中科大USTC Mirrors的软件仓库受到不明攻击

6月1日以来,中国科学技术大学Linux用户组维护的 USTC Mirror 收到持续的不明攻击,导致包括mirrors在内的 lug,  blog, gitlab, vpn 等子站权限崩溃。 6月3日,维护者李博杰在其人人上发表声明称(原文地址:http://www.renren.com/350643946/profile) ,Mirrors 下的软件仓库可能受到不明篡改:

10

被入侵以来,科大 mirrors 上的某些软件源的文件被篡改。Debian、Ubuntu、CentOS 等主流源的软件包都有校验,checksum不对会拒绝安装。下载ISO之后,请养成检查 SHA1SUM 的习惯。我们正在对所有ISO全部重新同步。在同步完成之前,建议您使用其他软件源。如果您5月31日以来从科大mirrors上下载了 ISO、EXE等文件且没有检查checksum,请密切关注潜在的安全隐患。

随后他表示,这次攻击更可能出于恶作剧性质,因为篡改方式相对简单:

关于科大 mirrors 开源软件镜像被篡改的问题,在此特别说明,目前没有发现恶意代码植入的行为,所有篡改都是恶作剧性质的随机修改一个字节。主流发行版都有 checksum 验证,下载到被篡改的软件包是无法安装的,因此 apt-get/yum install 是安全的。似乎只有外部磁盘阵列上的源被篡改了,Debian、Ubuntu 等几个大源是正常的。mirrors 共有上百个软件源和 30T 数据,我们会采用 SHA1SUM 校验或全部重新同步的方式确保数据的完整性。

6月4日,攻击方式已经基本明确,是运维客户端安全导致的问题:

自31日以来,LUG活动室的灯12点前就没关过,前天晚上几位技术骨干更是彻夜奋战。我们未能抓出恶意内核模块的真身,也就无从推断服务器里除了随机篡改磁盘以外还被做了什么破坏,以及现在未被彻底重装的服务器里是否仍然藏有恶意代码。不过整个入侵的脉络算是理清了,基本上是利用浏览器 0day(不知道是什么)实现沙盒逃逸,篡改本地的 Cygwin1.DLL 植入木马,窃取 ssh 密码密钥。并非之前猜测的利用服务器 0day 远程打进服务器。

USTC Mirror上托管了包括Debian、Arch、Rpm系在内共90多个软件项目的软件镜像,其中不少源属于官方认证仓库。

上一篇:美国人事管理局遭遇大规模网络攻击

下一篇:免费WiFi、充电宝可能窃取用户信息