The Apache Software Foundation provides support for the Apache community of open-source software projects.

8月28日(協定世界時)、8時ごろからApache.orgのもとで提供されている多くのサーバがオフラインに切り替わった。オフライン状態はその後3時間ほど続き、その後オンラインへ復帰した。こうした状況にあったことをNetcraftやSecurityFocusが伝えている。

オフライン状態にあった3時間を含め、いったいApache.orgサーバになにが起こったのか、事の流れがApache Infrastructure Teamからapache.org downtime - initial reportとして発表された。より詳細な発表は後ほど実施される見通し。

Apache.orgではサードパーティのホスティングサービスへ自動的にバックアップを実施する処理を行っているが、今回このSSHアカウントが悪用されたという。8月27日(協定世界時) 18時0ごろ、攻撃者はpeople.apache.org (minotaur.apache.org)へそのSSHアカウントを使ってファイルのアップロードを実施。いくつかのCGIスクリプトが作成されたという。people.apache.orgはFreeBSD 7-STABLEで稼働していると説明されている。このサーバはほかのApache.orgのサーバへリモートコピーを実施するメインサーバになっているため、ほかのサーバへもこのCGIのコピーが行われることになる。

28日(協定世界時) 7時ごろ、攻撃者はHTTP経由でCGIスクリプトへアクセス。7時45分ごろeos.apache.org (Solaris 10)における工作の作業にApache Infrastructure Teamが気がつき、10分以内に影響を受けていると考えられるサーバのオフライン化を決定。DNSを影響を受けていなかったeris.apache.orgへ向けてメッセージを表示した。仮にこのCGIが実行されると、それらサーバへのアクセスが可能になっていたという。

調査の結果、エンドユーザには影響なし、攻撃者は発見された時点では権限上昇は不可能な状態で、ダウンロードにも影響はなかったと報告されている。ZFSスナップショットを使って問題がなかった状態まで差し戻しを実施し、再びサービスを開始したと説明されている。攻撃はSSH鍵を使っておこなわれており、Apache HTTP Serverの脆弱性を突かれたものではないと説明がある。Apacheは2001年にも攻撃を受けている。このときもSSH鍵が漏れてサーバが危険にさらされたという。