LINUX.ORG.RU

ну вот и всё стало ясно, а вы думали, что там дыра в каком из сервисов была

anonymous
()

Надеюсь что на этом эта эпопея закончиться.

anonymous
()
Ответ на: комментарий от anonymous

А мне не ясно, если бы ломанули через известную дыру,

то фиг бы с ним.

All the compromised machines were running recent kernels[1] and were
up-to-date with almost all security updates.

Речь идет о "an unknown local root exploit in the wild", а это

ЖОПА господа.

Sun-ch
()
Ответ на: комментарий от Sun-ch

> Речь идет о "an unknown local root exploit in the wild", а это ЖОПА господа.

SELinux -- каждой домохозяйке!

Dselect ★★★
()
Ответ на: комментарий от Sun-ch

Тю блин.

Снифернули пароль одного из пользователей
Вошли на klecker
Вычислили рутовую дырку и запустили через нее ядерную суку (тот же снифер, только в профиль и в ядре работает)...
Черз этот же проход попытались трахнуть мэрфи, сначала облом. Через ядерную суку выцепили рутовый линк, который использовался для бекапов
Через бэкапные линки с рутовыми привилегиями получили все что нужно, мерфи, глук и все остальное

А суть той басни такова - нефиг через WAN пароли светить.

OpenStorm ★★★
()

Народ! Закидайте Debian Project вежливыми просьбами ввести нормальную систему цифровых подписей пакетов (как у РэдХат - не к флейму будь помянут). А то у них с ЭЦП полный бардак и проверять подлинность пакетов неудобно - большинство на это забивает.

anonymous
()
Ответ на: комментарий от OpenStorm

OpenStorm (*) (28.11.2003 12:22:58):

> Снифернули пароль одного из пользователей ...

КАК?

> ...нефиг через WAN пароли светить.

КАК?

Они что, телнетом по WAN ходят?

> Вычислили рутовую дырку и ...

КАК?

Ты не понимаешь - ВПЕРВЫЕ такое с Линухом произошло. Они не в силах раскопать, КАКАЯ дырка была вычислена. Т.е. она ЕСТЬ, и фокус может быть повторен с любым серваком.

Die-Hard ★★★★★
()
Ответ на: комментарий от Sun-ch

> Как все просто :)
> "Вычислили рутовую дырку"
> Какую????
> Система была up-to-date with almost all security updates.
> Читать умеешь?

Sun-ch, я думал, что только страусы голову в песок прячут -
но оказывается пингвины тоже.

Что с того, что система была up-to-date ?
Тем хуже - значит дырка, через которую сломали
неизвестна (и естественно не пофиксена)

anonymous
()
Ответ на: комментарий от Sun-ch

Так это просто скай-нет в сети шалит. через недельку пришлют терминиторов.

А потом как бабахнет. :(

anonymous
()
Ответ на: комментарий от anonymous

>Тем хуже - значит дырка, через которую сломали неизвестна (и естественно не пофиксена) о чем и разговор читать умеем?

anonymous
()
Ответ на: комментарий от anonymous

а он и так уже попсовый. столько ламеров лезут, статистику взломов увеличивают... а с Debian действительно нехорошо вышло. качественный дистрибутив. но где гарантия что с той-же шапкой или сусей такого небыло... просто мы об этом не знаем... (блин пароль забыл) mile

anonymous
()
Ответ на: комментарий от Ikonta_521

>>А станет Линукс популярнее - такое будет каждую неделю.

>Не факт.

Конечно, не факт, но у Microsoft есть возможность скрыть взлом, а
у Debian нет

anonymous
()
Ответ на: комментарий от Ikonta_521

[2] klecker was missing the latest postgresql updated. ssh on all
machines was a DSA-customized version which was missing only the
3rd and final round (i.e. Solar Designer's patches) of ssh
updates.

Через постгресс и ssh вроде как рута получить нельзя?

Sun-ch
()

Т.e., как я понял, полной картины взлома нет, и Debian, как именно получили аккаунт, не знает?

Dodo
()
Ответ на: комментарий от anonymous

> То есть они новые пароли собираются по e-mail рассылать ?

А ты предлагаешь по факсу?

anonymous
()
Ответ на: комментарий от OpenStorm

>>А суть той басни такова - нефиг через WAN пароли светить.
Нефиг telnet пользовать - ssh нужно !

anonymous
()
Ответ на: комментарий от Sun-ch

Надо ещё посмотреть какие права были у скраденного пользователя, что ему было разрешено в системе.

anonymous
()
Ответ на: комментарий от anonymous

Не думаю что они могли telnet использовать. Может быть ftp.

anonymous
()
Ответ на: комментарий от Sun-ch

там был еще и имидж старого диска

(2) Master had a copy it's old harddrive still lying around by accident. Unfortunately it had a lot of old, unpatched suid binaries on it.

Кто знает чего там было непатченого. Так что вам урок: back-up-ы держите в сейфе, закриптованые а пароль забудьте :)

Lexa

anonymous
()
Ответ на: комментарий от anonymous

Нда, есть еще мужики с яйцами, которые не только языком чесать умеют. Хоть взлом дело и нехорошее, но все равно респект за профессионализм.

anonymous
()
Ответ на: комментарий от anonymous

да и респект дебиановодам ---- не утаили

anonymous
()
Ответ на: комментарий от Die-Hard

Согласен - печально сие событие. Но если сервак пасут на каком-нибудь из маршрутов, то думаю он обречен. И без разницы чем они туда ходят. Тот же SSH не есть панацея от всех бед (тут когдато пролетала новость о том что и его взломали). Снифером снять дамп авторизации не вопрос, а раскрутить его в оффлайне уже вопрос только времени. Если есть дамп сессии время на размышление/ломание неограничено.

OpenStorm ★★★
()
Ответ на: комментарий от Sun-ch

>Читать умеешь?

Еще как умею. У меня тоже в кроне бекапы через SSH (scp -pqr...) делаются, и чуствую сие ой как стремно. Они же уже залогинились локально, осталось через suckit cделать подмену cron-задачи на пример cron.hourly. А в крон можно хоть слона зпихнуть. Пример : scp crondaily_suck_code dstserver.dstdomain:/etc/cron.daily....

И что самое интересное, у 90 % авторизация в ssh небось сделана на доверительных ключах, потому что для scp-бэкапа чтобы он прошел без вопросов это надо, а значит scp никаких паролей не спросит.

А в самом файле crondaily_suck_code можно написать: adduser... passwd (причем пароль упадет на рута)... или что хочешь (хоть слона нарисовать).

Чдем часик, пьем кофе, выкуриваем сигарету пока крон перестартует и сервер наш ;)

Я более чем уверен, что у 90% чиающих этот форум если сделают ps aux | grep cron увидят что он у них запущен от имени root. Руки развязаны господа.

;)

( Irsi - мудилище, где же ты, ждем тебя с нетерпением. Хочешь я тебе столько жоп в Windows покажу, тебе и не снилось.)

OpenStorm ★★★
()
Ответ на: комментарий от OpenStorm

;) Лекарство от этой атаки - с DMZ-серверов только снимать бэкапы, но никогда не инициировать бэкапы с самих DMZ-серверов. То есть получатель должен сам забрать бэкап с сервера, но никак не сервер должен отправлять свой бэкап. В этом случае ssh-cron дыры не будет. А она у них была - более чем уверен!

OpenStorm ★★★
()

Короче, вот описание этого якобы нового руткита:
http://freshmeat.net/articles/view/1039/

Проблема была известна еще в сентябре. Изменения не успели попасть в
2.4.22. Так что нужно срочно апдейтить ядро до 2.4.23.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.