Re: Debian Invadido
On Mon, 01 Dec 2003 12:06:26 -0200
José Adilson <joseao@globo.com> wrote:
> Prezados Senhores,
> Alguém já leu as primeiras informações sobre a invasão dos servidores
> Debian?. Os detalhes estão em http://www.wiggy.net/debian/explanation/.
Na verdade o link mais interessante seria:
http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-200311/msg00012.html
> O detalhe mais importante é que aparentemente não se sabe até o momento
> como um usário não privilegiado, após "sniffar" uma senha, conseguiu se
> tornar root.
bom, me parece que isto está bem claro nesta parte do texto:
However there was two problems.
(1) The kernels running on the machines in question didn't all get a
ptrace fixed kernel as fast one might have liked. Master, Klecker
and Murphy got new kernels in May but Gluck for various reasons
didn't get upgraded till August (although I believe it had
/proc/sys/kernel/modprobe fixed to at least block the most common
exploit before that).
Uma das máquinas por vários motivos nao teve o kernel atualizado para
corrigir uma falha relacionada ao ptrace (aquela velha lenda do ptrace).
Eu me preocupo mais em entender como o usuário sniffou a senha e pegou a
conta nao privilegiada do que como ele virou root. Como ele virou root está
bem claro no texto.
> Este me parece ser o ponto crítico. O restante é
> relativamente comum: pegar a senha de um usuário não privilegiado e
> procurar vulnerabilidades para tornar o usuário privilegiado e, em
> seguida, modificar o init. Quém imaginaria uma coisa dessas nos
> servidores mais importantes do Debian?.
Já pensou na dificuldade de se gerenciar algo em torno de mil
desenvolvedores debian acessando estas máquinas frequentemente.
Qualquer sistema está sujeito a falhas. E o problema nao foi no *debian* e
sim na não atualização do kernel.
> E vejam que as máquinas são
> relativamente atualizadas, kernel 2.4.22 e alguns patches. Gostaria de
> saber as opiniões dos especialistas Debian brasileiros sobre
> contramedidas para evitar furos desta magnitude em servidores Debian já
> que considero muito grave a extensão do ataque.
> Obrigado.
Não sou nem um pouco especialista em debian. Mas o problema não me preocupa.
A condução do problema foi o mais importante. fora alguns serviços que
ficaram e ainda estão fora do ar, nenhum usuário foi afetado. Todas as
medidas cabiveis foram tomadas e em breve o serviços estarão de volta.
Realmente acho que voce nao entendeu que a máquina Gluck não estava com os
mesmos paches das outras máquinas. E acessando-se uma maquina,
conseguindo-se acesso de root é possivel se pegar as senhas dos usuarios que
estao no sistema e testa-las nos outros servidores.
Todas as medidas estao sendo tomadas a equipe "qa" e "security" estão
trabalhando duro para que isto não ocorra novamente.
--
-------------------------------
Agney Lopes Roth Ferraz
agney@users.sourceforge.net
Reply to: