着名开源软件组织Apache部份网站日前遭受黑客的跨站攻击，黑客取得管理者权限并安装密码木马程式，导致网站使用者密码泄漏。

　　Apache管理团队昨天发布此事件的说明，指出三个网站的使用者密码可能遭破解，并提醒使用者应调整密码以免遭字典攻击破解。

　　黑客攻击的目标是Apache用来追踪问题的专案管理网站JIRA。黑客于4月5日透过slicehost网站，留言表示JIRA网站有部份专案无法浏览，诱导数个管理员点选连结，该连结内容包含XSS（cross-sitescripting）攻击程序，会偷取使用者浏览器的暂存资料。

　　随即黑客针对JIRA网站的login.jsp发起暴力字典攻击，于4月6日取得JIRA网站一个管理者帐号与权限。三天後黑客安装一个文件，收集使用者的密码，黑客还发通知邮件请apache管理团队重新设定密码，至少有一个黑客因此取得三个网站的管理者权限。

　　Apache团队已经将这三个网站移转到别的机器，但有一个网站还没上线。