Re: Debian Invadido

To: debian-user-portuguese@lists.debian.org
Subject: Re: Debian Invadido
From: Agney Lopes Roth Ferraz <agney@users.sourceforge.net>
Date: Mon, 1 Dec 2003 14:25:43 -0200
Message-id: <[🔎] 20031201142543.26f8aeeb.agney@users.sourceforge.net>
In-reply-to: <[🔎] 3FCB4AE2.6000500@globo.com>
References: <[🔎] 3FCB4AE2.6000500@globo.com>

On Mon, 01 Dec 2003 12:06:26 -0200
José Adilson <joseao@globo.com> wrote:

> Prezados Senhores,
> Alguém já leu as primeiras informações sobre a invasão dos servidores 
> Debian?. Os detalhes estão em http://www.wiggy.net/debian/explanation/. 

Na verdade o link mais interessante seria:
http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-200311/msg00012.html

> O detalhe mais importante é que aparentemente não se sabe até o momento 
> como um usário não privilegiado, após "sniffar" uma senha, conseguiu se 
> tornar root.
bom, me parece que isto está bem claro nesta parte do texto:
However there was two problems.

(1) The kernels running on the machines in question didn't all get a
    ptrace fixed kernel as fast one might have liked.  Master, Klecker
    and Murphy got new kernels in May but Gluck for various reasons
    didn't get upgraded till August (although I believe it had
    /proc/sys/kernel/modprobe fixed to at least block the most common
    exploit before that).

Uma das máquinas por vários motivos nao teve o kernel atualizado para
corrigir uma falha relacionada ao ptrace (aquela velha lenda do ptrace).

Eu me preocupo mais em entender como o usuário sniffou a senha e pegou a
conta nao privilegiada do que como ele virou root. Como ele virou root está
bem claro no texto.

> Este me parece ser o ponto crítico. O restante é 
> relativamente comum: pegar a senha de um usuário não privilegiado e 
> procurar vulnerabilidades para tornar o usuário privilegiado e, em 
> seguida, modificar o init. Quém imaginaria uma coisa dessas nos 
> servidores mais importantes do Debian?.
Já pensou na dificuldade de se gerenciar algo em torno de mil
desenvolvedores debian acessando estas máquinas frequentemente.
Qualquer sistema está sujeito a falhas. E o problema nao foi no *debian* e
sim na não atualização do kernel.
> E vejam que as máquinas são 
> relativamente atualizadas, kernel 2.4.22 e alguns patches. Gostaria de 
> saber as opiniões dos especialistas Debian brasileiros sobre 
> contramedidas para evitar furos desta magnitude em servidores Debian já 
> que considero muito grave a extensão do ataque.
> Obrigado.
Não sou nem um pouco especialista em debian. Mas o problema não me preocupa.
A condução do problema foi o mais importante. fora alguns serviços que
ficaram e ainda estão fora do ar, nenhum usuário foi afetado. Todas as
medidas cabiveis foram tomadas e em breve o serviços estarão de volta.
Realmente acho que voce nao entendeu que a máquina Gluck não estava com os
mesmos paches das outras máquinas. E acessando-se uma maquina,
conseguindo-se acesso de root é possivel se pegar as senhas dos usuarios que
estao no sistema e testa-las nos outros servidores.
Todas as medidas estao sendo tomadas a equipe "qa" e "security" estão
trabalhando duro para que isto não ocorra novamente.

-- 
-------------------------------
Agney Lopes Roth Ferraz
agney@users.sourceforge.net

Reply to:

Follow-Ups:
- Re: Debian Invadido
  - From: José Adilson <joseao@globo.com>
- Re: Debian Invadido
  - From: Mario Olimpio de Menezes <mario@curiango.ipen.br>

References:
- Debian Invadido
  - From: José Adilson <joseao@globo.com>

Prev by Date: Re: Cavalo de Troia LKM
Next by Date: maquina web/e-mail atras da máquina firewall - novamente
Previous by thread: Debian Invadido
Next by thread: Re: Debian Invadido
Index(es):
- Date
- Thread