The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.07.2006 15:28  Один из серверов проекта Debian GNU/Linux был взломан. Причина устранена

Утром 12 июля администраторы обнаружили на одной из машин проекта (gluck.debian.org), на которой размещены сервисы для разработчиков, следы от несанкционированного проникновения злоумышленника.

Данный сервер, а также ряд других машин похожих по конфигурации программного обеспечения (хоcты cvs, ddtp, lintian, people, popcon, planet, ports, release), были в срочном порядке отключены от сети. После выяснения причин взлома, все ПО на gluck.debian.org (web-сервер, cvs, аккаунты разработчиков) будет переустановлено, во избежание наличия rootkit.

Следует заметить, что в 2003 году было взломано 4 сервера проекта Debian.org.

Спустя сутки работа сервера была восстановлена, взлом был осуществлен с использованием одной из последних проблем безопасности в Linux ядре, позволяющей локальному злоумышленнику (был украден пароль одного из рядовых разработчиков) получить права root.

В качестве временной меры, для тех кто не имеет возможности обновить ядро рекомендуется запретить создание core файлов для пользовательских приложений:

  • echo 0 > /proc/sys/kernel/core_uses_pid
  • echo /dev/null > /proc/sys/kernel/core_pattern

    1. Главная ссылка к новости (http://lists.debian.org/debian...)
    2. OpenNews: Подробности технологии взлома 4 серверов Debian.org в 2003 году.
    Лицензия: CC-BY
    Источник: slashdot.org
    Тип: Тема для размышления
    Ключевые слова: debian, security
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
     
  • 1.1, aZ (?), 15:58, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Допрыгались дебиянщики со своими доморощенными патчами, которые выпускают через пол года после нахождения уязвимости. :)
     
     
  • 2.20, ram_scan (?), 08:53, 14/07/2006 [^] [ответить]    [к модератору]
  • +/
    Как обычно, один девелопер пароль свой прощелкал...
     
     
  • 3.22, aZ (?), 11:46, 14/07/2006 [^] [ответить]    [к модератору]
  • +/
    И т.к. они не накатили вовремя патчи на ядро - результат на лицо.. и это сервера самого дебяна. А что же творится с серверами простых смертых на дебияне? :)
     
     
  • 4.31, Michael Shigorin (?), 22:00, 14/07/2006 [^] [ответить]     [к модератору]
  • +/
    Простые смертные далеко не так интересны Тем не менее некоторые смертные попрощ... весь текст скрыт [показать]
     
  • 1.2, TTT (?), 16:04, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я нескольких вещей не понимаю
    * зачем и кому это надо?
    * как увидели следы несанкционированого проникновения?
    * чем следы несанкционированного проникновения отличаются от следов санкционированного :-)
     
  • 1.3, Аноним (-), 16:36, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    неочем говорить пока не ясно кого взломали дебиян или сисадмина дебианщика
     
  • 1.4, Аноним (-), 16:39, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    в предыдущем случае сниффером заныкали пароль :)
     
     
  • 2.6, glyph (?), 18:09, 13/07/2006 [^] [ответить]     [к модератору]  
  • +/
    off Грамотная локализация любимого дистра свидетельствует про IQ не ниже 100 ... весь текст скрыт [показать]
     
     
  • 3.12, FreD (?), 20:32, 13/07/2006 [^] [ответить]    [к модератору]  
  • +/
    И в которых по дефолту не вкомпилена мыша и клава...:)
     
  • 2.28, Sem (??), 14:42, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Серьезно? Это полное разгильдяйство тогда.
     
  • 1.7, Аноним (-), 18:25, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Делает честь что сообщили публике...
     
     
  • 2.8, edwin (ok), 18:28, 13/07/2006 [^] [ответить]    [к модератору]  
  • +/
    > Делает честь что сообщили публике...

    +1
    И это самое главное, потому многие случаи стараются скрыть, и становится еще хуже.

     
     
  • 3.9, Sergey (??), 18:58, 13/07/2006 [^] [ответить]     [к модератору]  
  • +/
    Согласен, еще лучше бы было, если бы они опубликовали то, чего нароют Порой даж... весь текст скрыт [показать]
     
     
  • 4.21, svoloch (?), 10:33, 14/07/2006 [^] [ответить]     [к модератору]  
  • +/
    Они по расслке debian-news прислали полное описание проблемы Использовалась уяз... весь текст скрыт [показать]
     
     
  • 5.23, guest (??), 11:49, 14/07/2006 [^] [ответить]     [к модератору]  
  • +/
    Если это патч, исправляющий проблему безопасности, то он должен быть установлен ... весь текст скрыт [показать]
     
  • 1.10, Painbringer (?), 19:00, 13/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а че, с таким именем хоста, он вообще сам упасть должен был: глюк.дебиан.орг :))
     
     
  • 2.13, snov (ok), 22:55, 13/07/2006 [^] [ответить]    [к модератору]  
  • +/
    http://people.debian.org/~joey/misc/naming.html
     
  • 2.27, godzlila (?), 14:41, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    глюк - это счасть, по-немецки...
     
  • 1.14, Аноним (-), 02:10, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как вы яхту назовете, так она и поплывет? :)
     
     
  • 2.15, Аноним (-), 02:44, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    http://people.debian.org/~joey/misc/naming.html -- Вы не умеете читать по англицки?
     
     
  • 3.16, Пивыч (??), 07:10, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Простите, а ЗАЧЕМ КЛОУНАМ уметь читать по английски ? Ткнуть пальцем - и погыгыкать - вот самое оно...
     
  • 3.18, гость (?), 08:12, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    А словосочетание "чувство юмора" тебе о чём-нибудь говорит?
     
  • 1.17, Zlobec (?), 08:01, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дебиан уже хачили, никто не умер.
    Переставят ось, накатят архивы и все пучком. Страшнее когда НСД в CVS тогда все более печально
     
  • 1.19, Vladislav (??), 08:47, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http://www.debian.org/News/2006/20060713
     
  • 1.24, Kolyan (??), 13:07, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мдя... Или пиарщики на славу стараются, или m$ или ещё кто :)

    > И в принципе понятно почему, это все-таки рабочий серевр и перезапускать его для апдейта ядра на каждый патч геморойно.

    А про программу для выгрузки ядра и загрузки другого забыли что-ли?

     
     
  • 2.25, guest (??), 14:30, 14/07/2006 [^] [ответить]    [к модератору]  
  • +/
    > А про программу для выгрузки ядра и загрузки другого забыли что-ли?

    Иди мат. часть подучи - это всё-равно, что горячий рестарт, только post проходить не надо и загрузка быстрее идёт. Заменить ядро ОС незаметно для программ всё-равно невозможно.

     
  • 1.26, Sem (??), 14:40, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Обнаруженое вторжение конечно лучше чем не обнаруженая.
    Но все таки после первого инцидента надо было как то поаккуратней быть...
     
  • 1.29, Аноним (-), 15:01, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >это выключенный комп без сетевого кабеля

    И замурованный в стенку

     
  • 1.30, Аноним (-), 18:56, 14/07/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "Заменить ядро ОС незаметно для программ всё-равно невозможно"
    Насколько мне известно на майнфрейме это реализовано очень давно и  работает
    неплохо .
     
  • 1.32, Аноним (-), 14:21, 15/07/2006 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Какого вы сюда приплели майнфрейм Ребята из Дебиан делают все возможное и дел... весь текст скрыт [показать]
     
     
  • 2.33, ya_anonymous (?), 20:06, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    >Какого вы сюда приплели майнфрейм??
    > Ребята из Дебиан делают все возможное и делают это очень хорошо!!
    >Они патчат ядра, если выявляют ошибки, но они их не создают.
    >И генту и остальные дистры не застрахваны от этого.

    Ну есть же защищенные дистрибутивы, например Alt Linux.


     
     
  • 3.34, ZOD (??), 20:26, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Кстати при чём тут "защищённость" дистрибутива... И чем же таким отличается Alt Linux и в чём егог "защищённость", там что trusted расширения какие то или он кем то сертифицирован по уровню безопасности?

     
     
  • 4.35, Michael Shigorin (?), 21:02, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    >Кстати при чём тут "защищённость" дистрибутива...

    Видите ли, при чём.  В Master до сих пор 2.4, а с ним такие фокусы не проходили довольно давно (local root, в смысле).

    >И чем же таким отличается Alt Linux и в чём егог "защищённость",
    Много чем; можете почитать про Owl и это будет достаточно хорошо описывать базовую систему ALT.

    >там что trusted расширения какие
    TCB, например.  Но это в чуть другую область -- например, недавние проблемы с passwd нас не касались.

    >то или он кем то сертифицирован по уровню безопасности?
    Где-то во времена Master 2.0 была сертификация на какой-то госуровень в .ru, с тех пор, по словам ldv@, защищённость основы только выросла.

    Поймите правильно, мне тоже не так давно через мамбу на одном из хостящихся сайтов попробовали всунуть uselib24.  Да только не вышло.

     
  • 2.37, Deme Gergo (?), 21:45, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Здрасте.

    > Ребята из Дебиан делают все возможное и делают это очень хорошо!!
    > Они патчат ядра, если выявляют ошибки, но они их не создают.
    > И генту и остальные дистры не застрахваны от этого.

    Остальные ребята из других тимов также делают все возможное и делают это очень хорошо! И тоже не создают ошибки. И всётаки о них чего-то не упоминают.
    Если и эти, и те делают всё гут, но одного из них частенько ломают, то нужно или руки выпрямить, или сообразить, что в девелопменте дистра, что-то ахтунг.

     
     
  • 3.38, Michael Shigorin (?), 22:25, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    >Остальные ребята из других тимов также делают все возможное и делают это
    >очень хорошо!
    Ох... кто как, когда как.  Все мы люди.

    >И тоже не создают ошибки.
    Так, к слову -- недавно в gentoo правили mpg123, в который сами же ляпнули патч с дыркой.

    > И всётаки о них чего-то не упоминают.
    Всяко бывает.

    >Если и эти, и те делают всё гут, но одного из них частенько ломают,
    >то нужно или руки выпрямить, или сообразить, что в
    >девелопменте дистра, что-то ахтунг.
    Дебиан всё-таки не совсем ординарный проект, по количеству людей, которые имеют тот или иной доступ к инфраструктуре -- наверное, разве тот же gentoo может где-то сравниваться (я не знаю точных цифр, но DD сейчас вроде порядка полутысячи).  Соответственно и системы поддерживаются людьми в свободное время, насколько понимаю.  А не сидя на ставке, как у коммерческих вендоров.

    А так -- apache.org вон ломали, sendmail -- тоже...

    Сравнивать сложно.

     
  • 2.39, rstone (?), 22:56, 15/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Я сюда приплел майнфрейм потому  , что некоторое господа считают что ОС началась с Линукса , а "продвинутые" господа думают что все началось с *BSD .
    Многое из того что сегодня считают невозможным уже давно реализовано и работает .
    И меня бесят ничем не подтвержденные утверждения .
    Вот.
     
     
  • 3.40, Dmitry (??), 12:34, 16/07/2006 [^] [ответить]    [к модератору]  
  • +/
    Сначала прочитайте про сам Дебиан (что это такое). Дебиан есть и на Mach и  FreeBSD ядрах. Там такой дыры нет :) Вот недавно еще один локалрут обнаружили в 2.6.х  что очень обидно :( Но увы и в Генту и в Дебиан она есть ... Я все же согласен с мнением, что пора менять политику создания ядер!!
       Да по поводу ядра 2.4 - оно по умолчанию в Дебиане ставится. Я его использую т. к. оно стабильнее 2.6. Я думаю и Дебиановцы держат на главном серваке 2.4. Но всю жизнь сыт этим не будешь. Надо развиваться! Так же меня радует то, что разработчики следуют закону развития открытого ПО и не скрыват уязвимостей, которые находят. В комерчиских дистрах обычно так и делается. Не стоит забывать что люди из РХ и подобных в первую очередь делают деньги.
      
      Re: маинфреймы:  Да многое уже давно реализовано и работает. ОпенСоурс дает возможность улучшить и распространить это на весь мир.
     
  • 3.41, kolayshkin (??), 21:30, 18/07/2006 [^] [ответить]    [к модератору]  
  • +/
    >Я сюда приплел майнфрейм потому  , что некоторое господа считают что
    >ОС началась с Линукса , а "продвинутые" господа думают что все
    >началось с *BSD .
    >Многое из того что сегодня считают невозможным уже давно реализовано и работает
    >.
    >И меня бесят ничем не подтвержденные утверждения .
    >Вот.


    Мейнфрейм и стоит соответсвенно

     
  • 3.42, kolayshkin (??), 21:35, 18/07/2006 [^] [ответить]    [к модератору]  
  • +/
    >Я сюда приплел майнфрейм потому  , что некоторое господа считают что
    >ОС началась с Линукса , а "продвинутые" господа думают что все
    >началось с *BSD .
    >Многое из того что сегодня считают невозможным уже давно реализовано и работает
    >.
    >И меня бесят ничем не подтвержденные утверждения .
    >Вот.
    Да и потом *BSD и Linux это операционная система, а мейнфрейм - это ще в добавок и железо


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor