Утром 12 июля администраторы обнаружили (http://lists.debian.org/debian-devel-announce/2006/07/msg000...) на одной из машин проекта (gluck.debian.org (http://db.debian.org/machines.cgi?host=gluck)), на которой размещены сервисы для разработчиков, следы от несанкционированного проникновения злоумышленника.
Данный сервер, а также ряд других машин похожих по конфигурации программного обеспечения (хоcты cvs, ddtp, lintian, people, popcon, planet, ports, release), были в срочном порядке отключены от сети. После выяснения причин взлома, все ПО на gluck.debian.org (http://db.debian.org/machines.cgi?host=gluck) (web-сервер, cvs, аккаунты разработчиков) будет переустановлено, во избежание наличия rootkit.
Следует заметить, что в 2003 году было взломано (http://www.opennet.me/opennews/art.shtml?num=3126) 4 сервера проекта Debian.org.
URL: http://lists.debian.org/debian-devel-announce/2006/07/msg000...
Новость: http://www.opennet.me/opennews/art.shtml?num=7890
Допрыгались дебиянщики со своими доморощенными патчами, которые выпускают через пол года после нахождения уязвимости. :)
Как обычно, один девелопер пароль свой прощелкал...
И т.к. они не накатили вовремя патчи на ядро - результат на лицо.. и это сервера самого дебяна. А что же творится с серверами простых смертых на дебияне? :)
Простые смертные далеко не так интересны.Тем не менее некоторые смертные попроще делают kernel.core_pattern = /dev/null на всякий. Ну и патчи. Правда, альт и поупорней дебиана будет, как мне кажется.
Я нескольких вещей не понимаю
* зачем и кому это надо?
* как увидели следы несанкционированого проникновения?
* чем следы несанкционированного проникновения отличаются от следов санкционированного :-)
неочем говорить пока не ясно кого взломали дебиян или сисадмина дебианщика
в предыдущем случае сниффером заныкали пароль :)
<off>Грамотная локализация любимого дистра свидетельствует про IQ не ниже 100.</off>
Как неоднократно говорилось, 100% неуязвимая система - это выключенный комп без сетевого кабеля. Так что говорить, что взломали именно Debian как дистрибутив - как-то не того... Думаю, что данного администратора с тем же успехом могли бы взломать на любом дистре...
И в которых по дефолту не вкомпилена мыша и клава...:)
Серьезно? Это полное разгильдяйство тогда.
Делает честь что сообщили публике...
> Делает честь что сообщили публике...+1
И это самое главное, потому многие случаи стараются скрыть, и становится еще хуже.
>> Делает честь что сообщили публике...
>
>+1
>И это самое главное, потому многие случаи стараются скрыть, и становится еще
>хуже.
Согласен, еще лучше бы было, если бы они опубликовали то, чего нароют. Порой даже тривиальные вещи можно банально проглядеть..
Они по расслке debian-news прислали полное описание проблемы. Использовалась уязвимость в ядре которую обнаружили недавно и которая пристутсвует в ядрах 2.6.13 - 2.6.16.24, 2.6.17.4. И видимо админ просто не успел проапдейтить (у него стояло 2.6.16.18). И в принципе понятно почему, это все-таки рабочий серевр и перезапускать его для апдейта ядра на каждый патч геморойно.Так что, имхо, вина админа только в том, что взломщик оказался быстрее админа.
> это все-таки рабочий серевр и перезапускать его для апдейта ядра на каждый патч геморойно.Если это патч, исправляющий проблему безопасности, то он должен быть установлен немедленно (сразу после проверки на тестовом сервере)! Потому что ликвидировать последствия взлома ещё более "геморойно".
а че, с таким именем хоста, он вообще сам упасть должен был: глюк.дебиан.орг :))
http://people.debian.org/~joey/misc/naming.html
глюк - это счасть, по-немецки...
Как вы яхту назовете, так она и поплывет? :)
http://people.debian.org/~joey/misc/naming.html -- Вы не умеете читать по англицки?
Простите, а ЗАЧЕМ КЛОУНАМ уметь читать по английски ? Ткнуть пальцем - и погыгыкать - вот самое оно...
А словосочетание "чувство юмора" тебе о чём-нибудь говорит?
Дебиан уже хачили, никто не умер.
Переставят ось, накатят архивы и все пучком. Страшнее когда НСД в CVS тогда все более печально
http://www.debian.org/News/2006/20060713
Мдя... Или пиарщики на славу стараются, или m$ или ещё кто :)> И в принципе понятно почему, это все-таки рабочий серевр и перезапускать его для апдейта ядра на каждый патч геморойно.
А про программу для выгрузки ядра и загрузки другого забыли что-ли?
> А про программу для выгрузки ядра и загрузки другого забыли что-ли?Иди мат. часть подучи - это всё-равно, что горячий рестарт, только post проходить не надо и загрузка быстрее идёт. Заменить ядро ОС незаметно для программ всё-равно невозможно.
Обнаруженое вторжение конечно лучше чем не обнаруженая.
Но все таки после первого инцидента надо было как то поаккуратней быть...
>это выключенный комп без сетевого кабеляИ замурованный в стенку
"Заменить ядро ОС незаметно для программ всё-равно невозможно"
Насколько мне известно на майнфрейме это реализовано очень давно и работает
неплохо .
Какого вы сюда приплели майнфрейм??
Ребята из Дебиан делают все возможное и делают это очень хорошо!! Они патчат ядра, если выявляют ошибки, но они их не создают. И генту и остальные дистры не застрахваны от этого.
>Какого вы сюда приплели майнфрейм??
> Ребята из Дебиан делают все возможное и делают это очень хорошо!!
>Они патчат ядра, если выявляют ошибки, но они их не создают.
>И генту и остальные дистры не застрахваны от этого.Ну есть же защищенные дистрибутивы, например Alt Linux.
Кстати при чём тут "защищённость" дистрибутива... И чем же таким отличается Alt Linux и в чём егог "защищённость", там что trusted расширения какие то или он кем то сертифицирован по уровню безопасности?
>Кстати при чём тут "защищённость" дистрибутива...Видите ли, при чём. В Master до сих пор 2.4, а с ним такие фокусы не проходили довольно давно (local root, в смысле).
>И чем же таким отличается Alt Linux и в чём егог "защищённость",
Много чем; можете почитать про Owl и это будет достаточно хорошо описывать базовую систему ALT.>там что trusted расширения какие
TCB, например. Но это в чуть другую область -- например, недавние проблемы с passwd нас не касались.>то или он кем то сертифицирован по уровню безопасности?
Где-то во времена Master 2.0 была сертификация на какой-то госуровень в .ru, с тех пор, по словам ldv@, защищённость основы только выросла.Поймите правильно, мне тоже не так давно через мамбу на одном из хостящихся сайтов попробовали всунуть uselib24. Да только не вышло.
Здрасте.> Ребята из Дебиан делают все возможное и делают это очень хорошо!!
> Они патчат ядра, если выявляют ошибки, но они их не создают.
> И генту и остальные дистры не застрахваны от этого.Остальные ребята из других тимов также делают все возможное и делают это очень хорошо! И тоже не создают ошибки. И всётаки о них чего-то не упоминают.
Если и эти, и те делают всё гут, но одного из них частенько ломают, то нужно или руки выпрямить, или сообразить, что в девелопменте дистра, что-то ахтунг.
>Остальные ребята из других тимов также делают все возможное и делают это
>очень хорошо!
Ох... кто как, когда как. Все мы люди.>И тоже не создают ошибки.
Так, к слову -- недавно в gentoo правили mpg123, в который сами же ляпнули патч с дыркой.> И всётаки о них чего-то не упоминают.
Всяко бывает.>Если и эти, и те делают всё гут, но одного из них частенько ломают,
>то нужно или руки выпрямить, или сообразить, что в
>девелопменте дистра, что-то ахтунг.
Дебиан всё-таки не совсем ординарный проект, по количеству людей, которые имеют тот или иной доступ к инфраструктуре -- наверное, разве тот же gentoo может где-то сравниваться (я не знаю точных цифр, но DD сейчас вроде порядка полутысячи). Соответственно и системы поддерживаются людьми в свободное время, насколько понимаю. А не сидя на ставке, как у коммерческих вендоров.А так -- apache.org вон ломали, sendmail -- тоже...
Сравнивать сложно.
Я сюда приплел майнфрейм потому , что некоторое господа считают что ОС началась с Линукса , а "продвинутые" господа думают что все началось с *BSD .
Многое из того что сегодня считают невозможным уже давно реализовано и работает .
И меня бесят ничем не подтвержденные утверждения .
Вот.
Сначала прочитайте про сам Дебиан (что это такое). Дебиан есть и на Mach и FreeBSD ядрах. Там такой дыры нет :) Вот недавно еще один локалрут обнаружили в 2.6.х что очень обидно :( Но увы и в Генту и в Дебиан она есть ... Я все же согласен с мнением, что пора менять политику создания ядер!!
Да по поводу ядра 2.4 - оно по умолчанию в Дебиане ставится. Я его использую т. к. оно стабильнее 2.6. Я думаю и Дебиановцы держат на главном серваке 2.4. Но всю жизнь сыт этим не будешь. Надо развиваться! Так же меня радует то, что разработчики следуют закону развития открытого ПО и не скрыват уязвимостей, которые находят. В комерчиских дистрах обычно так и делается. Не стоит забывать что люди из РХ и подобных в первую очередь делают деньги.
Re: маинфреймы: Да многое уже давно реализовано и работает. ОпенСоурс дает возможность улучшить и распространить это на весь мир.
>Я сюда приплел майнфрейм потому , что некоторое господа считают что
>ОС началась с Линукса , а "продвинутые" господа думают что все
>началось с *BSD .
>Многое из того что сегодня считают невозможным уже давно реализовано и работает
>.
>И меня бесят ничем не подтвержденные утверждения .
>Вот.
Мейнфрейм и стоит соответсвенно
>Я сюда приплел майнфрейм потому , что некоторое господа считают что
>ОС началась с Линукса , а "продвинутые" господа думают что все
>началось с *BSD .
>Многое из того что сегодня считают невозможным уже давно реализовано и работает
>.
>И меня бесят ничем не подтвержденные утверждения .
>Вот.
Да и потом *BSD и Linux это операционная система, а мейнфрейм - это ще в добавок и железо