The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)

12.05.2019 10:22

Сообщается о волне атак, направленных на шифрование Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. Атакующие очищают репозиторий и оставляют сообщение с просьбой отправить 0.1 BTC (примерно $700) для восстановления данных из резервной копии (на деле лишь портятся заголовки коммитов и информация может быть восстановлена). На GitHub подобным образом уже пострадал 371 репозиторий.

Некоторые жертвы атаки признаются, что использовали ненадёжные пароли или забыли удалить токены доступа из старых приложений. Некоторые считают (пока это лишь домыслы и гипотеза ещё не подтверждена), что причиной утечки учётных данных стала компрометация приложения SourceTree, предоставляющего GUI для работы с Git из macOS и Windows. В марте в SourceTree было выявлено несколько критических уязвимостей, позволяющих удалённо организовать выполнение кода при обращении к подконтрольным злоумышленнику репозиториям.

Для восстановления репозитория после атаки достаточно выполнить "git checkout origin/master", после чего узнать через "git reflog" хэш SHA своего последнего коммита и сбросить изменения атакующих командой "git reset {SHA}". При наличии локальной копии проблема решается выполнением "git push origin HEAD:master --force".

Дополнение: GitHub, GitLab и Bitbucket опубликовали совместный отчёт с анализом инцидента. Основной причиной захвата репозиториев стало включение пользователями в публичные репозитории или размещение на web-серверах конфигурационных файлов ".git/config", содержащих ключи доступа или параметры аутентификации в сервисах.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом
  3. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  4. OpenNews: В BitTorrent-клиенте Transmission 2.90 выявлено вредоносное ПО для OS X (дополнено)
  5. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  6. OpenNews: В сети обнаружен эксплоит, поражающий неисправленную уязвимость в Java 7
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50671-git
Ключевые слова: git, ransomware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (75) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:58, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ленивые, забывчивые и просто дураки должны страдать. Всё правильно.
     
     
  • 2.4, A.Stahl (ok), 12:08, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +19 +/
    То есть по твоему мнению страдать должны все, поскольку жизнь не ленящихся, ничего не забывающих и постоянно учащихся иначе как страданием и не назовёшь.
     
     
  • 3.5, Аноним (5), 12:30, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поздравляю, Вы познали суть (оригинального) буддизма.

    Полиморфизм, инкапсуляция, наследование: http://dharma.org.ru/board/post52068.html#52068
    реконструкция системы Е. П. Островской и В. И. Рудого. Части 1, 2, 4, 5, дальше сами.

     
  • 3.8, хотел спросить (?), 12:52, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Как говаривал один интересный персонаж, специалист по истории (попробую увековечить - Эсмантович Игорь Феофилович) - "обучение - это всегда насилие над человеком".

    И он чертовски прав.

     
     
  • 4.9, Аноним (9), 13:07, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    нет
     
  • 4.20, Васян (?), 15:36, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Два чая цьому пану.
     
  • 4.28, omomg (?), 19:59, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а самообучение - это всегда профит! (:^_^)
     
  • 3.13, Аноним (13), 13:50, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ты получаешь ровно то на сколько ты не ленился, не забывал и научился. Закон сохранения в действии.
     
     
  • 4.16, A.Stahl (ok), 14:07, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На какой вопрос это ты сейчас ответил? Или какое утверждение прокомментировал? К чему это ты?
     
  • 3.23, HyC (?), 17:01, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > То есть по твоему мнению страдать должны все, поскольку жизнь не ленящихся, ничего не забывающих и постоянно учащихся иначе как страданием и не назовёшь.

    Жизнь - боль.

     
     
  • 4.57, Урри (?), 13:26, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неудачник.
     
  • 3.27, Анонименок (?), 19:15, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я бы сказал, это такая жизнь скорее счастье, но его (счастья) не существует. А как бы хотелось никогда не лениться, ничего не забывать и постоянно учиться!!!
     
  • 3.30, АнОним (?), 20:26, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, а жизнь ленивых идиотов сплошная радость.
     
  • 3.73, Аноним (73), 04:17, 15/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > постоянно учащихся иначе как страданием и не назовёшь

    может быть с позиции никчёмного быдла так и есть

     
  • 2.12, rshadow (ok), 13:37, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Текущие методы давно себя изжили. Вот о чем эта ситуация. Сайтов и приложений все больше, а методы не меняются. Давно пора убрать ввод пароля вообще. Хотите залогиниться под своим аккаунтом, да или нет. И еще выбрать разрешения к какой информации есть доступ. Даже API какие то уже напилены на это, надо просто форсить, и желательно под флагом свободы, а не гугловские варианты.
     
     
  • 3.15, Аноним (15), 14:01, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ага, даешь аутентификацию через госуслуги на всё!
     
     
  • 4.17, Клыкастый (ok), 14:30, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    кто первый встанет, того и тапки. госуслуги не такой плохой вариант.
     
     
  • 5.21, Аноним (-), 16:11, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это уничтожит псевдонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в интернете и сделали его таким какой он есть. Впрочем, стараниями социалочек и "приватных" мессенджеров с регистрацией по номеру телефона всё это и так стремительно уничтожается.
     
     
  • 6.36, Клыкастый (ok), 00:29, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это уничтожит псевдонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в интернете и сделали его таким какой он есть.

    Многие вещи, которые мы знали одними, стали другими. Подошла очередь интернета - только и всего.

    > Впрочем, стараниями социалочек и "приватных" мессенджеров с регистрацией по номеру телефона всё это и так стремительно уничтожается.

    Ну вот видишь, ты лично прекрасно понимаешь этот момент, возможно поймёшь и то, что я имею в виду.


     
  • 6.46, forum reader (?), 08:42, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >которые всегда были неотъемлемой характеристикой

    Выброси компьютер, откажись от книг, телевизора, радио, телефона, электричества, механического транспорта.  Паши землю лошадьми и ходи пешком в церковь.

     
     
  • 7.49, Я (??), 11:16, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К чему ты это- непонятно
     
     
  • 8.52, forum reader (?), 12:18, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мир вокруг нас развивается и _МЕНЯЕТСЯ_ Если кто то хочет вернутся в прошлое,... большой текст свёрнут, показать
     
     
  • 9.60, Аноним (-), 14:14, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Принудительная идентификация пользователей в интернете не имеет никакого отношен... большой текст свёрнут, показать
     
     
  • 10.63, forum reader (?), 22:09, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отличные примеры Их объединяет то что ты ставишь телегу впереди лошади Внач... большой текст свёрнут, показать
     
  • 7.58, пох (?), 14:07, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    телевизоры, электричество и механический транспорт не являются продуктами цивилизации вшитого под кожу id (на самом деле сама кожа - id, и вшивать ничего не надо).

    Я вообще не могу придумать никаких уникальных продуктов, произведенных именно цивилизацией тотального контроля - кроме, разумеется, полицейского назначения.

    Без гуглозондов, пейсбучека и мэйлрушечки лично я вполне в состоянии прожить, не пересаживаясь на телегу. Любителям домов со стеклянными стенами немного затруднительно со мной общаться? Ну так они должны же ж страдать?!

     
     
  • 8.62, forum reader (?), 21:39, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что цивилизация тотального контроля , пока еще, утопия Мир Мечты Плод ... текст свёрнут, показать
     
     
  • 9.65, пох (?), 07:18, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    с чего ты взял Она еще не достигла апогея - только и исключительно благодаря _м... большой текст свёрнут, показать
     
     
  • 10.67, forum reader (?), 09:15, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С того, что для цивилизации ПОКА ЕЩЕ недостаточно ресурсов для тотального контро... большой текст свёрнут, показать
     
     
  • 11.68, пох (?), 09:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да ну нах Недостаточно пока именно сдвига окна - а ресурсы найдутся - например ... большой текст свёрнут, показать
     
     
  • 12.74, forum reader (?), 07:59, 15/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что делать проживающим в других странах А, я понял им не нужно, у них там си... текст свёрнут, показать
     
     
  • 13.75, пох (?), 15:57, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    смотря в какой стране - в Эфиопии, например - расслабиться, все за них уже сдела... текст свёрнут, показать
     
     
  • 14.76, forum reader (?), 18:32, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто интересно, что должен натворить школьник, чтобы за ним приезжала облава н... текст свёрнут, показать
     
     
  • 15.77, пох (?), 21:31, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну вот, а я думал - со взрослым разговариваю Милый школьник, натворить для этог... текст свёрнут, показать
     
     
  • 16.78, forum reader (?), 23:42, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Цивилизации тотального контроля нет нужды посылать за тобой джипы с пулеметами, ... текст свёрнут, показать
     
     
  • 17.79, пох (?), 10:10, 17/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так эфиопы вот тоже думали что у них тотальный контроль И королю все-все о заго... текст свёрнут, показать
     
  • 4.24, Имя (?), 17:49, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не путай личный аккаунт с аккаунтом физлица.
     
  • 3.19, тоже Аноним (ok), 15:15, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давно уже есть хранилище некритичных аккаунтов - OAuth.
    Правда, не все сайты им пользуются и может иметься побочка в виде привязанного аккаунта соцсети...
     
  • 2.33, Аноним (33), 22:45, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблема в том что страдать будут все остальные не забывчивые, не ленивые и не дураки от того что мелкомягкие в реакционном порядке встроят какую-нибудь "защиту" репозиториев от шифровальщиков для того чтобы защитить ленивых и забывчивых дегенератов которые юзают дырявое GUI-поделие.
     
     
  • 3.39, Аноним (39), 03:43, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    проблема? Да перестаньте юзать гитхаб, делов то. Будет понятно, что пользователи не терпят "реакционных" нововведений - ни мс ни кто-то другой не пойдут на это. Терпилы мля
     
     
  • 4.50, Я (??), 11:17, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они примут это как прогресс. Быть терпилой- это психическое.
     
  • 2.51, Дыщь (?), 11:36, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они никому ничего не должны
     

  • 1.2, Аноним (2), 11:10, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Только зануды делают резервные копии: настоящие мужчины просто закачивают все важное на ftp, позволяя остальным отзеркалировать это.

    Линус Торвальдс

     
  • 1.6, Аноним (6), 12:35, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    У кого-то нет локальных копий своих git-репозитариев? 🤔
     
     
  • 2.11, Ботан (?), 13:26, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    у меня на github уже несколько тб музыки книг, видосиков и прочих реп лежит, зачем все это зеркалить, если github lfs это и есть архивное облако? что за глупые вопросы
     
     
  • 3.32, Васян (?), 21:36, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хранишь музыку в git repository? Ho почему?
     
     
  • 4.35, Аноним (35), 23:59, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Потому что я могу."
     
     
  • 5.37, Аноним84701 (ok), 02:10, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "Потому что я могу."

    А в противогазе, да стоя в гамаке -- слабо?

     
     
  • 6.40, Аноним (39), 03:45, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в противогазе нах надо, гипоксия не нужна. А гамаки и другие приспособы очень даже ничего
     
     
  • 7.64, Аноним84701 (ok), 22:10, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в противогазе нах надо, гипоксия не нужна.

    У вас какие-то неправильные противогазы ;)
    Обычно там проблема наоборот -- из-за сопротивления на вдохе возникает ощущение нехватки кислорода, что приводит (особенно при физ-нагрузках и стрессовых ситуациях, рефлекторно) к излишне частому и глубокому дыханию. Вплоть до головокружения, онемения губ или даже до полуобморочного состояния "нестояния".

     

  • 1.7, Нанобот (ok), 12:38, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    слабо верится, что хоть кто-то заплатит
     
  • 1.14, Аноним (13), 13:52, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Только консоль только хардкор.
     
  • 1.18, user90 (?), 14:39, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Обезьяны, сэр! А уж веб-макаки ли они или другой вид.. какая нафиг разница?
     
  • 1.25, Ананим422356 (?), 17:56, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И кто вообще платит 700 баксов когда можно отменить коммит злоумышленника??
     
     
  • 2.38, Африкан Игуанович (?), 02:34, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тот кто плохо знает гит.
     
     
  • 3.54, Аноним (54), 13:02, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    GUI ... macOS и Windows
     

  • 1.29, Xasd (ok), 20:19, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > после чего узнать через "git reflog" хэш SHA своего последнего коммита

    если нет локальной копии git -- то интересно, откуда возьмётся reflog.

    (а если есть локальная копия git -- то тогда разумеется пофигу что там неделал сервер)

     
     
  • 2.34, Ordu (ok), 23:29, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    git clone

    Правда, как я понимаю происходящее, это работает ровно до тех пор, пока не будет запущен git-gc.

     
     
  • 3.45, Xasd (ok), 07:28, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > git clone

    ахаха :-) :-)

    в этом случае в reflog ровно одна строчка:

    ...(HEAD -> master, origin/master, origin/HEAD) HEAD@{0}: clone: from git@github.com:...

     
     
  • 4.53, Ordu (ok), 12:38, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эмм... Ну тогда, как написано здесь[1], надо каким-нибудь образом выяснить хеш нужного коммита и сделать:

    git fetch origin <hash>

    [1] https://security.stackexchange.com/a/209495

     
     
  • 5.80, Xasd (ok), 18:45, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > надо каким-нибудь образом выяснить хеш нужного коммита

    каким образом?

     
     
  • 6.81, Ordu (ok), 01:40, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> надо каким-нибудь образом выяснить хеш нужного коммита
    > каким образом?

    По сторонним каналам.

     
  • 2.70, KonstantinB (ok), 12:52, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На Гитхабе можно через API.

    Хэш можно увидеть в ответе на repository events:
    https://developer.github.com/v3/activity/events/#list-repository-events

    Даже если все перезаписано форс-пушем, но GC еще не вызывался (github этого обычно сам не делает), можно создать ветку, которая будет указывать на найденный в event-ах коммит:

    https://developer.github.com/v3/git/refs/#create-a-reference

     

  • 1.31, Аноним (31), 21:35, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А все делают git pull -f?
     
     
  • 2.43, Xasd5 (?), 07:22, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мне кажется ни кто не делает..

    вроде бы когда придумали

    --force-with-lease то надобность в -f просто исчезла

     
     
  • 3.44, Xasd5 (?), 07:23, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ой... ты про pull :-)

    ну ладно, прошу прощения

     

  • 1.47, Аноним (47), 10:12, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    удобно же на пк залить и сохранить пак с музыкой, сделать бранч с крутым плейлистом, а на телефоне/радиве просто скачать нужный бранч.
     
     
  • 2.48, Andrey Mitrofanov (?), 10:59, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > удобно же на пк залить и сохранить пак с музыкой, сделать бранч
    > с крутым плейлистом, а на телефоне/радиве просто скачать нужный бранч.

    Микрософта на тебя нет, [I]пейрат!

     

  • 1.55, Аноним (55), 13:17, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > достаточно выполнить "git checkout origin/master", после чего узнать через "git reflog" хэш SHA своего последнего коммита и сбросить изменения атакующих командой "git reset {SHA}". При наличии локальной копии проблема решается выполнением "git push origin HEAD:master --force".

    О, всё в одном посте разом. Зачем тут инструкции из серии how-to? Лучше просто линк на книжку дать, полезней будет.

     
     
  • 2.56, anonymous (??), 13:20, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем усложнять освоение новости (заставляя читать целую книгу), если можно наоборот упростить?
     
  • 2.59, пох (?), 14:11, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    у гогногита есть какие-то _книжки_, а не сборник разрозненных страничек ни о чем?

    (у svn/hg/перфорсы - книжки есть, да. У второго, правда, безнадежно устаревшая.)

     
     
  • 3.61, Аноним (61), 17:58, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Прикинь, да. https://www.amazon.com/s/?field-keywords=git
    Тёзка явно имел в виду эту: https://www.amazon.com/Pro-Git-Scott-Chacon/dp/1484200772/
     
     
  • 4.66, Andrey Mitrofanov (?), 08:10, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Прикинь, да. https://www.amazon.com/s/?field-keywords=git
    > Тёзка явно имел в виду эту: https://www.amazon.com/Pro-Git-Scott-Chacon/dp/1484200772/

    https://git-scm.com/book/  Убей бобра -- спаси дерево
    (Спонсор поста - столярная мастерская "Опилкин")

     
  • 4.72, пох (?), 21:59, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Publisher: Apress; 1st ed. edition (August 27, 2009)
    панятен... видимо, опоздавшим родиться повезло.

     

  • 1.69, qywtfgsaqwzh (ok), 11:39, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я давно отказался от использования компьютера и мобильного телефона. Аналоговое хранение и общение - тру.
     
     
  • 2.71, Аноним (71), 14:20, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А письма шлёшь голубями, не иначе?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру