computerwoche.de

Archiv

Nach dem Angriff auf das Sourceforge-Portal

Hacker attackieren Apache-Server

08.06.2001
MÜNCHEN (CW) - Ein Server des Open-Source-Projekts Apache ist von Hackern angegriffen worden. Vorausgegangen war eine Attacke auf das Open-Source-Portal "Sourceforge", die es den Angreifern ermöglichte, Passwörter abzugreifen.

In einer Stellungnahme erklärte Brian Behlendorf, President der Apache Software Foundation (ASF), wie sich der Hacker-Angriff abspielte. Die ASF zeichnet verantwortlich für die Entwicklung des Open-Source-Web-Servers.

Laut dem Bericht loggte sich ein Apache-Entwickler über einen Sourceforge-Zugang remote in einen Shell-Account auf einem Apache-Server ein. Über eine Sicherheitslücke in einer älteren Version des Shell-Servers "Secure Socket Shell" (Open SSH 2.2) gelang es dem Angreifer, Root-Rechte zu erlangen. Dies erlaubte es ihm, den ursprünglich installierten SSH-Client gegen eine Version auszutauschen, die Login-Namen und Passwörter abgreifen und weiterleiten sollte. Der Hacker installierte zudem einige Trojanische Pferde. Auf dem Server lagert die ASF unter anderem Mailing-Listen und verschiedene Web-Dienste, aber auch die Quellcodes und Binärcodes der ASF-Software.

Während einer automatischen nächtlichen Sicherheitsprüfung wurde der Angriff entdeckt und der Shell-Server abgeschaltet. Nach einer umfassenden Prüfung spielten Apache-Mitarbeiter das Betriebssystem neu auf und nahmen den SSH-Server wieder in Betrieb. Die auf dem Apache-Rechner gespeicherten Binär- und Quellcodes der Apache-Software wurden mit Kopien auf weltweit verteilten Spiegel-Servern abgeglichen.

Die Überprüfung ergab Behlendorf zufolge, dass die Programmdaten nicht manipuliert wurden. Dies gelte ausdrücklich auch für den Web-Server Apache, laut Erhebung von Marktforschern weltweit am häufigsten im Einsatz.

Möglich wurde die Attacke auf den Apache-Server durch einen vorangegangenen Angriff auf das Open-Source-Portal Sourceforge. Ein Mitarbeiter von Sourceforge hatte sich bei einem externen Internet-Service-Provider (ISP) eingeloggt - nicht ahnend, dass dessen Maschinen bereits von den Hackern übernommen worden waren. Beim anschließenden Remote-Login griffen die Angreifer das Sourceforge-Passwort des Angestellten ab. Damit war der Weg zum zugehörigen Account auf dem Apache-Server frei.

Auch bei Sourceforge hielt sich der Schaden allerdings in Grenzen, weil die Attacke schnell bemerkt und die Maschine abgeschaltet wurde. "Wir mussten das System neu aufsetzen und dann die Logfiles aller Benutzer durchsehen", erläuterte Site-Director Pat McGovern. Anhand dieser Daten habe man die zuletzt aktiven Nutzer per E-Mail verständigt, dass ihre Accounts möglicherweise in falsche Hände geraten seien.

Behlendorf erklärte, man werde den Fall gemeinsam mit anderen Betroffenen untersuchen und einen ausführlichen Bericht veröffentlichen.