku .htaccess i dorzuceniu do legalnej treści linków do bliżej niezidentyfikowanego złośliwego oprogramowania. W przypadku interwencji właściciela i usunięcia zainfekowanego pliku, ponowna infekcja następowała w ciągu kilku minut. Informacje użytkowników wskazują, że do takich wydarzeń dochodziło już przed ogłoszeniem zmiany haseł. Niektórzy informują, że padli ofiarą podobnej infekcji nawet 2 miesiące wcześniej. Poniżej przykładowy wpis, który pojawiał się na początku pliku .htaccess:
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*(msn|live|altavista|excite|ask|aol|google|mail|bing|yahoo).*$ [NC] RewriteRule .* hxxp://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 [R,L]
Wg informacji pochodzących z serwisu sucuri.net, podobne włamania zdarzają się szczególnie w przypadku dużych serwisów hostingowych i w przeszłości dotykały również GoDaddy czy BlueHost.
Hasła przechowywane w jawnej formie?
W komentarzach można także wyczytać, że prawdopodobnie DreamHost przechowywał domyślnie hasła do FTP i SSH otwartym tekstem, by łatwiej było je odzyskać użytkownikom (. W panelu użytkownika można wyświetlić hasła do baz danych, a w trakcie zmiany hasła FTP/SSH, już po dokonaniu zmiany, strona wyświetla treść nowego hasła. Istniała równiez możliwość samodzielnej zmiany hasła przez polecenie „passwd”, wtedy hasło było przechowywane przez serwis już w formie hasha (wypowiedź pracownika DreamHost sprzed 2 lat potwierdzająca przechowywanie haseł w formie jawnej lub odwracalnego szyfrowania).
Aktualizacja
Pojawiło się oświadczenie prezesa DreamHost. Kluczowe punkty to:
- włamywacz uzyskał dostęp do bazy wykorzystując nieznany wcześniej exploit
- IDS wykrył włamanie i powiadomił zespół bezpieczeństwa, który zaczął ratować sytuację
- włamywacz nie uzyskał dostępu do haseł do panelu administracyjnego ani do kont email
- co prawda firma hashowała wszystkie hasła, ale włamywacz znalazł starą tablicę w bazie danych, która przechowywała archiwalne hasła w jawnej postaci
Jak donosi ZDNet włamanie nastąpiło w listopadzie zeszłego roku poprzez kod umożliwiający instalację WordPressa/Drupala za pomocą jednego kliknięcia.
Swojego WordPressa trzymanego na serwerach DreamHost (i dowolną inną stronę na dowolnym innym hostingu) możecie za darmo przeskanować pod kątem infekcji złośliwym oprogramowaniem).
Komentarz