rssLink RSS dla wszystkich kategorii
 
icon_orange
icon_red
icon_red
icon_blue
icon_blue
icon_blue
icon_green
icon_red
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_blue
icon_red
icon_blue
icon_orange
icon_red
icon_blue
icon_blue
icon_blue
icon_blue
icon_green
icon_blue
icon_blue
 

FS#28238 — b10/stary serwer forum

Przydzielony do projektu— Manager
Nagła usterka
dowolne
ZAMKNIĘTE
100%
22.02.2017 23:51

Dobry wieczór,

W poniedziałek 20 lutego zespół SOC otrzymał alerty sygnalizujące próby logowania do naszych wewnętrznych systemów z poziomu starego serwera, który obsługiwał stare forum OVH. Serwer ten został odizolowany i wyłączony z produkcji w kwietniu 2015 roku po włamaniu na forum. Normalnie serwer ten powinien być wyłączony od tametgo czasu, ale pozostał włączony. Dokonaliśmy analizy serwera i znaleźliśmy ślady szkodliwej działalności. Haker zalogował się na ten serwer i mógł uzyskać dostęp do starej bazy danych użytkowników forum, które zostało zhakowane w 2015 roku (Problem, o którym poinformowaliśmy użytkowników forum oraz CNIL: https://forum.ovh.com/showthread.php/104744-La-securit%C3%A9-de-forum-ovh-com-A-LIRE-!!!).

Jak haker mógł uzyskać dostęp do starego serwera forum? Sięga to 17 lutego - 3 dni przed pojawieniem się alertów. W tym dniu haker zalogował się na serwer używając dostępu z poziomu starego serwera granicznego (b10), który od 2-3 lat nie działał w produkcji. Serwer b10 został wyłączony z produkcji, a wszystkie wrażliwe elementy zostały usunięte. 2-3 lata temu, po wykonaniu migracji i odbudowie naszych wewnętrznych zabezpieczeń, serwer b10 został wycofany i powinien zostać odłączony.

Ostatnie 72 godziny spędziliśmy na analizowaniu logów, żeby zrozumieć, co zrobił haker i co mógł zrobić. Haker zdobył dostęp do serwera b10 3 tygodnie temu. Wykonał on wiele prób połączenia się z poziomu b10, ale nieskutecznie. Po 3 tygodniach udało mu się uzyskać dostęp do starego serwera forum. Uważamy, że mógł on złamać hasło na b10 (przypadkowo pozostawione w /etc/shadow) i że to samo hasło mogło zadziałać na starym serwerze forum. Od kilku lat nie używamy haseł, ale najwidoczniej te 2 serwery nie zostały poprawnie wyczyszczone.

Poza tymi 2 starymi serwerami nie wykryliśmy żadnego innego dostępu hakera. Nie wykryliśmy żadnego dostępu do danych wrażliwych. Nie wyciekła żadna wewnętrzna baza danych. Nie musicie zmieniać haseł, krórych używacie w OVH. Nie musicie również reinstalować usług. Żadne zabezpieczenie nie zostało zhakowane. Żaden lucz prywatny nie został skradziony.

Kontynuujemy analizy każdej wewnętrznej strefy. Nawet jeśli haker nie mógł mieć dostępu do danych wrażliwych, bardzo poważnie traktujemy ten problem. Ze względów bezpieczeństwa sprawdzimy wszystkie infrastruktury wewnętrzne i wyłączymy wszystkie serwery, które powinny być wyłączone. Operacje, które powinny zostać wykonane rok temu. Jest to zaniedbanie z naszej strony. Powinniśmy wyłączyć te 2 serwery dawno temu.

Bezpieczeństwo jest podstawowym aspektem naszej działalności. Jest podstawą waszego zaufania. Jeśli nie osiągamy oczekiwanego poziomu (nawet jeśli chodzi o wydarzenie, które nie ma bezpośredniego wpływu na klientów) musimy być jak najbardziej transparentni wobec klientów. Stąd ten wpis.

Pozdrawiam,
Octave
Data:  czwartek, 04 maj 2017, 09:27
Powód zamknięcia:  Done