转载

知名操作系统Ubuntu Linux的网络论坛被黑客入侵

　　Canonical 公司证实，其知名的 GNU/Linux 发行套件 Ubuntu，其网络论坛在 15 日被黑客入侵，好在使用者密码并未外泄。

　　时间发生在 UTC 时间 2016 年 7 月 14 日 20:33，Ubuntu 论坛的管理者之一通报 Canonical 公司有人宣称取得论坛数据库的副本。

　　经过一些初步的调查，Canonical 公司确认论坛的数据库确实被暴露在外，于是紧急关闭论坛。进行更深入的调查以后，发现论坛有一个外挂模组未经修补，其名叫做 Forumrunner，确定有被 SQL 资料隐码攻击的漏洞（原文是 SQL injection，指得是在 SQL 指令的输入字串中再夹带其他的 SQL 指令，而夹带的是恶意指令）。

　　攻击者可以取得的

　　Canonical 公司认为攻击者有办法读取数据库上的任何表格，但是 Canonical 公司相信攻击者只读了“user”的表格，意思是攻击者只有拿到数据库读取的权限，没有取得更高的权限，所以无法写入资料，也无法恶意窜改服务器上的软件。然而攻击者仍然可以读取、下载高达两亿用户的名字、电子邮件地址和 IP 位址。好在密码无法取得，因为存放在那边的密码都是一堆随机乱数的字串，因为它们是墋了盐的杂凑成果。

　　攻击者无法取得的

　　Canonical 公司认为：

　　攻击者无法取得任何 Ubuntu 套件管理库以及其更新机制的控制；无法获得有效的用户密码；无法对论坛的数据库服务器升高之前的远端 SQL 读取；无法获得对论坛的数据库的远程 SQL 写入权；无法从任何的论坛程序或数据库服务器取得 shell 的使用权力（注：GNU/Linux 操作系统的控制后台）。攻击者没有取得任何该论坛前端服务器的控制权，无法取得任何其他 Canonical 或 Ubuntu 服务的控制。

　　善后处置

　　为了修复这个状况，Canonical 公司做了以下的程序：

　　清理：该公司备份了运行 vBulletin 的服务器，然后彻底的抹除，再从头开始，重建了论坛伺服程序，然后把 vBulletin 更新到最新的补丁修补，也重置了所有系统和数据库的密码。

　　强化：安装了一个 Web 应用防火墙──ModSecurity，以防止今后再发生类似的攻击，此外也改善了对上游 vBulletin 开发团队发安全修正的讯息监测，以确保安全修正的补丁能及时施行，来杜绝有大的空窗期，让黑客得以再次乘虚入侵论坛。

　　如需获取更多资讯，请关注微信公众账号：Technews 科技新报