Сайт wiki.debian.org подвергся взлому
Администраторы сервера, на котором размещён Wiki проекта Debian, сообщили о выявлении в логе следов успешной эксплуатации уязвимости, в конце декабря исправленной в wiki-движке MoinMoin. Уязвимость позволяла злоумышленникам выполнить свой код на сервере, обслуживающем Wiki, Тем не менее прямых фактов, свидетельствующих о проникновении в систему и дальнейшем повышении своих прав через эксплуатацию иных уязвимостей, не зафиксировано (выявлены только следы атаки в логе apache).
В связи с инцидентом, wiki-сайт проекта был перенесён на новый сервер (данные перенесены на заново установленный движок). В качестве дополнительной меры безопасности все пароли пользователей Wiki были сброшены и инициирован процесс смены паролей. Старый сервер в настоящее время изучается на предмет возможного негативного влияния атаки на другие сервисы проекта.
Дополнительно можно отметить, что сайты wiki.ubuntu.com, wiki.freebsd.org, wiki.x.org, live.gnome.org, wiki.winehq.com, wiki.centos.org, gcc.gnu.org/wiki, freedesktop.org/wiki, wiki.linuxfoundation.org и wiki.apache.org также построены на движке MoinMoin. Судя по выдаваемой сервером информации, в текущий момент на wiki.freebsd.org, freedesktop.org/wiki и wiki.x.org используется версия MoinMoin 1.9.3, на wiki.ubuntu.com - 1.9.2, в то время как уязвимости подвержены версии с 1.9.0 до 1.9.5 включительно.
Ну, чтобы не создавать отдельной темы, отчёт с результатами аудита взлома wiki.debian.org
Спустя несколько дней после объявления о взломе сервиса wiki.debian.org представлен более детальный отчёт с результатами проведённого аудита. Судя по отчёту, злоумышленники не смогли получить расширенные привилегии на сервере и ограничились изучением системы под пользователем wiki. Тем не менее, атакующие получили доступ к базе с email-адресами и хэшами паролей пользователей wiki. Так как имеются явные следы выгрузки базы всем пользователям wiki.debian.org, применяющим один пароль для нескольких сервисов, рекомендуется срочно поменять идентичный с wiki-аккаунтом пароль в других системах. Для скрытия следов действия атакующих выполнялись через сеть Tor, для изучения системы был загружен бэкдор с реализацией web-shell.