Feltörték a Debian projekt szervereit

Mondjuk en kifejezetten orulnek neki, ha egy kicsit tobb ember hasznalna Gentoo-t...:)

Viszont szerintem sem belso ember volt.

Sajnos valoban van igazsag abban amit irsz. Tisztelet a kivetelnek.

Szerveremen (woody) script vegzi idonkent az "apt-get upgrade"-et, es kimenetet elkuldi mailben.

Eddig egesz sokaig nem jott semmi, viszont ma delben:

Reading Package Lists...

Building Dependency Tree...

9 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Inst bsdutils (1:2.11n-7 Debian:3.0r2/stable)

Conf bsdutils (1:2.11n-7 Debian:3.0r2/stable)

Inst debianutils (1.16.2woody1 Debian:3.0r2/stable)

Conf debianutils (1.16.2woody1 Debian:3.0r2/stable)

Inst mount (2.11n-7 Debian:3.0r2/stable)

Conf mount (2.11n-7 Debian:3.0r2/stable)

Inst util-linux (2.11n-7 Debian:3.0r2/stable)

Conf util-linux (2.11n-7 Debian:3.0r2/stable)

Inst console-data (1999.08.29-24.2 Debian:3.0r2/stable)

Inst nano (1.0.6-3 Debian:3.0r2/stable)

Inst procps (1:2.0.7-8.woody1 Debian:3.0r2/stable)

Inst zlib1g-dev (1:1.1.4-1.0woody0 Debian:3.0r2/stable) []

Inst zlib1g (1:1.1.4-1.0woody0 Debian:3.0r2/stable)

Conf console-data (1999.08.29-24.2 Debian:3.0r2/stable)

Conf nano (1.0.6-3 Debian:3.0r2/stable)

Conf procps (1:2.0.7-8.woody1 Debian:3.0r2/stable)

Conf zlib1g (1:1.1.4-1.0woody0 Debian:3.0r2/stable)

Conf zlib1g-dev (1:1.1.4-1.0woody0 Debian:3.0r2/stable)

Visszategyem korabbi verziot?

Érzem, hogy ebből könnyen lehet a HUP readers choice szavazáson az év legtöbbet olvasott cikke :)

Na meg az év distrib flamewarja is :)

Elofordul a legjobb csaladban is. Akar dnsbug, akar megtortek.

Ha megtortek, akkor benan tortek meg. Igazan gondolhattak volna arra, hogy hany isp hasznal debiant, es micsoda csodalatos backdorokat lehetet volna rakni egy ket gepre. Fene az ilyen amatoroket:-)

ha van kedved :)

link

Ez azt jelenti, hogy feltortek:

Martin Schulze irta:

"Some Debian Project machines have been compromised

This is a very unfortunate incident to report about. Some Debian

servers were found to have been compromised in the last 24 hours.

The archive is not affected by this compromise!

In particular the following machines have been affected:

. master (Bug Tracking System)

. murphy (mailing lists)

. gluck (web, cvs)

. klecker (security, non-us, web search, www-master)

Some of these services are currently not available as the machines

undergo close inspection. Some services have been moved to other

machines (www.debian.org for example).

The security archive will be verified from trusted sources before it

will become available again.

Please note that we have recently prepared a new point release for

Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been

announced yet, it has been pushed to our mirrors already. The

announcement was scheduled for this morning but had to be postponed.

This update has now been checked and it is not affected by the

compromise.

We apologise for the disruptions of some services over the next few

days. We are working on restoring the services and verifying the

content of our archives."

Ha a gentoo szervereit feltornek, Te talan atternel?

Igen. Ez korrekt. Érdemes összehasonlítani a nyitó cikkben idézett levéllel, hogy az összes servert feltörték. (Ezt persze nem a hír beküldőjére értettem, hanem a levére, amit beidézett. Aki ide beküldte, jól tette, mert inkább egy kis ijedtség, mint utólag nagy.)

Linux-BSD is :)

>Legalabb paran atternek Gentoo-ra! :-)

Miert? Minden szoftverben van hiba. Minden projektben lehet rosszakaratu ember, stb.

Csak emlekeztetni szeretnelek:

- az apache projekt szerveret is megtortek mar (megis hasznalunk apache-ot)

- bind allandoan lyukas, megis mindenki ezt hasznalja

- az openssh is volt mar nem egyszer kompromittalhato (nincs helyette jobb)

- a linux kernelben sem egyszer volt lokalis root hiba

- a gnu projekt szervereit is

- az openbsd ftp szerveret is

szamos mas szervert is amit eszrevettek (jobbik eset)/vagy nem vettek eszre (rosszabbik eset)

ettol nem hiszem, hogy valakinek megvaltozna gyokeresen a hite.

En nem hinnem, hogy a Gentoo biztonsagosabb lenne, mint barmelyik mas Linux disztrib. De varjuk meg, hogy elmondjak hogyan tortek meg. Mert ha mondjuk ugy hogy egy olyan szervizt nyomtak fel, ami a tobbi disztribucioban is jelen van, akkor mondhatjuk, hogy a Debiannak nincs szerencseje, hogy azt neztek ki, mint aldozat (azaz nem Debian specifikus bug, nem sok ilyen volt az elmult evekben). Ha meg rosszindlatu belso ember miatt tortent, az ellen szinte lehetetlen vedekezni.

trey> kicsit buggy meg ez a script nem ignotus? :-)

Bugos meg nemkicsit, de postrol-postra jobb! :-D

--
....sutongi tti olleh

>Aki ide beküldte, jól tette, mert inkább egy kis ijedtség, mint utólag nagy.)

Igy igaz. Jobb felni, mint megijedni. Ezert is tettem ki a cikket.

Ja, mert a Te Linuxod az aztan feltorhetetlen! Ennyire azert nem kellene primitivnek lenni.

Itt nehany korabban hozzaszolo Gentoo-s egyen is ritka nagy bunkosagrol es hozzanemertesrol tett tanubizonysagot.

A Gentoo semmi olyan feature-t nem tartalmaz, amivel a fenti dolog megelozheto lenne. Azt ugye el kell ismerni, hogy a security.debian.org eleg gyorsan szokott frissulni, igy lehetoseg van egy debian gep biztonsagi problemainak automatikus kezelesere. Ettol meg a rendszered nem 100%-ig biztonsagos (mert ilyen ugye nincs), de eleg sokat tettel, hogy ne legyen problemad.

En asszem, hogy sokan azert nem ternek at Gentoora, mert ilyen onjelolt baltaarcu predikatorok agitalnak, ha kell, ha nem.

Szoval kedves Thuglife neked is vissza kellene venned az arcodbol, mert te is kerulhetsz ugyanebbe a sz#r helyzetbe, es akkol elegge hulyen fogsz kinezni.

En nagyon sajnalom a dolgot, bar Slackware-t hasznalok, ugyhogy ez az eset kozvetlenul nem erint. Mindig elszomorito, hogy egy-ket impotens, balfek cracker mekkora kart tud okozni egy ilyen kozossegnek.

Andrei

U.I: Sorry a kemeny hangnemert, de elegge idegesito volt itt egyesek stilusa. Csak arra kernem a moderatort, hogy ha engem kicenzuraz, akkor tegye meg a fenti ovodasokkal is.

trey nem kene a hirben atirni, hogy hivatalosan meg lett erositve, hogy bizonyos szervereket kompromittaltak? esetleg 1 uj cikk meg feltunobb lenne.

Vudumen

Valamint egy link Shulze bejelentésére.

Mondjuk en is csak levlistan kaptam, gpg alairas nelkul, de azert eleg valoszinu. Megneztem a mail headert, es ugyanaz, mint a szerdai Weekly News-e (infodrom.org, luonnatar.infodrom.org, murphy) Szoval valszeg tenyleg hiteles.

mivel murphy-t is megtortek mar kevesbe hat olyan hitelesnek :D

Ki a faszom beszel itt Linux rol? :D Ember gondolkozz mar ep esszel

> - az apache projekt szerveret is megtortek mar (megis hasznalunk apache-ot)

En pl a 32kb-os webfs nevu softwaret hasznalom az 5Mb-os apache helyett, koszoni szepen. Bar nyilvan csak igen egyszeru dolgokra alkalmas :)

> - bind allandoan lyukas, megis mindenki ezt hasznalja

Van djbdns is, AFAIK. En mondjuk a dnsmasq-t hasznalom, persze ezis "kisfelhasznalos" ;)

> - az openssh is volt mar nem egyszer kompromittalhato (nincs helyette jobb)

Es ssh.com-rol hallott itt valaki? :) A kozhiedelemmel ellentetben NEM closedsrc, es persze ezt hasznalom. Igy legalabb nem kell fosnom 2 havonta hogy vulnerable vagyok-e a legujabb openss[h-l] lyuk miatt.

> - a gnu projekt szervereit is

Szerencsere egy 2001-es LFS ajanlas szerinti a rendszerem, tehat nem upgradelek esz nelkul pl ujabb gcc-re :D

Melyik levlista? Megkeresném a weben

> Itt nehany korabban hozzaszolo Gentoo-s egyen is ritka nagy bunkosagrol es hozzanemertesrol tett tanubizonysagot.

Kitöröltek egy hozzászólást és emiatt nem olvastam, vagy csak a "Legalabb paran atternek Gentoo-ra! :-)" hozászólásra gondolsz?

Mert ha csak ez az utóbbi a reakciód kiváltója, akkor megvan a véleményem, hogy ki is a - tényleg ritka nagy - tuskó.

KisKresz

Ha jól emlékszem nemrég volt távoli exploit a webfs-ben :)

De ha jól tudom a szervereket még nem törték fel.

Majd jövőre :-O

haver postolt nekem egy linket:

klikk [cert.uni-stuttgart.de]

ugyanaz a level, immar gpg signnal egyutt.

ssh.com féle ssh-ban is volt már csúnya luk! Pontos dátumot már nem tudok, de valahol mundjuk legyen a időpont a 3.0r0 release ideje, és legyen b; az openssh-ban talált nagyon híressé lett luk, és valahol a és b közt félúton volt egy baromi nagy luk ssh.com féle ssh-ban! Ez az egyik dolog.

A másik meg az, hogy imho mindenki tudja, hogy ssh.com féle ssh open source, és nem azért nem használom, mert nem open source, hanem azért mert nem free sw.

Szerintem a hup történetében még nem történt meg olyan, hogy kitörltünk volna hozzászólást. De nézd meg a FAQ-ban, ami pont a hozzászólások előtt majd kiszúrja az ember szemét: ha a moderálásnál flamebait-nek vagy hasonlónak pontozzuk, akkor a 0 helyett pl. -1 pontos lesz egy anon hozzászólás, és ha vki. a küszöböt 0 -ra állítja, akkor az az ilyen hozzászólást (és ami az alá esik a fában) nem fogja látni.

Jól emléxel, én viszont sehol nem állítottam hogy secure :)

Félreértettél! -1 a küszöböm.

Arra szerettem volna némiképpen ironikusan rámutatni, hogy összesen két "Gentoo-s" hozzászólás volt: "Legalabb paran atternek Gentoo-ra! :-)" ill. "Mondjuk en kifejezetten orulnek neki, ha egy kicsit tobb ember hasznalna Gentoo-t...:)". Ráadásul mindkét hozzászólás után ott a smiley.

Így aztán az "Itt nehany korabban hozzaszolo Gentoo-s egyen is ritka nagy bunkosagrol es hozzanemertesrol tett tanubizonysagot." mondatot igazságtalannak és sértőnek éreztem.

Ennyi, ezt a témát nem ragoznám tovább...

KisKresz

varjatok meg azert amig hazaertek :-)

ehh, szoval amig hazaerek. A kocsimban __jelenleg meg__ nincs internet :-))

de csoro vagy :-)

Hali!!!

Mostanában kissé sűrűsödtek, a különböző szerver feltörések!!

Az FSF alphája, egy kernel-cvs mirror, most több debian-os szerver..

Szerintetek ez az ütem normális? Úgy beleillik a mai képbe, s csak én érzem úgy, mintha kissé sűrűsödtek volna az ilyen jellegű dolgok??

Zsiráf

U.i.: Amúgy én még mindig sajnálom, hogy a Kernel-es dolgot ezidáig 27 hozzászólást kapott, míg a Debián már most elérte a 44-et.

Pedig a kernel 'élete' MINDEN Linux disztribúcót befolyásolhatja, még mondjuk a Debian

'csak' a Debian-ét (no meg a derivatívokat)...

Én ezt két dolog együttes fennálásával tudnám magyarázni:

- A legtöbb olyan ember aki a site-ot olvassa, az a linuxok közül a debian-t használja. Ez ki fog derülni, pl. a hup reader's choice-ból is :-) (És imho azért használ nagyon sok ember Debian-t, mert az az a disztró, ami a leginkább megpróbálja a szabad szoftveres irányvonalat képviselni, és valóban azért dolgoznak, hogy a végén a felhasználónak legyen jó. Pl. erre utal az is, hogy RMS és branden is két különböző szempontból közelítette meg a GFDL-t, és mind a ketten a "javunkat" akarják... És olyan eszközt szeretnének mind a két oldalról a kezünkbe adni, amibe később ilyen kis 'baromarcúak' mint a SCO nem tudnak belekötni)

- A másik dolog, hogy a Debian stable verziójára nem kifejezetten jellemző az a hú de nagy kapkodás. Az egyszer kijött... Van benne egy 2.4.18, de még a sid-be se tesznek minden nap kernel-t. Emlékezz vissza, pl. amikor az openbsd ftp szerverét megtörték... A Debianosoknak (köztük nekem is) körbe ért a szám az arcomon, hogy de a Debianban viszont nem cserélték ki trojan-ra az openssh-t, errgo aznap is nyugodtan hajthatom álomra a fejecskémet :-)

Röviden összefoglalva ezt a második érvet: a stabil debian kiadásokkal elég konzervatív módon bánnak -> amit máshol kicseréltek trojan-ra, annak van ideje kiderülni, mielőtt a debianba bejutna ;P

Ok, gyu!

Nem arra gondoltam, hogy a debian-hoz tul sok (sot azt is tul kevesnek erzem), hanem hogy az FSF-ehez kepest kisse keves. Akkor mindenhol kilometeres threadek mentek... ha emlekszel..

Persze lehet, hogy az volt az elso ilyen jellegu (nagyon alapveto dolgokat erintett) es azota "belefasoltunk"...

Zsiraf

Es azt se feledjuk el, h ha jol emlekszem, akkor az FSF eseteben nem volt rendes, megbizhato mentes a cuccokrol, ugy kellett innen-onnan osszevadaszni a validalashoz szukseges signeket, checksumokat, stbstb... Ahhoz kepest a kernel komprommitalodasa sima ugy volt, teszt verzio cvse, egy napon belul kiderult es el is haritottak a problemat. Ebben az esetben is egy nap alatt kiderult, h gaz van, bar azt nem tudom, h a problemaelharitasban eppen hol tartanak...

Szoval szvsz az FSF eseteben leginkabb a problemafelismeres es elharitas korulmenyeinek illetve az elso voltanak tudhato be a sok 'kilometeres thread'

Hello.

Nem mondtam, hogy hasznaljon mindenki Gentoot, hiszen en is sok helyen ezt, sok helyen azt hasznalok. Egyszeruen orulnek neki, ha masok is kiprobalnak a Gentoot is, es lenne osszehasonlitasi alapuk. Sokan a Debiannal kezdtek a Linuxos ismereteiket es tudom hibasan, de en istenitettem. Tenyleg nem szabad egy rendszert sem isteniteni, mindegyiknek megvannak a sajatossagai, az elonyei, a hatranyai.

Igen valoban idoigenyesebb, hiszen tobb ideig tart mig lefordul a rendszer, foleg ha az egesz rendszerrol van szo..

Minap ki is alakult egy kis vita az IRC halozatokon, hogy most akkor Debian vagy Gentoo vagy *bsd vagy egyaltalan mit hasznaljon az ember, ha tenyleg okos akar lenni. Biztonsagos legyen, stabil, gyors, multimedias, elbirja a terhelest, konnyen karbantarthato stb... hat igen, ilyen rendszer mapasag nem letezik.. Igaz elkepzelheto, hogy letre lehet hozni, de mint tudjuk, minel kenyelmesebb egy rendszer es minel tobb soros a kod, annal tobb hibalehetoseg van es egyre tobb sechole alakulhat ki... egyik veglet sem jo. Lehet olyan rendszert kesziteni, ami ``tutira'' torhetetlen, de kezelni es adminisztralni, karbantartani szinte programozoi/rendszer programozoi feladat, vagy az ember csinal egy olyan rendszert, amit mindenki tud kezelni, meg az ovodaban is, de ne varjuk el tole, hogy biztonsagos legyen...

Itt most visszakanyarodok kicsit az elejehez... Nem istenitem a Gentoot. Sot...most pont arra keszulok, hogy egyaltalan elfogadjam magamban is azt a tenyt, hogy otthon par gepre Gentoot raktam. Hogy jol dontottem-e, kertem kolcson Jo 30 gepet, amelyek segitsegevel szeretnek olyan teszteket csinalni, hogy kideritsem melyik terjesztes ( Debian, Gentoo ), miben mutat kiemelkedo es miben mutat nem egeszen kielegito teljesitmenyt.

Tulajdonkeppen mindenki azt hasznalja ami _neki_ a legjobban fekszik, vagy szerinte a legjobb. Persze ezeket, ahogy irtad is, ala kellene tamasztani szakmai dolgokkal. Eppen ezert nem irok semmi konkretat. Sajat erzekeimre nem bizhatok 2 rendszer kozotti kulonbsegmeghatarozast. Hivatalos meresekkel es tesztekkel lehet eldonteni a dolgot. ES akkor SEM biztos, hogy az ugy is van, lehet, hogy a tesztek veletlenul alakultak, ugy ahogy. Mindenesetre mivel imadom minket rendszer, eppen ezert szeretnem pontosan tudni, hogy melyik milyen teruleteken jobb mint a masik.. igy ki tudok alakitani egy ``optimalis'' kepet magamnak, hogy hova mit is hasznaljak.

--

Pápai Ádám alias WoOh

Debian Group - Association of Hungarian Linux Users

[..] Kar a Debian-osokert. Legalabb paran atternek Gentoo-ra! :-)

-Orgi-

ehhez ennyi megjegyzesem lenne...

#include http://www.gentoo.org/security/en/glsa/glsa-200312-01.xml [www.gentoo.org]

(hozzafuzve, h a legkisebb karorvendes sincs bennem, csupan a figyelmedet szeretnem felhivni ra, h mennyire feleslegesek az ilyen megjegyzesek, mint amiket nemregiben tettel.)

Oke oke, semmi problema. :)

Ha ez valoban komoly - es nagyon annak latszik, - akkor igen kellemetlenul erint tobb ezer embert...

Raadasul eleg sokan vakon megbiztak a Debian rendszerukben.. lehet hogy most 1 kicsit megvaltozik a hozzaallasuk..

Remeljuk minel hamarabb feny derul az igazsagra, hogy mi is tortent valojaban.

Ha tenyleg az osszes szervert megtortek az eleg gaz... Az szamszerint hany db.? Mert ha a hir igaz akkor szerintem belso ember volt. Kar a Debian-osokert. Legalabb paran atternek Gentoo-ra! :-)

-Orgi-

ROTFLMAO :D Legalabb visszavesznek egy kicsit az arcukbol :D

Nem feltétlenül kellett, hogy belső ember legyen. Tudtommal a Debianosok legtöbb gépére LDAP segítségével lehet belépni, így rögtön van egy központi lehetőség a loginek megszerzésére.