За последние две недели jQuery постоянно попадал в заголовки из-за серии атак на их серверы. Сегодня команда jQuery хочет дать краткое обновление статуса их веб-сайта и подвести итоги того, что произошло за последние две недели

 

jQuery в осаде

Ранним утром 18 сентября jQuery подвергся атаки DDoS и ушёл оффлайн. Они были недоступны в течении пары часов. Сайты были подняты позже в этот же день 18 сентября и всё казалось хорошо.

Позже, вечером 18 сентября команда jQuery связалась с компанией по обеспечению безопасности под названием RiskIQ, которая сообщала, что их робот-обходчик сообщил о зловредном коде, который распространялся через сайт контента jQuery. Никогда ещё не было сообщений, что библиотеки jQuery или сеть распространения (CDN) были скомпрометированы. Сразу после получения этого сообщения команда jQuery полностью удалила и восстановила данные из образов на всех этих их машинах, отозвала и переиздала все связанные SSL сертификаты и подтвердила, что не было никакого подозрительного контента на их серверах в этот момент. После этого, собственная команда jQuery и парни по безопасности из Mozilla и MaxCDN отработали по анализу логов и попыток для подтверждения вторжения этой атаки.

23 сентября RiskIQ дал огласку их доклада, который был разнесён за день по различным медиа и Twitter. Следующим утром, 24 сентября, DdoS атаки на инфраструктуру jQuery продолжились и возросли по числу и магнитуде, был издан CVE-2014-6271, также известный как уязвимость ShellShock. Пока команда jQuery продолжала отвечать на дискуссии в медиа и общаться с сообществом по поводу того, что случилось 18 сентября, они опять стали жертвами серий намного более публичных атак, включающих дифейсинг (изменение внешнего вида) jquery.com.

Расследование в их системах всё ещё не могло определить начальный вектор атаки. Тем не менее, они сделали некоторые шаги, чтобы более обезопасить себя. Например, некоторые из их установок WordPress были давно необновляемыми, все их сервера были подвержены недавно открытой уязвимости шелла, NGINX был слегка просрочен, также как может быть и некоторые другие патчи и т. д., всё это нужно было сделать. Команда по инфраструктуре окунулась с головой в эту работу и начала создавать новые, полностью пропатченные и безопасные сервера для размещения сайтов jQuery. Очевидно, что эти изменения были эффективны, т. к. дефейсинг остановился и они больше не видели с того времени каких-либо доказательств вторжения.

Позже 24 сентября, началась массивная и безжалостная атака DDoS. Казалась, что она приходила волнами, но не прекращалась до позднего времени 28 сентября. Большая часть времени 26 и 27 сентября была потрачена в попытка реализовать различные продукты и решения для сохранения серверов доступными. Команда jQuery боролась день и ночь в попытка удержать сайты на плаву. Они выражают благодарность Корей Франг (Corey Frang_, Адам Улви (Adam Ulvi) и другими членам команды инфраструктуры jQuery и прочим; они работали денно и нощно и чередовали смены, чтобы сохранить jQuery в Интернете. Без их усилий, jQuery оказался бы недоступен намного дольше. Одним из заметно важных шагов, который команда jQuery предприняла, был перенос на CloudFlare, которая щедро и быстро предоставила им доступ к их производственным услугам, что чрезвычайно помогло в смягчении этих атак.

 

Двигаясь вперёд

jQuery и фонд jQuery важны для веб экосистемы, это следует из количество заметок в прессе, обращений обеспокоенных людей и организаций, которые связались чтобы задать вопросы по этой атаке. Фонд jQuery работает на ежедневной основе, чтобы поддерживать и улучшать их проекты и инфраструктуру вокруг этих проектов. Цель этой работы — продолжить делать работу веб разработчиков проще и удостоверить их, что у них есть голос в мире стандартов и браузеров. Тем не менее, эти цели требуют большого количество ресурсов. Будь то ресурсы по доступу к проведению экспертиз работников компании или служб, или финансовая поддержка, мы не смогли бы продолжать эту важную работу без поддержки сообщества открытого кода и их поддерживающих участников.

Команду jQuery несколько раз спрашивали в течении этого испытания по поводу, почему у них нет сервиса XYZ на месте или почему у нас нет команды безопасности, которая бы постоянна следила бы за рисками подобных типов. Простой ответ в том, что их бюджет сжатый и ресурсы ограничены. Их команда по инфраструктуре и большинство их команды, если на то пошло, состоят волонтёрами, которые дают их время бесплатно, поддерживая работу. Уязвимости Heartbleed и ShellShock недавние примеры как плохо может всё обернуться когда проект с открытым кодом воспринимается как данность и предполагается, что у него всё ОК. В конце концов, иногда они падают из-за трещин и эти трещины становятся больше и чаще, когда люди занимаются ими и делают что они могут в их свободное время.

Так как вы можете помочь? Как частное лицо, можете быть вовлечённым в один из их проектов. Они всегда могут использовать помощь в написании кода, дизайне, поддержке серверов, работать над происшествиями и этот список можно продолжать. Посмотрите на contribute.jquery.org или заходите сказать привет на один из их многочисленных IRC каналов, список irc.jquery.org. Как от организации, они рады будут услышать о любых услугах, которыми вы хотели бы помочь, любыми разработчиками или другими квалифицированными специалистами, которые могут уделить несколько часов в неделю, если вы можете — помогите финансово. Отправьте сообщение на membership@jquery.org и дайте знать команде jQuery как вы можете помочь.

Команде jQuery не хотелось бы говорить слишком много об этих атаках, т. к. они случились из-за того, что jQuery продолжает оставаться лакомой целью в глазах хакеров, которые продолжают попытки проникнуть в их серверы даже на момент написания статьи. Делясь всей этой информацией с сообществом сейчас, команда jQuery старалась найти баланс между необходимостью объясниться о том, что случилось и потенциальной обратной реакцией, которая может случиться как результат выхода на публику и заявления, что сейчас jQuery верит, что они держат ситуацию под контролем.

Тем не менее, сейчас команда jQuery верит, что они держат ситуацию под контролем. За это огромное спасибо всей команде по инфраструктуре jQuery, которые засучили рукова и работали без устали над этой проблемой чтобы вернуть jQuery на хорошее место. Команда jQuery будем и впредь проявлять бдительность в обеспечении надежности и безопасности всех их ресурсов для их сообщества пользователей, т. к. для всех нас с вами.

Похожие темы

Новости софта от 13 февраля 2015 года (jQuery, Ver... jQuery UI 1.11.3 Вышла третья версия jQuery UI из линейки 1.11. Пакет с темами для этой версии можете скачать по этой ссылке: http://jqueryui.co...
jQuery.com скомпрометирован (взломан)!... Отродясь такого не видали, и вот опять! (Виктор Степанович Черномырдин)   Сегодня (24 сентября) в 11:15 североамериканского восточн...
Новости софта от 31 декабря 2014 года (PHP, phpMyA... PHP 5.6.4, PHP 5.5.20, PHP 5.4.36 Обновились все три поддерживаемых ветки PHP. Исправлений достаточно много, в ядре и в различных модулях, но кр...
Фонд jQuery усыновляет плагин Mousewheel... Фонд jQuery рад сообщить, что Брэндон Аэрон (Brandon Aaron) передал его плагин jquery-mousewheel в Фондj Query. Брэндон — выпускник команды jQ...
15 маст хэв jQuery-сниппетов, которые взбодрят ваш... Честно говоря, кодинг на JavaScript может быть настоящим геморроем, причём постоянным. Тем не менее, на заре jQuery весь этот ужас остался в пр...