Gentoo在github上的账户名密码被攻击者猜测到账户名密码,获取到Github账户的管理员权限,好在攻击被及时发现,Gentoo和Github的快速行动在大约70分钟内结束了攻击。Gentoo称:收集的证据表明密码方案,在一个网站上披露信息可以很容易地猜出不相关网页的密码,如果组织使用双因素身份验证,则可以保护github免受攻击。

Gentoo Linux发行版的维护人员现在已经揭示了攻击的影响和“根本原因”,这已经不是Gentoo第一次出现问题,上周看到黑客控制了其GitHub帐户并修改了其存储库和页面的内容。Gentoo Linux发行版的开发人员警告用户不要使用其GitHub帐户中的代码,Gentoo向用户保证,该事件不会影响Gentoo官方网站或镜像下载服务器上托管的任何代码,只要用户使用gentoo.org的rsync或webrsync就可以了。这是因为主Gentoo ebuild存储库托管在自己的官方门户上,而Github只是它的镜像。在其网站稍后的更新中,Gentoo开发人员表示已重新获得对Gentoo Github组织的控制权。

Gentoo是一个免费的开源Linux或基于FreeBSD的发行版,使用Portage包管理系统构建,与其他操作系统相比,它使其更灵活,更易于维护和移植。


黑客不仅设法改变受损存储库中的内容,还将Gentoo开发人员排除在github外。

由于这一事件,开发人员无法使用GitHub总共五天。

攻击者仅通过猜测账户密码就获取到管理员权限


Gentoo开发人员透露,攻击者通过猜测帐户密码,获得其Github帐户的管理权限。


如果组织使用双因素身份验证,则可以保护github免受攻击,也就是说除了密码之外还需要额外的密码才能访问该帐户。

“攻击者获得了组织管理员密码的访问权限。收集的证据表明密码方案,在一个网站上披露信息可以很容易地猜出不相关网页的密码,”

Github上存储着重要信息,Gentoo开发人员还没有GitHub Organization详细信息的备份副本。 更重要的是? systemd repo也没有从Gentoo镜像,而是直接存储在GitHub上。 

幸运的是攻击被及时发现


然而,Gentoo认为该项目很幸运,攻击被及时发现,因为攻击者将所有其他开发人员从目标GitHub帐户中删除时导致github通过电子邮件告知开发者。

Gentoo和Github的快速行动在大约70分钟内结束了攻击。

Gentoo维护人员说:“很快收到了攻击信号;删除所有开发人员导致每个人都收到电子邮件。” “鉴于获得了凭证,可能更安静的攻击会提供更长的机会窗口。”


正如该项目之前所说,主要的Gentoo存储库保留在Gentoo托管的基础架构上,Gentoo镜像到GitHub以“成为贡献者所在的位置”。

因此,帐户的私钥不会受到事件的影响,但是Gentoo托管的基础架构会受到很大影响。


由于这一事件,Gentoo代理维护者项目受到影响,因为许多代理维护者贡献者使用GitHub提交拉取请求,并且所有过去的拉取请求也与其原始提交断开连接并关闭。


攻击者还试图将“rm -rf”命令添加到各种存储库中,如果执行这些存储库,则会以递归方式删除用户数据。 但是,由于各种技术保护措施,最终用户不太可能执行此代码。

rm是一个Unix命令,用于删除文件,目录等,rm -rf表示更强行删除,“这将导致从本机文件系统中删除的每个文件都被删除”。 

Gentoo采取安全措施防止攻击再次发生


事件发生后,Gentoo采取了许多措施来防止此类攻击。 这些行动包括: 

  • 频繁备份其GitHub中代码。
  • 默认情况下在Gentoo的GitHub组织中启用双因素身份验证,最终将向所有用户提供项目的存储库。
  • 制定事件响应计划,尤其是与用户共享有关安全事件的信息。
  • 加强有关凭证撤销的程序。
  • 减少具有提升权限的用户数,审核登录以及发布要求密码管理器的密码策略。
  • 为Gentoo开发人员引入了对基于硬件的2FA的支持


目前,还不知道谁是Gentoo Hack背后的人。 Gentoo没有透露是否已向执法部门报告该事件以寻找黑客。