Gentoo公开说明GitHub帐号被黑事件原委,原来是管理员密码被猜到惹的祸

由于黑客把所有开发人员从GitHub的Gentoo专案中移除,使得大家都收到了通知电子邮件,才让这个攻击提早曝光,Gentoo Linux官方紧急联络GitHub冻结该帐户,才没有让损害扩大。

Gentoo Linux官方发文说明了GitHub帐号被黑事件。6月28日黑客取得Gentoo Linux在GitHub上的管理员帐户控制权,在删除其他Gentoo开发人员的存取权限后,对上面的程式码内容大改特改,Gentoo在察觉到事件发生后,紧急要求GitHub支援,并且暂时冻结Gentoo的GitHub帐号,官方夺回帐号控制权后,才得以修正被恶意程式码污染的内容。

在6月28日晚上,Gentoo开发者Francisco Blas Izquierdo Riera发出警告,他注意到官方的GitHub帐号遭到控制,Gentoo在GitHub上的套件管理系统Portage以及musl-dev trees被以恶意版本的ebuild置换,且黑客试图移除开发人员贡献的内容。而他提到,虽然黑客置换了恶意程式码,却无法达成想要的目的,但是Gentoo使用者仍不应该使用在6月28日以前GitHub镜像上的ebuild。

Gentoo Linux由于受惠其套件管理系统Portage的弹性,被形容为拥有几乎无限制的适应性,而且跟许多GNU/Linux不一样,Gentoo Linux释出了大量的程式原始码,让使用者可以重新编译作业系统的每一个部分。ebuild则是Portage的基础,本身是一个纯文字档案,上面记述Portage需要下载的档案、该套件执行的平台以及编译方法等,每一个ebuild都对应一个套件。而GitHub则是Gentoo的其中一个程式码镜像来源。

官方盘点了GitHub帐号遭到黑客入侵受到的影响,最直接的就是有5天Gentoo使用者皆无法使用GitHub,而且合併请求(Pull Request)持续整合失效,只有主节点可以被用来测试问题,而且由于不少Gentoo的代理维护者专案(Proxy Maintainers Project)贡献者都透过GitHub提交合併请求,因此那些专案皆受影响。当时黑客试图远端抹除使用者在不同程式码储存库的内容,但因为有多重保护措施而失败。官方提到,不受影响的使用者在黑客入侵的当下仍然持续进行内容贡献,发生了超过700次的提交。

较严重的影响是,所有过去的合併请求都从原本的提交中断且关闭,Gentoo官方正在与GitHub联繫,确认这些损失可否修复。官方提到,黑客因为有管理员密码所以获得存取权限,而收集来的密码结构证据暗示著,应该是有网站的资讯洩漏,导致其他不相关的网页密码容易被猜到。

入侵事件过后即便官方GitHub服务重新上线,还是有一些问题存在,他们提到,由于这是第一次发生类似的事件,现在仍缺乏明确的指导方针,在第一时间告诉使用者如何验证他们的程式码是否受到污染,另外,他们也没有Gentoo GitHub组织的细节备份,而且systemd repo不是Gentoo的镜像内容,而是直接存储在GitHub上的。他们发现,GitHub无法透过git阻止存取储存库,导致事件发生时,恶意提交的内容会一直被外部存取。

最后官方也还是提醒使用者,在事件发生期间,从GitHub複製下来的内容可能皆存在恶意内容,建议重新创建,包括gentoo/gentoo、gentoo/musl与gentoo/systemd。他们也说,好险当时黑客将所有开发人员从专案中删除,导致大家都收到了电子邮件通知,使得他们可以立即做出反应,如果当时黑客安静的攻击,就可能会有更多的时间搞破坏。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180709G0O1O700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券