Servery Kernel.org sú napadnuté

Alejandro (a.k.a KZKG^Gaara)

2 minút

Zjavne neurčený počet serverov, ktoré hosťujú kernel.org boli porušené a zabezpečenia bolo to vidno zasnúbený. To by sa stalo začiatkom augusta, hoci až 28. si to správcovia stránok uvedomili.

Čo sa stalo?

  • Votrelci pristupovali na server Hera s oprávneniami správcu. Správcovia servera Kernel.org majú podozrenie, že to bolo možné po prelomení niektorých prihlasovacích údajov používateľa; ako boli schopní toto využiť na získanie administrátorských oprávnení, zatiaľ nie je známe a vyšetruje sa.
  • Súbory patriace do ssh (openssh, openssh-server a openssh-klienti) boli upravené a spustené za živa.
  • Do aplikácií na spustenie systému bol pridaný trójsky kôň (zo serverov kernel.org ... Nie, nie na vašom počítači! Nepanikárte!).
  • Sledované boli všetky interakcie používateľov a tiež časť škodlivého kódu. Správcovia zatiaľ tieto informácie uložili.
  • Toryan pôvodne objavený chybovou správou Xnest / dev / mem bez toho, aby mal nainštalovaný Xnest, bol viditeľný aj na iných systémoch. Zatiaľ nie je jasné, či sú systémy zobrazujúce túto správu napadnuté alebo nie.
  • Zdá sa, že jadro 3.1-rc2 zrejme nejakým spôsobom zablokovalo škodlivý kód. Zatiaľ nie je známe, či ide o úmysel alebo vedľajší účinok inej zmeny.

Čo sa robí na kontrolu spôsobenej škody?

  • Niekoľko serverov bolo odpojených kvôli zálohovaniu a opätovnej inštalácii systému.
  • O pomoc pri vyšetrovaní boli informované orgány v Spojených štátoch a Európe.
  • Systém bude kompletne preinštalovaný na VŠETKY servery kernel.org.
  • Analýza kódu nahraného na git, ako aj tarballs, začne potvrdzovať, že nič nebolo zmenené.

Pokojne spi moji priatelia

Jonathan Corbet z Nadácie Linux napísal poznámku hovoriacu o udalosti, ktorá, hoci je vážna, by nemala vyvolávať paniku alebo masovú hystériu, pretože majú potrebné nástroje na návrat k normálu a lokalizáciu akejkoľvek neoprávnenej zmeny:

Epizóda je znepokojujúca a trápna. Môžem však povedať, že sa netreba obávať integrity zdrojového kódu jadra ani iného softvéru hosteného v systémoch kernel.org.

Preto musíme byť pokojní, pretože po odhalení sa všetko vráti do normálu. Samozrejme, nemá to kto vziať zo strachu a samozrejme to bola rana pre projektových manažérov, ktorí sa pravdepodobne budú venovať zlepšeniu bezpečnosti svojich systémov.

Fuente: Kernel.org & Alt1040