Kernel.org-servere er hacket

Alejandro (a.k.a KZKG^Gaara)

2 minutter

Tilsyneladende et ubestemt antal servere, der hoster kernel.org de har været overtrådt og sikkerhed det blev set kompromitteret. Dette ville være sket med begyndelsen af ​​august, selvom først den 28. administratorer af webstedet indså det.

Hvad skete der?

  • Indtrængere fik adgang til Hera-serveren med administratorrettigheder. Kernel.org-administratorer har mistanke om, at dette var muligt, efter at nogle brugeroplysninger blev kompromitteret; hvordan de var i stand til at drage fordel af dette for at få administratorrettigheder er endnu ikke kendt og undersøges.
  • Filerne, der tilhører ssh (openssh, openssh-server og openssh-clients) blev ændret og udført live.
  • En trojan blev føjet til systemstartprogrammerne (fra kernel.org-servere ... Nej, ikke på din maskine! Gå ikke i panik!).
  • Alle brugerinteraktioner samt nogle af den ondsindede kode blev sporet. Indtil videre har administratorerne gemt disse oplysninger.
  • Toryan oprindeligt opdaget af en Xnest / dev / mem-fejlmeddelelse uden at have Xnest installeret er også set på andre systemer. Det er endnu ikke klart, om de systemer, der viser denne meddelelse, er kompromitterede eller ej.
  • 3.1-rc2-kernen ser ud til at have blokeret den ondsindede kode på en eller anden måde. Det vides endnu ikke, om dette er bevidst eller en bivirkning af en anden ændring.

Hvad gøres for at kontrollere skaderne?

  • Flere servere er blevet afbrudt for at lave sikkerhedskopier og geninstallere systemet igen.
  • Myndigheder i USA og Europa er blevet underrettet om at hjælpe med efterforskningen.
  • Systemet geninstalleres fuldstændigt på ALLE kernel.org-servere.
  • En analyse af koden uploadet til git såvel som tarballs begynder at bekræfte, at intet blev ændret.

Sov fredeligt mine venner

Jonathan Corbet, fra Linux Foundation, har skrevet en note, der taler om begivenheden, der, selvom de er alvorlige, ikke skal skabe panik eller massehysteri, da de har de nødvendige værktøjer til at vende tilbage til normalitet og lokalisere enhver uautoriseret ændring:

Episoden er foruroligende og pinlig. Men jeg kan sige, at der ikke er grund til at bekymre sig om integriteten af ​​kernekildekoden eller anden software, der hostes på kernel.org-systemer.

Derfor skal vi være rolige, fordi alt efter opdagelse vender tilbage til det normale. Naturligvis kan ingen tage det væk fra skræmmen, og selvfølgelig har det været et slag for projektledere, der sandsynligvis vil bruge tid på at forbedre sikkerheden i deres systemer.

kilde: Kernel.org & Alt1040