Kernel.org-Server werden gehackt

Alejandro (a.k.a KZKG^Gaara)

2 Minuten

Anscheinend eine unbestimmte Anzahl von Servern, die gehostet werden kernel.org gewesen verletzt und Sicherheit es wurde gesehen Kompromiss. Das wäre passiert Anfang August, obwohl erst am 28. die Site-Administratoren es realisierten.

Was ist passiert?

  • Eindringlinge haben mit Administratorrechten auf den Hera-Server zugegriffen. Kernel.org-Administratoren vermuten, dass dies möglich war, nachdem einige Benutzeranmeldeinformationen kompromittiert wurden. Wie sie dies nutzen konnten, um Administratorrechte zu erlangen, ist noch nicht bekannt und wird derzeit untersucht.
  • Die zu ssh gehörenden Dateien (openssh, openssh-server und openssh-clients) wurden geändert und live ausgeführt.
  • Systemstartanwendungen wurde ein Trojaner hinzugefügt (von kernel.org-Servern… Nein, nicht auf Ihrem Computer! Keine Panik!).
  • Alle Benutzerinteraktionen sowie ein Teil des Schadcodes wurden nachverfolgt. Vorerst haben die Administratoren diese Informationen gespeichert.
  • Der Toryan, der ursprünglich durch eine Xnest / dev / mem-Fehlermeldung entdeckt wurde, ohne dass Xnest installiert war, wurde auch auf anderen Systemen angezeigt. Es ist noch nicht klar, ob die Systeme, auf denen diese Meldung angezeigt wird, gefährdet sind oder nicht.
  • Anscheinend scheint der 3.1-rc2-Kernel den Schadcode auf irgendeine Weise blockiert zu haben. Es ist noch nicht bekannt, ob dies beabsichtigt ist oder eine Nebenwirkung einer anderen Änderung ist.

Was wird unternommen, um den verursachten Schaden zu kontrollieren?

  • Mehrere Server wurden getrennt, um Sicherungen durchzuführen und das System erneut zu installieren.
  • Behörden in den USA und in Europa wurden benachrichtigt, um die Untersuchung zu unterstützen.
  • Das System wird auf ALLEN kernel.org-Servern vollständig neu installiert.
  • Eine Analyse des auf git hochgeladenen Codes sowie der Tarballs bestätigt, dass nichts geändert wurde.

Schlaf ruhig, meine Freunde

Jonathan Corbet von der Linux Foundation hat eine Notiz über das Ereignis geschrieben, das zwar schwerwiegend ist, aber keine Panik oder Massenhysterie hervorrufen sollte, da es über die erforderlichen Tools verfügt, um zur Normalität zurückzukehren und nicht autorisierte Änderungen zu lokalisieren:

Die Folge ist verstörend und peinlich. Ich kann jedoch sagen, dass Sie sich keine Sorgen um die Integrität des Kernel-Quellcodes oder anderer auf kernel.org-Systemen gehosteter Software machen müssen.

Deshalb müssen wir ruhig sein, denn nach der Entdeckung wird sich alles wieder normalisieren. Natürlich kann es niemand der Angst nehmen, und natürlich war es ein Schlag für die Projektmanager, die wahrscheinlich Zeit damit verbringen werden, die Sicherheit ihrer Systeme zu verbessern.

Quelle: Kernel.org & Alt1040