中科大USTC Mirrors的軟件倉庫受到不明攻擊
責(zé)編:mhshi |2015-06-05 13:40:406月1日以來,中國科學(xué)技術(shù)大學(xué)Linux用戶組維護(hù)的 USTC Mirror 收到持續(xù)的不明攻擊,導(dǎo)致包括mirrors在內(nèi)的 lug,? blog, gitlab, vpn 等子站權(quán)限崩潰。 6月3日,維護(hù)者李博杰在其人人上發(fā)表聲明稱(原文地址:http://www.renren.com/350643946/profile) ,Mirrors 下的軟件倉庫可能受到不明篡改:
被入侵以來,科大 mirrors 上的某些軟件源的文件被篡改。Debian、Ubuntu、CentOS 等主流源的軟件包都有校驗(yàn),checksum不對會拒絕安裝。下載ISO之后,請養(yǎng)成檢查 SHA1SUM 的習(xí)慣。我們正在對所有ISO全部重新同步。在同步完成之前,建議您使用其他軟件源。如果您5月31日以來從科大mirrors上下載了 ISO、EXE等文件且沒有檢查checksum,請密切關(guān)注潛在的安全隱患。
隨后他表示,這次攻擊更可能出于惡作劇性質(zhì),因?yàn)榇鄹姆绞较鄬唵危?/p>
關(guān)于科大 mirrors 開源軟件鏡像被篡改的問題,在此特別說明,目前沒有發(fā)現(xiàn)惡意代碼植入的行為,所有篡改都是惡作劇性質(zhì)的隨機(jī)修改一個(gè)字節(jié)。主流發(fā)行版都有 checksum 驗(yàn)證,下載到被篡改的軟件包是無法安裝的,因此 apt-get/yum install 是安全的。似乎只有外部磁盤陣列上的源被篡改了,Debian、Ubuntu 等幾個(gè)大源是正常的。mirrors 共有上百個(gè)軟件源和 30T 數(shù)據(jù),我們會采用 SHA1SUM 校驗(yàn)或全部重新同步的方式確保數(shù)據(jù)的完整性。
6月4日,攻擊方式已經(jīng)基本明確,是運(yùn)維客戶端安全導(dǎo)致的問題:
自31日以來,LUG活動室的燈12點(diǎn)前就沒關(guān)過,前天晚上幾位技術(shù)骨干更是徹夜奮戰(zhàn)。我們未能抓出惡意內(nèi)核模塊的真身,也就無從推斷服務(wù)器里除了隨機(jī)篡改磁盤以外還被做了什么破壞,以及現(xiàn)在未被徹底重裝的服務(wù)器里是否仍然藏有惡意代碼。不過整個(gè)入侵的脈絡(luò)算是理清了,基本上是利用瀏覽器 0day(不知道是什么)實(shí)現(xiàn)沙盒逃逸,篡改本地的 Cygwin1.DLL 植入木馬,竊取 ssh 密碼密鑰。并非之前猜測的利用服務(wù)器 0day 遠(yuǎn)程打進(jìn)服務(wù)器。
USTC Mirror上托管了包括Debian、Arch、Rpm系在內(nèi)共90多個(gè)軟件項(xiàng)目的軟件鏡像,其中不少源屬于官方認(rèn)證倉庫。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧