Web

Auch Apache von Crackern angegriffen

31.05.2001

MÜNCHEN (COMPUTERWOCHE) - Nachdem wir bereits gestern von einer Attacke auf das Open-Source-Portal Sourceforge berichtet hatten, sind neue Details bekannt geworden: Auch die Apache Software Foundation (ASF), die für die Entwicklung des gleichnamigen HTTP-Servers verantwortlich ist, gehört zu den Opfern des Angriffs, der bereits am 17. Mai geschah.

Der Hergang lässt sich inzwischen wie folgt rekonstruieren: Ein Apache-Entwickler mit Sourceforge-Account loggte sich dort in einen Shell-Zugang ein und griff von dort aus remote auf seinen Account bei Apache zu (nicht unbedingt clever). Der "ssh"-Client bei Sourceforge war zu diesem Zeitpunkt gegen einen Trojaner ausgetauscht worden, der ausgehende Benutzernamen und Passwörter protokollierte und an die Cracker weitergab. Diese konnten daraufhin einen Shell-Zugang zu Apache etablieren und verschafften sich über eine Sicherheitslücke in der dort installierten, veralteten ssh-Version (Open SSH 2.2) "root"-Zugang und spielten auch auf dem Apache-Server verschiedene Trojaner ein, um an weitere Logins und Passwörter zu gelangen.

Die Attacke wurde relativ schnell entdeckt, das System abgeschaltet und mit aktuellen Patches neu aufgesetzt. Durch einen Abgleich mit verschiedenen weltweiten Mirror-Servern ließ sich rasch feststellen, dass Quellcode und Binaries der Apache-Distribution nicht manipuliert wurden - dank der offenen Quellen kein Problem.

Die ASF erklärte, sie untersuche den Vorfall gemeinsam mit den anderen Betroffenen - insbesondere Sourceforge und auch php.net. Ein ausführlicher Bericht soll nach Abschluss der Ermittlungen veröffentlicht werden.