Újabb infó a kompromittált Debian szerverekről

Debian

Mint azt tudjuk, múlt hét végén kompromittáltak néhányat a Debian Projekt szerverei közül. Túl sok infót nem lehet tudni azóta sem a dologról. Most Wichert Akkerman küldött egy levelet a debian-devel-announce@ levlistára, amelyben felvázolja a következő napok történéseit.Mint az ismert, 4 gép (gluck, klecker, master
és murphy) érintettek a támadásban. Ezeken a szervereken az összes szolgáltatást leállították, vagy elmozgatták másik szerverre. Erre azért van szükség, mert idő kell ahhoz, hogy meghatározhassák, hogy mi történt, és idő kell ahhoz, hogy helyreállíthassák ezeket a gépeket.

A quantz (amely hostolja a alioth-ot, arch-ot és svn.debian.org-ot) gép shell hozzáférése jelenleg fel van függesztve. Az összes felhasználói fiók le van zárva biztonsági elővigyázatosságból. Amint a helyreállítás megtörténik, az összes fiók engedélyezve lesz, a jelszavak törölve lesznek, és a felhasználók levélben kérhetnek új jelszót az email robottól.

A vizsgálat valószínűleg szerdáig fog tartani. Azután a projekt beszámol arról, hogy mi is történt valójában.

Wichert levele:

From: Wichert Akkerman

To: debian-devel-announce-AT-lists.debian.org

Subject: Update on compromised Debian machines

Date: Fri, 21 Nov 2003 17:47:31 +0100

After a long day and night we are getting a reasonable overview of

what happened to the various Debian servers and what we need to do

to get everything up and running again. This mail has an overview

of the current status and what will happen in the next few days.

Lets start with the current status: four machines (gluck, klecker, master

and murphy) are known to be compromised. All services on those machines

have been shut down or moved to different machines so we can take

the necessary time to determine what happened and restore the machines.

Shell access to quantz (which hosts alioth, arch and svn.debian.org) has

also been shut down for the moment as a preventive measure.

All accounts have been locked as a safety precaution. If you have or had

access to a Debian machine and were using the same password on other

machines you are strongly advised to change it as soon as possible.

When the cleanup is done all passwords will be invalidated and accounts

unlocked and people can request a new password through the email robot

on db.debian.org .

We expect to need until Wednesday and ask for your patience until then.

Afterwards when we have all the facts we will explain what exactly happened

and how we hope to prevent this from happening again in the future.

Wichert.

( spymorass v | 2003. 11. 26., sze – 13:17 )

Még mindig nem lehet tudni, hogy hogyan jutottak be a gépekbe?

( szferi | 2003. 11. 26., sze – 13:17 )

A fennti levélnél egy kicsit akuálisabb info talalható a

http://www.wiggy.net/debian/status/

oldalon. Ahol a ´developer clean info´ részben megtalálhatóak azok az intézkedések amiket érdemes végigcsinálni, ha valaki úgy érzi nincs biztonságban.

Ugyanott van egy rövid leírás a sid-es procps + chkrootkit ¨hibáról¨ is, ha valaki megilyedne a LKM Trojan jelezés miatt.

( vomberg | 2003. 11. 26., sze – 18:12 )

Lassan már működhetnének....

Magukat a szervereket látja az apt, csak semmi nem jön le. Nekem van 1-2 broken package-om az utolsó frissítésből és nincs kedvem gatyázni velük kézzel.