LINUX.ORG.RU

kernel.org был скомпрометирован

 ,


0

1

На сайте kernel.org, предоставляющем доступ к исходным кодам ядра Linux, появилось сообщение о том, что 28 августа инфраструктурные серверы были скомпрометированы. Исходный код ядра не повреждён — об этом можно говорить благодаря строгому контролю целостности репозиториев распределённой системы git, но всё равно сейчас выполняется его проверка.

На серверах постепенно производится переустановка систем, а также ведётся расследование инцидента и выявление последствий действий злоумышленников.

Сообщение на lwn.net

>>> Подробности

★★★★★

Последнее исправление: post-factum (всего исправлений: 2)
Ответ на: комментарий от Deleted

>SCO восстала из мертвых..

Такого не может быть, их на киллометр в землю закопали и сверху трехтонным монолитом придавили.

splinter ★★★★★
()
Ответ на: комментарий от tazhate

цео вкусносервера ну тыпонял сам

bhfq ★★★★★
()

они еще и полицию по обе стороны океана на уши поставили. Изю теперь посадят.

splinter ★★★★★
()
Ответ на: комментарий от splinter

http://www.groklaw.net/article.php?story=20110830170454743

Tuesday, August 30 2011 @ 05:04 PM EDT

Finally, the 10th Circuit Court of Appeals has ruled [PDF] on SCO's appeal of its loss to Novell in the second jury/bench trial. The appeals court affirms in all respects.

So, SCO loses again, and likely this is as far as it will go. Technically, SCO can ask the US Supreme Court to hear a further appeal, but that is very unlikely to happen and even less likely to be granted were it to happen.

Deleted
()
Ответ на: комментарий от Deleted

http://www.opennet.ru/opennews/art.shtml?num=31648

Закончилась череда апелляций, в который компания SCO Group требовала аннулировать решение суда в деле «SCO против Novell», в рамках которого была признана принадлежность интеллектуальных прав на Unix компании Novell. Апелляционный суд высшей инстанции во всех пунктах утвердил ранее вынесенное решение суда. Технически, у SCO остается еще одна возможность - подать прошение в Верховный суд США на повторное рассмотрение апелляции. Тем не менее, подача подобного прошения оценивается как маловероятная.

На русском =)

Deleted
()

раз уж в этой нити многократно упоминали конкурентов
напомните плиз, когда в последний раз ломали внутренние репы, ну скажем, яблочников

wxw ★★★★★
()
Ответ на: комментарий от splinter

а кол осиновый в нужное место вогнали? а то их уже закапывали не единожды

pinkpiton
()
Ответ на: комментарий от adriano32

Да всё просто.

> Диверсия или кто-то облажался?

Вариантов всего два. 1. Некто, как обычно, «пролюбил» пароль, а дальше локальным эксплоитом добили. Вариант — был слабый пароль, который был подобран например при помощи THC Hydra (и не обязательно что перебирали на тех серваках). Руководство по стойким паролям можно найти в книге «Perfect Passwords SELECTION, PROTECTION, AUTHENTICATION», вышедшей в 2006г. в Syngress Press. ISBN: 1-59749-041-5 Там автор (Mark Burnett) рассматривает слабые пароли (и их шаблоны) на примере что-то в районе 4-х миллионов перехваченных паролей. Рекомендую прочесть. Она небольшая, всего 200 страниц, по сути дела, воды там не так много. Особое внимание рекомендовал бы уделить Chapter 9 The 500 Worst Passwords of All Time. ;) Из собственной практики — когда задаю вопрос «сколько паролей помните?» почти стандартный ответ «два», реже «три». А дальше всё просто — могли и пароли совпасть от разных учётных записей (даже!) на разных сервисах. Уж что-что, а %username% как правило совпадает. :)))

2. Скомпрометирован какой-то из локальных сервисов (тупо непатченное старьё стояло). Удачная удалённая атака, учётная запись, под которой работал сервис, так же скомпрометирована (так иной раз то же бывает). Опять добили локальным эксплоитом.

То, что всё сносят и переустанавливают, так это правильно. Во-первых, теперь не ясно — еть там бэкдор или нет (и искать на сервере в продакшоне душевно не рекомендую, потерь может быть много). В случае, если был вариант номер раз, кто-то огребёт по шапке. В случае, если был вариант номер два, огребут по шапке админы.

Ну, как-то так, в общем. :)

anonymous
()
Ответ на: комментарий от Deleted

> Apple business website

usernames and hashed passwords


не, это несерьёзно, вебморда, sql инжекция какая-нибудь
вероятно, были инциденты поинтереснее

wxw ★★★★★
()

Когда взламывают винду, то раздаётся радостный хор линуксятников про дырявую поделку микрософта. Когда взламывают линуксы, то линуксятники с суровыми лицами рассуждают о диверсиях, заговорах, человеческих факторах и т.п., сам же Линукс — прям-таки как жена Цезаря — вне всяких подозрений.

anonymous
()
Ответ на: комментарий от wxw

> напомните плиз, когда в последний раз ломали внутренние репы, ну скажем, яблочников

Может ещё 0-day приложить? :))) Просто, здесь это явный PR (поиметь там что можно-то?) Ну, разве что, бэкдор в кернел присунуть. Да... Но и это не проканает, т.к. все понимают что реп ядра восстановят. Так уже было. Смысла нет.

А вот репы яблочников будут умалчиваться как можно дольше. Потому как инфы там куда как больше можно поиметь. Да и Эпплу не выгоден такой PR. Они то же будут помалкивать.

anonymous
()
Ответ на: комментарий от tazhate

Не понимаю...

> прочитай уже где и кем я работаю и подумай, откуда у меня бзик на безопастности.

А зачем на голой груди тельник-то рвать лишний раз? :))) P.S. У! А меня тут, говорят, по результатам анального огораживания треда про Alt забанили? Ужас какой... :)))

2 JB, не хочется забанить весь Тор? Я в том треде писал как это можно сделать. :)))

anonymous
()
Ответ на: комментарий от tazhate

Угггууу... :)

> красной :)

Кстати, описалово интересное:

Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated. Files belonging to ssh (openssh, openssh-server and openssh-clients) were modified and running live. A trojan startup file was added to the system start up scripts User interactions were logged, as well as some exploit code. We have retained this for now. Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed; have been seen on other systems. It is unclear if systems that exhibit this message are susceptible, compromised or not. If developers see this, and you don't have Xnest installed, please investigate. It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change.

Из https://www.kernel.org/

Парни спалились на закладке в инит-скриптах... Хе-хе... Но паролей, видимо, накачали порядочно, коль скоро пользовательские действия протоколировались. Если бы присунули более тупой кей-логгер на базе модуля ядра, прожили бы дольше. Но это и сделать сложнее... :)))

anonymous
()
Ответ на: комментарий от splinter

> их на киллометр в землю закопали и сверху трехтонным монолитом придавили. BSD подобные обстоятельства не останавливают. Чем SCO хуже?

Akamanah ★★★★★
()

Чего там хоть натворили кулхацкеры? А то по ссылкам не хожу.

Akamanah ★★★★★
()
Ответ на: комментарий от imp

Да нет...

> Я думаю они просто применили терморектальный криптоанализ.

Возни с «клиентами» больше. Хлопотно это. Это в России хорошо править баги посредством простой бейсбольной биты в ближайшей лесопосадке. Да и то «было хорошо». Есть и более цивилизованные методы.

А тут настойчивое упоминание git'а... Видимо, где-то там всё-таки собака порылась. Пойду, проверю штоль... А то сейчас JB придёт... Опять банить будет... :)))

anonymous
()
Ответ на: комментарий от anonymous

аноним читать не умеет?

если у тебя, анонямка, сестра за спиной пароль подглядит - это тоже будет «взлом ОС» ---> ОС - дырявая поделка?

emg81
()
Ответ на: комментарий от Rakot

Fedora - ихний Апач проговорился недавно парудней назад... он там так и остался

tok@dell:/mnt/sda4/CS$ curl -I -H -s kernel.org
HTTP/1.1 200 OK
Date: Thu, 01 Sep 2011 00:21:23 GMT
Server: Apache/2.2.17 (Fedora)

Tok ★★
()
Ответ на: комментарий от tazhate

Да.

> при рут доступе это расплюнуть.

Согласен. Но тут может быть несколько препятствий. Во-первых, получение рута (даже локальный эксплоит может не всегда помочь) может быть оооочень сильно осложнено механизмами, налагаемыми ОС. Не могу не упомянуть ту же Hardened Gentoo для серваков. Там весьма гиморно его получать (тот же PaX жизнь осложняет).

Во-вторых, там же могут приключиться «правила безопасности» (тот же грамотно настроенный SELinux). Т.е., каждый сервис, каждый процесс под очень чётким контролем типа «шаг вправо-влево — побег, прыжок вверх — провокация».

В третьих, может приключится ещё и «опечатывание» системы. Та же SELinux и aide в помошь. Файл, находящийся под контролем изменился, бъём тревогу.

В четвёртых, если система стоит в продакшоне и нет нужды её еженедельно апдейдить (зачем, если это какой-то веб-серверок с говно-пэхапэ на борту?) то смысла держать там ни сырцы ядра, ни компилятор нет. Один раз собрали, плюнули и оно как работало так и работать будет пока железо не накроется. В таком случае модуль кейлоггера надо будет где-то отдельно собирать, как-то заливать, как-то прикручивать к ядру (а я, например, на серваках пользуюсь полностью монолитным, без поддержки модулей ядром и что дальше?)...

Словом, задача не всегда тривиальная.

anonymous
()
Ответ на: комментарий от Rakot

>Интересно, а на что у них на серверах крутится. Надо им на фряху переходить.

Давно пора. А вообще пускай FreeBSD форкают и Linux 4 выпускают :)

Othniel
()
Ответ на: комментарий от post-factum

>Сначала подумай о сложности поддержания безопасности такого проекта, потом вспомни, что нет ничего 100% безопасного, и перестань нести чушь.

Какого? Сайтца который раздаёт тарболы с исходниками и git? Таких проектов тьма, почему же у друхих всё в порядке, у тех же бзяшников? На счёт чуши вы ой как погорячились.

Othniel
()

It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change.

Что в точности означает эта фраза. Я, как и гугл, не смог ее перевести. Позор на мою голову...

delete83 ★★
()
Ответ на: комментарий от delete83

>Она появляется * *, что 3.1-RC2, возможно, заблокирован использовать инжектор, мы не знаем, если это преднамеренные или влиять на стороне другого исправление или изменение.

Ну что непонятного-то? Инжектор у них заблокирован! :)

Othniel
()

Как так можно, на святое посягать....

AlexVR ★★★★★
()
Ответ на: комментарий от Othniel

Хм. Кажется, я начинаю понимать, что они имели в виду.

В результате действий эксплойта могла быть повреждена ветка 3.1-RC2, однако мы не знаем, было ли это преднамеренным действием, или же случайным побочным эффектом какого-то внесенного багфикса или изменения

То есть у них сборка ядра 3.1-RC2 оказалась неработоспособна, но они не знают, сделали это взломщики или кто-то из коммитеров накосячил?

delete83 ★★
()
Ответ на: комментарий от trex6

откуда инфа? Просто интересно. Тут кругом все уже задолбалиьсь придумывать новые пароли, но через 90 дней все равно заставять менять.

firsttimeuser ★★★★★
()
Ответ на: комментарий от delete83

Им кажется, что ветка 3.1-rc2 неуязвима к тому конкретному эксплойту, что использовался у них, но они не в курсе было ли это намеренным фиксом эксплойта или выплыло случайно в процессе обычного багфикса.

Alan_Steel ★★
()
Ответ на: комментарий от delete83

>То есть у них сборка ядра 3.1-RC2 оказалась неработоспособна, но они не знают, сделали это взломщики или кто-то из коммитеров накосячил?

Теперь понятно. Все баги последующих версий можно будет спихнуть на хакеров :)

Othniel
()
Ответ на: комментарий от adriano32

> можно говорить благодаря строгому контролю целостности репозиториев

распределённой системы git, но всё равно сейчас выполняется его

проверка.



Походу тут кривой перевод. Или они своему гиту уже не доверяют что ли ?

mx__ ★★★★★
()
Ответ на: комментарий от Alan_Steel

> Им кажется, что ветка 3.1-rc2 неуязвима к тому конкретному эксплойту,

Стоп. Не очень понял. Так не было взлома что ли ? Кто то из того владел доступом к гиту, ранее закомитил эксплоит туды что ли ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Это намек, что взлом все-таки через уязвимость в ядре был произведен. Хотя согласен, мутно как-то все описано.

delete83 ★★
()
Ответ на: комментарий от delete83

> Это намек, что взлом все-таки через уязвимость в ядре был произведен.

Чего ? Что разве на кернель-орге крутилось ядро 3.1-rc2 ? о_О.

mx__ ★★★★★
()
Ответ на: комментарий от adriano32

man xnest

Конечно, разработчики ядра и xorg пишут код в консоли, даже без fb, зная какое зло эти иксы. Далее, берем libgd/graphiz он тянет за собой половину иксов. Как вы думаете откуда в тексте взялась запись про xnest?

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed; have been seen on other systems. It is unclear if systems that exhibit this message are susceptible, compromised or not. If developers see this, and you don't have Xnest installed, please investigate.

Как думаешь, что значит w/o???

adriano32 ★★★
()
Ответ на: комментарий от tazhate

>Protocols: ISO/OSI, TCP/IP, ARP, IPv4, IPv6, Ethernet, vlan, OSPF, BGP, E-BGP, IRC, XMPP, SNMP, SIP, Netflow, etc.

ты знаешь что означает эти абревиатуры? учавствовал в их разработке? Умело применяешь их(расскажи как ты эффективно используешь TCP/IP)? спициалист локалхоста

RA
()
Ответ на: комментарий от adriano32

>Как думаешь, что значит w/o???

:) А может если стоит xnest и ошибки не валятся, то значит все чики-пуки, т.е. root pwned?

gh0stwizard ★★★★★
()
Ответ на: комментарий от mx__

Чего ? Что разве на кернель-орге крутилось ядро 3.1-rc2 ? о_О.

нет...

delete83 ★★
()
Ответ на: комментарий от gh0stwizard

Блин, либо я очень тупой, либо ты не выспался: написано чёрным по белому «Трой был __обнаружен__ (discovered) по сыпавшимся ошибкам Xnest при том, что никакого Xnest не установлено и в помине.»

При чём тут назидательное man xnest с твоей стороны убей не пойму. Будь добр и великодушен, снизойди с небес на землю, объясни мне убогому, что ты имел в виду, говоря «разработчики ядра и xorg пишут код в консоли, даже без fb», когда речь идёт насколько я понимаю о взломанном сервере, а не домашнем компе разраба.

если стоит xnest и ошибки не валятся, то значит все чики-пуки, т.е. root pwned?

Не вижу связи между безошибочной работой xnest и root pwned. Иы видел код эксплоита? Может трой так маскировался хитро, дескать висит процесс, логи отдаёт, значит не трой :)

adriano32 ★★★
()
Ответ на: комментарий от adriano32

http://en.wikipedia.org/wiki/Xnest http://en.wikipedia.org/wiki/X_display_manager_(program_type)#X_Display_Manag...

когда речь идёт насколько я понимаю о взломанном сервере, а не домашнем компе разраба.

Верно, в наши дни ломают сервера как раз через домашние компы. Что стоит получить рут на компе разраба и стырить все ssh-ключи? То, что они нашли следы трояна на серверах как раз говорит о том, что разработчик трояна не подумал о том, что его могут засечь, если нужного софта не будет или не будет хватать важной его составляющей, зато хорошо подумал над тем как автоматизировать распространение трояна. В данном случае ошибки лога из-за того что нет в системе xnest наводят на мысль, что уязвимость прямым образом с этим связана. А то, что если есть xnest и в «Багдаде все спокойно» должно встревожить еще больше. Опять же это мои предположения. Линк на CVE как раз связан с XDMCP, который используется Xnest.

gh0stwizard ★★★★★
()
Ответ на: комментарий от wxw

ну и кто тебе расскажет что их взломали?

hzk
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.