中科大USTC Mirrors的软件仓库受到不明攻击

中科大USTC Mirrors的软件仓库受到不明攻击

黑客软件访客2021-10-11 23:03:003054A+A-

6月1日以来,中国科学技术大学Linux用户组维护的 USTC Mirror 收到持续的不明攻击,导致包括mirrors在内的 lug,  blog, gitlab, vpn 等子站权限崩溃。 6月3日,维护者李博杰在其人人上发表声明称(原文地址:http://www.renren.com/350643946/profile) ,Mirrors 下的软件仓库可能受到不明篡改:

被入侵以来,科大 mirrors 上的某些软件源的文件被篡改。Debian、Ubuntu、CentOS 等主流源的软件包都有校验,checksum不对会拒绝安装。下载ISO之后,请养成检查 SHA1SUM 的习惯。我们正在对所有ISO全部重新同步。在同步完成之前,建议您使用其他软件源。如果您5月31日以来从科大mirrors上下载了 ISO、EXE等文件且没有检查checksum,请密切关注潜在的安全隐患。

随后他表示,这次攻击更可能出于恶作剧性质,因为篡改方式相对简单:

关于科大 mirrors 开源软件镜像被篡改的问题,在此特别说明,目前没有发现恶意代码植入的行为,所有篡改都是恶作剧性质的随机修改一个字节。主流发行版都有 checksum 验证,下载到被篡改的软件包是无法安装的,因此 apt-get/yum install 是安全的。似乎只有外部磁盘阵列上的源被篡改了,Debian、Ubuntu 等几个大源是正常的。mirrors 共有上百个软件源和 30T 数据,我们会采用 SHA1SUM 校验或全部重新同步的方式确保数据的完整性。

6月4日,攻击方式已经基本明确,是运维客户端安全导致的问题:

自31日以来,LUG活动室的灯12点前就没关过,前天晚上几位技术骨干更是彻夜奋战。我们未能抓出恶意内核模块的真身,也就无从推断服务器里除了随机篡改磁盘以外还被做了什么破坏,以及现在未被彻底重装的服务器里是否仍然藏有恶意代码。不过整个入侵的脉络算是理清了,基本上是利用浏览器 0day(不知道是什么)实现沙盒逃逸,篡改本地的 Cygwin1.DLL 植入木马,窃取 ssh 密码密钥。并非之前猜测的利用服务器 0day 远程打进服务器。

USTC Mirror上托管了包括Debian、Arch、Rpm系在内共90多个软件项目的软件镜像,其中不少源属于官方认证仓库。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 萌懂南殷2022-06-04 00:56:25
  • ssh 密码密钥。并非之前猜测的利用服务器 0day 远程打进服务器。USTC Mirror上托管了包括Debian、Arch、Rpm系在内共90多个软件项目的软件镜像,其中不少源属于官方认证仓库。
  • 鹿岛矫纵2022-06-04 01:21:41
  • 猜测的利用服务器 0day 远程打进服务器。USTC Mirror上托管了包括Debian、Arch、Rpm系在内共90多个软件项目的软件镜像,其中不少源属于官方认证仓库。
  • 礼忱苍阶2022-06-04 01:14:05
  • 个大源是正常的。mirrors 共有上百个软件源和 30T 数据,我们会采用 SHA1SUM 校验或全部重新同步的方式确保数据的完整性。6月4日,攻击方式已经基本明确,是
  • 纵遇嗫嚅2022-06-04 10:44:15
  • 什么破坏,以及现在未被彻底重装的服务器里是否仍然藏有恶意代码。不过整个入侵的脉络算是理清了,基本上是利用浏览器 0day(不知道是什么)实现沙盒逃逸,篡改本地的 Cygwin1.DLL 植入木马,窃取 ssh 密码密钥。并非之前猜测的利用服务器 0day 远

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理