А http://linux.ru/ тоже хакнули или у них профилактика на всякий случай? :)

Warning: file("http://www.linux.ru/news/calendar.cgi?action=archive&year=2003&month=...;) - Undefined error: 0 in /usr/local/apache/htdocs/index.phtml on line 4

Warning: Bad arguments to implode() in /usr/local/apache/htdocs/index.phtml on line 4

Хе-хе!

Я уже знаю что могут сказать адвокаты FSF на суде против SCO, если будет совсем худо.

Хакеры, видите ли вломали нашу систему и внесли "неправильный мёд".

Так шта...

Не все так уж и плохо.

:)))))

блин этих уродов надо при рождении или давить или кастрировать .. нахрена savannah было трогать .. козлы ей богу

ИМХО

Попахивает целенаправленной контратакой, усугубленной неторопливостью админов.

Кстати если в конце-концов "завялят" кого-нибудь крупного, например, бекбон крупной хостинговой службы, использующей Linux, то Microsoft поднимет флаг "высокоубыточности" Linux. Хотя на фоне весеннего "падежа" MS-SQL в юго-восточной Азии убытки вероятнее всего будут меньше, но сам факт появления такого черного PR весьма возможен.

В общем Линукс-админы - на баррикады !

Муа-ха-ха-ха.

Ну шо, хто там кричал про генетическую дырявость виндузов?

Линукс навлёк на себя гнев богов в лице главного божка - Билли :)
SUSE/Novell и RedHat не трогают. И не тронут, я думаю. Сначала всласть скомпрометируют вольнодумцев вроде FSF и Debian, а потом приступят к коммерческим организациям, исполльзующим линукс-сервера.

Судя по частоте взломов, ломают через ту же дыру, что и дебиан...

P.S. Так редхат через нее бесполезно трогать - давно пропатчен.

Может это 0дэй дыра, никто ничего не слыхал?

Если так, то макрософт почему не ломают? у них же вроде часть серваков на линухе крутятся...

M$ боязно ломать - потом ещё поймают и за ж... возьмут :)
А эти все дырки, видимо, головотяпством админов и объяснялись. Хотя, думается мне, что отверстий ещё достаточно, и при надлежащем желании парочку всегда найти можно :)

do_brk() vulnerability on SGI Altix systems

Fixed in : SGI ProPack v2.3

SGI Security Coordinator (agent99@sgi.com)

Крутто. (Агент Аэросмит)

MS начала компанию по убеждению народа в том, что Windows не менее безопасна, чем Linux. Упаси боже кого-нибудь обвинять, но как-то странно так совпало... Причем ломают-то не script-kiddies, а достаточно грамотно.

Согласен с последним анонимусом.
Вроде как ломают грамотно, но именно "ломают".
Т.е. при таком "проффесионализме" взломщиков столь короткое время обнаружения взлома наводит на мысли.
Не к добру всё это.

просто удивительно...

> По ходу следствия было также выявлено, что 2-го ноября 2003 года неизвестная сторона полчив root-а установил руткит ("SucKIT").

Неужели админы FSF не в состоянии если не пропатчить ядро grsec|RSBAC|SELinux, то хотя бы отключить CAP_RAWIO и CAP_MODULE ?

>Неужели админы FSF не в состоянии если не пропатчить ядро grsec|RSBAC|SELinux, то хотя бы отключить CAP_RAWIO и CAP_MODULE ?

а эти штуки спасают от suckit'а ?
можно поподробней?

и вобще, тут говорят про одну дыру, а по моему их тут как минимум две, причем одна из них remote. Иначе как же они все таки получают шелл???

"А вы думали, что Linux не ломают принципиально?" - "Нет... только, при возможности."

"Это - тоже частичка вселенной"...

P.S. Просто, Админы расслабились...

:-)

и вобще, тут говорят про одну дыру, а по моему их тут как минимум две, причем одна из них remote. Иначе как же они все таки получают шелл???
====
сниффингом

rsync: http://rsync.samba.org/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0962

>Иначе как же они все таки получают шелл???
Вероятно, у них есть возможность прослушивать весь трафик от и к нужным хостам.
Пользователей у всех этих серверов много и шелл они имеют.
Становится все более прозрачно, что это спланированная и хорошо оплаченная атака. Практического смысла все эти взломы не имеют, реальной опасности сообществу не несут. Единственное, для чего они могут быть использованы - для недобросовестной рекламы от одной известной конторы.

> Единственное, для чего они могут быть использованы - для недобросовестной рекламы от одной известной конторы.

Ага. Особенно умиляет выбор - Дебиан и ФСФ.

2AVL2
Ага...
А взломы виндовс проплачивает Redhat и Novell

PS avl2 когда ты уже вырастишь?

> Ага... > А взломы виндовс проплачивает Redhat и Novell

Ну что вы. Виндовс специально ломать не надо. Он и сам неплохо ломается. Раз в два месяца примерно эпидемии.

Логика - неумолимая вещь. Если взлом не приносит видимой пользы и вообще убыточен злоумышленнику, значит эта польза извлекается неочевидным образом.
Это не взломы линукса, это взломы конкретных единичных программно-аппаратно-человеческих комплексов. Произошли они один за другим и каждый раз приходилось подбирать индивидуальный ключик. Так что особо сомневаться в участии богатого "друга" опенсорса не приходится.
Осталось только дождаться волны аналитик-истерии по поводу дырявости ЛИНУКСА и вообще ОПЕНСОРСА, чтобы стало окончательно ясно, откуда пришел заказ и куда пошел загребаться жар.

Even though this kernel bug was discovered in September by Andrew Morton and already fixed in recent pre-release kernels since October, __its security implication wasn't considered that severe__. __Hence, no security advisories were issued by any vendor__. However, after it was discovered to be used as a local root exploit the Common Vulnerabilities and Exposures project has assigned CAN-2003-0961 to this problem. It is fixed in Linux 2.4.23 which was released last weekend and in the Debian advisory DSA 403.

Martin Schulze, http://lists.debian.org/debian-announce/debian-announce-2003/msg00003.html

Вопрос - почему до взломов все молчали? Ещё хорошо, что дебиановские пакеты целыми остались.

Судя по всему, никто не собирался вредить ни Дебиану, ни Gentoo, ни FSF. Просто в ядре была дыра (специально помещённая? в 2.2.x её нет), о ней все молчали, а потом устроили _показательные_ атаки.

про CAP_SYS_RAWIO и CAP_SYS_MODULE

2 Dead:

> а эти штуки спасают от suckit'а ?

Взломать можно, поставить rootkit -- нет.

> можно поподробней?

RTFS: $LINUX_SRC_ROOT/include/capability.h:353
[кусь-кусь-кусь]
/* Insert and remove kernel modules - modify kernel without limit */
/* Modify cap_bset */
#define CAP_SYS_MODULE 16

/* Allow ioperm/iopl access */
/* Allow sending USB messages to any device via /proc/bus/usb */
#define CAP_SYS_RAWIO 17
[кусь-кусь-кусь]

Таким образом, если убрать эти capabilities -- это НЕОБРАТИМАЯ операция, чтобы ими снова воспользоваться,
требуется reboot! -- , то всатвить в kernel какой-то код ( то ли в виде
lkm, то ли через /dev/kmem ) уже нельзя.

См. также

http://www.wiggy.net/debian/developer-securing/

>Так что особо сомневаться в участии богатого "друга" опенсорса не приходится

Да ну?

Вместо того, чтобы кивать на дядю, может лучше

поискать скелеты в собственном шкафу?

>Вместо того, чтобы кивать на дядю, может лучше
>поискать скелеты в собственном шкафу?

Одно другому не мешает.
Если бы в дебиан или kernel team ничего не делали, а только кивали бы на плохих богатых спонсоров атак, неосторожных юзеров итд, то тогда сей упрек был бы актуальным.
А так, сначала разобрались со своим хозяйством, дыры закрыли, а там уж можно и всем сестрам по серьгам надавать :). В том числе и своим, которые проигнорировали опасную ошибку, как несущественную.

А не подскажите есть ли информация/статистика по взломам Мicrosoft-Серверов? В смисле серверов с ОS Windows?

:)

http://www.jurnal-audit.ru/

про опасные ошибки...

2 AVL2:

> В том числе и своим, которые проигнорировали опасную ошибку, как несущественную.

Прежде всего, опасную ошибку допустили администраторы ( как Debian, так и FSF), благодаря чему стало возможно установить rootkit.

"все что нас не убивает, делает нас крепче"(с) хз

Думаю все разработчики сделали выводы из последних взломов и теперь этой опбласти будет уделяться особое внимание, как со стороны разработчиков ядра так и сервисов (rsync).

ИМХО сейчас будет брошено не мало сил, чтобы выявить еще гипотетические уязвимости, а это есстественно очень хорошо для всех пользователей GNU/Linux.

2Dselect

>Таким образом, если убрать эти capabilities -- это НЕОБРАТИМАЯ операция, чтобы ими снова воспользоваться,

Ну насколько я могу судить это как раз не спасает в данном конкретном случае, раз есть возможность писАть В ЯДРО, капабилитесы легко идут в лес как и много чего еще ...

Вероятно, у них есть возможность прослушивать весь трафик от и к нужным хостам.
Пользователей у всех этих серверов много и шелл они имеют.

Хм...
Сниффинг вещь сама по себе не очень простая...
Прослушка линии сравнительно сервера быстро просекается хостерами...
И потом, что толку слушать ssh? Другое дело если они пользуются ftp с теми же паролями. Тогда админам надо было б по голове настучать

Какой сниф, сразу kernel exploit потом rsync remote exploit. Итого 1ый+2ой=хак дебиана фсф и пр

>Прежде всего, опасную ошибку допустили администраторы ( как Debian, так
>и FSF), благодаря чему стало возможно установить rootkit.
Надо быть последовательным. Сначала вовремя не закрыли дыру. Редхат энд сотоварищи и за ним альт сделали это еще в сентябре. Другая составляющая - нежелание или невозможность интегрировать средства типа rsbac в основную ветку своего дистра. Это не ошибка - это реальность данная в ощущениях. И третья составляющая - ошибки администрирования. Лично мой уровень квалификации не позволяет судить об этой стороне проблемы.

Надеюсь, выводы будут не частными внутрисемейными, а затронут первые два фактора, повлиявших на пробой защиты. Линукс должен стать более защищеным в стабильной ветке.

>Какой сниф, сразу kernel exploit Откуда взяли local shell?

Я имел ввиду, что сразу обнаружили баг в ядре -- долго думали как взломщики получили доступ к серверу; потом обнаружили баг в rsync -- remote при том. Итого напрашивается метод взлома: rsync == удалённый доступ к серверу, do_brk == руткит

таки про capabilities...

2 sS:

> Ну насколько я могу судить это как раз не спасает в данном конкретном случае, раз есть возможность писАть В ЯДРО,

Конечно. Только рассчитать _куда_ надо писать ( а не просто mmap'-нуть /dev/kmem ) сложнее...

> капабилитесы легко идут в лес как и много чего еще ...

Да, _в принципе_ можно на#%@ть AEF( RSBAC)| DTE( SELinux). Но если никакая роль не имеет права запускать те бинарники (map'ить библиотеки), которые ей позволено изменять, то написать exploit становится гораздо труднее.

ASPLinux выложило новое ядро для девятки

У кого стоит сабж, обновляться кабанчиком! :)

Верите или нет - но M$ всерьез испугалась Линукса.

И убивать его она тоже будет всерьез.