中科大USTC Mirrors的軟件倉庫受到不明攻擊
責編:mhshi |2015-06-05 13:40:406月1日以來,中國科學技術大學Linux用戶組維護的 USTC Mirror 收到持續的不明攻擊,導致包括mirrors在內的 lug,? blog, gitlab, vpn 等子站權限崩潰。 6月3日,維護者李博杰在其人人上發表聲明稱(原文地址:http://www.renren.com/350643946/profile) ,Mirrors 下的軟件倉庫可能受到不明篡改:
被入侵以來,科大 mirrors 上的某些軟件源的文件被篡改。Debian、Ubuntu、CentOS 等主流源的軟件包都有校驗,checksum不對會拒絕安裝。下載ISO之后,請養成檢查 SHA1SUM 的習慣。我們正在對所有ISO全部重新同步。在同步完成之前,建議您使用其他軟件源。如果您5月31日以來從科大mirrors上下載了 ISO、EXE等文件且沒有檢查checksum,請密切關注潛在的安全隱患。
隨后他表示,這次攻擊更可能出于惡作劇性質,因為篡改方式相對簡單:
關于科大 mirrors 開源軟件鏡像被篡改的問題,在此特別說明,目前沒有發現惡意代碼植入的行為,所有篡改都是惡作劇性質的隨機修改一個字節。主流發行版都有 checksum 驗證,下載到被篡改的軟件包是無法安裝的,因此 apt-get/yum install 是安全的。似乎只有外部磁盤陣列上的源被篡改了,Debian、Ubuntu 等幾個大源是正常的。mirrors 共有上百個軟件源和 30T 數據,我們會采用 SHA1SUM 校驗或全部重新同步的方式確保數據的完整性。
6月4日,攻擊方式已經基本明確,是運維客戶端安全導致的問題:
自31日以來,LUG活動室的燈12點前就沒關過,前天晚上幾位技術骨干更是徹夜奮戰。我們未能抓出惡意內核模塊的真身,也就無從推斷服務器里除了隨機篡改磁盤以外還被做了什么破壞,以及現在未被徹底重裝的服務器里是否仍然藏有惡意代碼。不過整個入侵的脈絡算是理清了,基本上是利用瀏覽器 0day(不知道是什么)實現沙盒逃逸,篡改本地的 Cygwin1.DLL 植入木馬,竊取 ssh 密碼密鑰。并非之前猜測的利用服務器 0day 遠程打進服務器。
USTC Mirror上托管了包括Debian、Arch、Rpm系在內共90多個軟件項目的軟件鏡像,其中不少源屬于官方認證倉庫。