Kernel.org-servrar har hackats

Alejandro (a.k.a KZKG^Gaara)

2 minuter

Tydligen ett obestämt antal servrar som är värd kernel.org har varit kränks och säkerhet det sågs äventyras. Detta skulle ha hänt med i början av augusti, även om det var först den 28 som webbplatsadministratörerna insåg det.

Vad hände?

  • Inkräktare kom åt Hera-servern med administratörsbehörighet. Kärnan.org-administratörerna misstänker att detta var möjligt efter att vissa användaruppgifter hade äventyrats. hur de kunde dra nytta av detta för att få administratörsbehörighet är fortfarande okänt och undersöks.
  • Filerna som tillhör ssh (openssh, openssh-server och openssh-clients) modifierades och kördes live.
  • En Trojan lades till i systemets startprogram (från kernel.org-servrar ... Nej, inte på din maskin! Var inte panik!).
  • Alla användarinteraktioner samt en del av den skadliga koden spårades. För tillfället har administratörerna sparat denna information.
  • Toryan som ursprungligen upptäcktes av ett Xnest / dev / mem-felmeddelande utan att Xnest hade installerats har också sett på andra system. Det är ännu inte klart om systemen som visar detta meddelande är äventyrade eller inte.
  • Tydligen verkar 3.1-rc2-kärnan ha blockerat den skadliga koden på något sätt. Det är ännu inte känt om detta är avsiktligt eller en bieffekt av en annan förändring.

Vad görs för att kontrollera skadan?

  • Flera servrar har kopplats bort för att säkerhetskopiera och installera om systemet igen.
  • Myndigheter i USA och Europa har underrättats om att hjälpa till med utredningen.
  • Systemet installeras om helt på ALLA kernel.org-servrar.
  • En analys av koden som laddas upp till git, liksom tarballs, kommer att börja bekräfta att ingenting har modifierats.

Sov lugnt mina vänner

Jonathan Corbet, från Linux Foundation, har skrivit en anteckning som talar om händelsen som, även om det är allvarligt, inte bör generera panik eller masshysteri eftersom de har de nödvändiga verktygen för att återgå till normalitet och lokalisera eventuella obehöriga ändringar:

Avsnittet är störande och pinsamt. Men jag kan säga att det inte finns något behov av att oroa sig för kärnkällkoden eller någon annan programvara som finns på kernel.org-system.

Därför måste vi vara lugna, för efter upptäckt kommer allt att återgå till det normala. Naturligtvis kan ingen ta bort det från skräck och det har naturligtvis varit ett slag för projektledarna som förmodligen kommer att spendera tid på att förbättra säkerheten i sina system.

Fuente: Kernel.org & Alt1040