Снифернули пароль одного из пользователей
Вошли на klecker
Вычислили рутовую дырку и запустили через нее ядерную суку (тот же снифер, только в профиль и в ядре работает)...
Черз этот же проход попытались трахнуть мэрфи, сначала облом. Через ядерную суку выцепили рутовый линк, который использовался для бекапов
Через бэкапные линки с рутовыми привилегиями получили все что нужно, мерфи, глук и все остальное
А суть той басни такова - нефиг через WAN пароли светить.
Народ! Закидайте Debian Project вежливыми просьбами ввести нормальную систему цифровых подписей пакетов (как у РэдХат - не к флейму будь помянут). А то у них с ЭЦП полный бардак и проверять подлинность пакетов неудобно - большинство на это забивает.
Ты не понимаешь - ВПЕРВЫЕ такое с Линухом произошло. Они не в силах раскопать, КАКАЯ дырка была вычислена. Т.е. она ЕСТЬ, и фокус может быть повторен с любым серваком.
а он и так уже попсовый. столько ламеров лезут, статистику взломов увеличивают... а с Debian действительно нехорошо вышло. качественный дистрибутив. но где гарантия что с той-же шапкой или сусей такого небыло... просто мы об этом не знаем... (блин пароль забыл) mile
[2] klecker was missing the latest postgresql updated. ssh on all
machines was a DSA-customized version which was missing only the
3rd and final round (i.e. Solar Designer's patches) of ssh
updates.
Через постгресс и ssh вроде как рута получить нельзя?
When the cleanup is done all passwords will be invalidated and accounts unlocked and people can request a new password through the email robot on db.debian.org .
То есть они новые пароли собираются по e-mail рассылать ?
Согласен - печально сие событие. Но если сервак пасут на каком-нибудь из маршрутов, то думаю он обречен. И без разницы чем они туда ходят. Тот же SSH не есть панацея от всех бед (тут когдато пролетала новость о том что и его взломали). Снифером снять дамп авторизации не вопрос, а раскрутить его в оффлайне уже вопрос только времени. Если есть дамп сессии время на размышление/ломание неограничено.
Еще как умею. У меня тоже в кроне бекапы через SSH (scp -pqr...) делаются, и чуствую сие ой как стремно. Они же уже залогинились локально, осталось через suckit cделать подмену cron-задачи на пример cron.hourly. А в крон можно хоть слона зпихнуть. Пример : scp crondaily_suck_code dstserver.dstdomain:/etc/cron.daily....
И что самое интересное, у 90 % авторизация в ssh небось сделана на доверительных ключах, потому что для scp-бэкапа чтобы он прошел без вопросов это надо, а значит scp никаких паролей не спросит.
А в самом файле crondaily_suck_code можно написать: adduser... passwd (причем пароль упадет на рута)... или что хочешь (хоть слона нарисовать).
Чдем часик, пьем кофе, выкуриваем сигарету пока крон перестартует и сервер наш ;)
Я более чем уверен, что у 90% чиающих этот форум если сделают ps aux | grep cron увидят что он у них запущен от имени root. Руки развязаны господа.
;)
( Irsi - мудилище, где же ты, ждем тебя с нетерпением. Хочешь я тебе столько жоп в Windows покажу, тебе и не снилось.)
;) Лекарство от этой атаки - с DMZ-серверов только снимать бэкапы, но никогда не инициировать бэкапы с самих DMZ-серверов. То есть получатель должен сам забрать бэкап с сервера, но никак не сервер должен отправлять свой бэкап. В этом случае ssh-cron дыры не будет. А она у них была - более чем уверен!