openSUSE 论坛 - 恢复在线

正如我们上周报道的那样，我们的公共论坛遭到入侵并被篡改。密码是安全的，但黑客确实设法访问了包含我们论坛帖子以及电子邮件地址的数据库。请继续阅读，了解发生了什么，我们采取了哪些措施来防止进一步的损害，以及我们将来将要做什么。

vBulletin 被黑

openSUSE 已经使用了很长时间的 vBullentin 论坛软件。虽然我们并不总是对它感到满意，但这些问题从未促使我们投入（大量的！）时间和精力来迁移到另一个解决方案。

2014年1月7日，我们从 The Hacker News 收到消息，称我们的公共论坛遭到入侵并被篡改，黑客利用了底层 vBulletin 论坛软件（vBulletin 4.2.1）中的一个零日漏洞。一名巴基斯坦黑客声称对此负责。据 The Hacker News 报道，该黑客确认他/她使用私有的 vBulletin 零日漏洞将一个 PHP shell 上传到 openSUSE 论坛服务器，这使得他/她能够在无需 root 权限的情况下浏览、读取或覆盖论坛服务器上的任何文件。

损失？

黑客声称他/她访问了近 80,000 个 openSUSE 论坛用户的密码。然而，openSUSE 使用单点登录系统（NetIQ 的 Access Manager），黑客获得的“密码”是随机字符串。黑客确实访问了论坛数据库，其中也包含我们用户的电子邮件地址。

论坛关闭

正如 Matthew Ehle 告诉 infoworld.com 一样，openSUSE 管理团队认为黑客声称使用了零日漏洞。openSUSE 论坛落后于当前版本的一个补丁，但最新补丁的更改/发布日志表明它无法阻止这次攻击。

由于 vBullentin 中的漏洞没有可用的修复程序，我们关闭了论坛并开始寻找解决方案。[caption id=”attachment_17521” align=”alignright” width=”300”] 论坛已恢复![/caption]

现在怎么办

正如 Matthew 所说，“VBulletin 提供了一些高度实用的软件，这当然也是它如此受欢迎的原因”。但去年夏天，同一攻击者也入侵了 openSUSE vBullentin 软件，Matthew 对 vBullentin 的架构和安全性已经有一段时间的担忧。因此，我们将寻找替代方案。

与此同时，当然，我们将使用最新的补丁更新 vBullentin 软件。但即使是小的补丁也可能导致主题、插件和其他问题，因此这将需要时间。vBulletin v4 仍然受支持，因此没有理由很快迁移到 v5。

保护当前设置

但即使我们不信任某些软件，也有办法保护服务器。自夏季的攻击以来，我们的系统管理员已经锁定了文件系统，并且用于攻击的文件夹现在也已设置为只读。

由于这种锁定，黑客只能在无需 root 权限的情况下读取和覆盖论坛服务器上的某些文件。我们使用了“偏执”的文件权限，这大大限制了他/她在服务器上的访问权限，并且不允许他/她提升权限并控制整个系统。这与最近的一些高调 vBullentin 入侵事件不同，这些事件危及了整个操作系统。

恢复在线

负责我们论坛的 Kim Groneman 评论道：“虽然我们可能永远无法确切知道黑客是如何将脚本文件放入我们系统的，但由于文件系统已锁定，很有可能再次发生这种情况。此外，由于我们使用 Access Manager，黑客从未有任何危险访问用户密码。它们一直并且始终是安全的。”

基于此，团队认为可以放心地将论坛恢复在线。

未来

openSUSE 系统管理员在他们的公共策略中拥有 使用 Apparmor 或 SELinux。这在所有新服务上都已强制执行，但旧服务（包括论坛）尚未全部更新。显然，优先级已经重新调整。

但从长远来看，规避专有软件的安全问题不是理想的解决方案。因此，团队正在研究其他解决方案。bbPress 和 PHPbb 位于列表顶部，并且具有使用这些解决方案（尤其是从 vBullentin 迁移）经验的人将受到热烈欢迎。另一项需要的工作是将 NNTP 网关脚本迁移到任何新的解决方案 - PHP 开发人员可以提供很大的帮助。团队正在制定一份必需的功能列表（和不错的功能），可以向此列表提出其他解决方案的建议。