Подробности про взлом Debian

Ломать - не стоить!

Т.е. ломать - не стРоить!

ну вот и всё стало ясно, а вы думали, что там дыра в каком из сервисов была

Надеюсь что на этом эта эпопея закончиться.

А мне не ясно, если бы ломанули через известную дыру,

то фиг бы с ним.

All the compromised machines were running recent kernels[1] and were
up-to-date with almost all security updates.

Речь идет о "an unknown local root exploit in the wild", а это

ЖОПА господа.

> Речь идет о "an unknown local root exploit in the wild", а это ЖОПА господа.

SELinux -- каждой домохозяйке!

Тю блин.

Снифернули пароль одного из пользователей
Вошли на klecker
Вычислили рутовую дырку и запустили через нее ядерную суку (тот же снифер, только в профиль и в ядре работает)...
Черз этот же проход попытались трахнуть мэрфи, сначала облом. Через ядерную суку выцепили рутовый линк, который использовался для бекапов
Через бэкапные линки с рутовыми привилегиями получили все что нужно, мерфи, глук и все остальное

А суть той басни такова - нефиг через WAN пароли светить.

Народ! Закидайте Debian Project вежливыми просьбами ввести нормальную систему цифровых подписей пакетов (как у РэдХат - не к флейму будь помянут). А то у них с ЭЦП полный бардак и проверять подлинность пакетов неудобно - большинство на это забивает.

OpenStorm (*) (28.11.2003 12:22:58):

> Снифернули пароль одного из пользователей ...

КАК?

> ...нефиг через WAN пароли светить.

КАК?

Они что, телнетом по WAN ходят?

> Вычислили рутовую дырку и ...

КАК?

Ты не понимаешь - ВПЕРВЫЕ такое с Линухом произошло. Они не в силах раскопать, КАКАЯ дырка была вычислена. Т.е. она ЕСТЬ, и фокус может быть повторен с любым серваком.

Как все просто :)

"Вычислили рутовую дырку"

Какую????

Система была up-to-date with almost all security updates.

Читать умеешь?

> Как все просто :)
> "Вычислили рутовую дырку"
> Какую????
> Система была up-to-date with almost all security updates.
> Читать умеешь?

Sun-ch, я думал, что только страусы голову в песок прячут -
но оказывается пингвины тоже.

Что с того, что система была up-to-date ?
Тем хуже - значит дырка, через которую сломали
неизвестна (и естественно не пофиксена)

Так это просто скай-нет в сети шалит. через недельку пришлют терминиторов.

А потом как бабахнет. :(

>Тем хуже - значит дырка, через которую сломали неизвестна (и естественно не пофиксена) о чем и разговор читать умеем?

А станет Линукс популярнее - такое будет каждую неделю.

а он и так уже попсовый. столько ламеров лезут, статистику взломов увеличивают... а с Debian действительно нехорошо вышло. качественный дистрибутив. но где гарантия что с той-же шапкой или сусей такого небыло... просто мы об этом не знаем... (блин пароль забыл) mile

>А станет Линукс популярнее - такое будет каждую неделю.

Не факт.

>Какую????

>Система была up-to-date with almost all security updates.

>Читать умеешь?

Саныч, almost all != all.

>>А станет Линукс популярнее - такое будет каждую неделю.

>Не факт.

Конечно, не факт, но у Microsoft есть возможность скрыть взлом, а
у Debian нет

[2] klecker was missing the latest postgresql updated. ssh on all
machines was a DSA-customized version which was missing only the
3rd and final round (i.e. Solar Designer's patches) of ssh
updates.

Через постгресс и ssh вроде как рута получить нельзя?

Т.e., как я понял, полной картины взлома нет, и Debian, как именно получили аккаунт, не знает?

Цитата из http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-2003...

When the cleanup is done all passwords will be invalidated and accounts unlocked and people can request a new password through the email robot on db.debian.org .

То есть они новые пароли собираются по e-mail рассылать ?

> То есть они новые пароли собираются по e-mail рассылать ?

А ты предлагаешь по факсу?

>>А суть той басни такова - нефиг через WAN пароли светить.
Нефиг telnet пользовать - ssh нужно !

Надо ещё посмотреть какие права были у скраденного пользователя, что ему было разрешено в системе.

Не думаю что они могли telnet использовать. Может быть ftp.

там был еще и имидж старого диска

(2) Master had a copy it's old harddrive still lying around by accident. Unfortunately it had a lot of old, unpatched suid binaries on it.

Кто знает чего там было непатченого. Так что вам урок: back-up-ы держите в сейфе, закриптованые а пароль забудьте :)

Lexa

Нда, есть еще мужики с яйцами, которые не только языком чесать умеют. Хоть взлом дело и нехорошее, но все равно респект за профессионализм.

да и респект дебиановодам ---- не утаили

Согласен - печально сие событие. Но если сервак пасут на каком-нибудь из маршрутов, то думаю он обречен. И без разницы чем они туда ходят. Тот же SSH не есть панацея от всех бед (тут когдато пролетала новость о том что и его взломали). Снифером снять дамп авторизации не вопрос, а раскрутить его в оффлайне уже вопрос только времени. Если есть дамп сессии время на размышление/ломание неограничено.

>Читать умеешь?

Еще как умею. У меня тоже в кроне бекапы через SSH (scp -pqr...) делаются, и чуствую сие ой как стремно. Они же уже залогинились локально, осталось через suckit cделать подмену cron-задачи на пример cron.hourly. А в крон можно хоть слона зпихнуть. Пример : scp crondaily_suck_code dstserver.dstdomain:/etc/cron.daily....

И что самое интересное, у 90 % авторизация в ssh небось сделана на доверительных ключах, потому что для scp-бэкапа чтобы он прошел без вопросов это надо, а значит scp никаких паролей не спросит.

А в самом файле crondaily_suck_code можно написать: adduser... passwd (причем пароль упадет на рута)... или что хочешь (хоть слона нарисовать).

Чдем часик, пьем кофе, выкуриваем сигарету пока крон перестартует и сервер наш ;)

Я более чем уверен, что у 90% чиающих этот форум если сделают ps aux | grep cron увидят что он у них запущен от имени root. Руки развязаны господа.

;)

( Irsi - мудилище, где же ты, ждем тебя с нетерпением. Хочешь я тебе столько жоп в Windows покажу, тебе и не снилось.)

;) Лекарство от этой атаки - с DMZ-серверов только снимать бэкапы, но никогда не инициировать бэкапы с самих DMZ-серверов. То есть получатель должен сам забрать бэкап с сервера, но никак не сервер должен отправлять свой бэкап. В этом случае ssh-cron дыры не будет. А она у них была - более чем уверен!

Короче, вот описание этого якобы нового руткита:
http://freshmeat.net/articles/view/1039/

Проблема была известна еще в сентябре. Изменения не успели попасть в
2.4.22. Так что нужно срочно апдейтить ядро до 2.4.23.