WICHTIG: Maschinen von Debian.org kompromittiert!

[dodolin]

http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1167
http://www.heise.de/newsticker/data/odi-21.11.03-001/
http://cert.uni-stuttgart.de/files/fw/d ... 031121.txt

Wie in der RUS-CERT Meldung zu lesen, ist es dringend anzuraten, vorerst keine Updates von Debian-Systemen z.B. via apt-get, dselect und Co. vorzunehmen und abzuwarten, bis die Situation geklärt ist.

[robertw]

Heftig...

Mein erster Gedanke: Wir streitens und hier über "Anfänger", die wenig Ahnung haben - und sogar bei den Profis findet sich immer noch irgendwo eine Lücke...

:evil:

Wenn es eine Erweiterung der "Entscheidungshilfe Rootserver" geben könnte, dann eher mit diesem Thema.

Robert

[captaincrunch]

Ich sag's ja immer wieder gerne : der einzig sichere Rechner steht kilometerweit unter der Erde in einem Atombunker ohne jegliche Außenanbindung. ;)

[dodolin]

@RobertW:

Ich bin mir ziemlich sicher, dass es einen Unterschied zwischen diesem erfolgreichen Hack und denen von N00b-Rootservern gibt:

Die Rootserver sind teilweise so unsicher konfiguriert, dass es für Scriptkids ein leichtes ist, mit automatisierten Tools auf Knopfdruck eine Rootshell zu erhalten.

Ohne jetzt näheres zu wissen, gehe ich schwer davon aus, dass das bei den Debianservern sicher nicht der Fall war, und dort nur jemand mit enormem Fachwissen (möglicherweise sogar Insiderwissen) mit nicht unerheblichem Aufwand erfolgreich einbrechen konnte. Außerdem wurde dort der Hack innerhalb von 24h bemerkt, was man von Rootservern auch nicht gerade behaupten kann. Dann wurde er sofort öffentlich bekannt gegeben, wohingegen bei Rootservern, die oft als Reseller benutzt werden, alles daran gesetzt wird, das vor den "Kunden" zu vertuschen...

[mikespi]

Hallo,

ich habe gestern mein Debian frisch installiert ( liege also in den 24 Stunden ),
wäre es besser ich installiere neu?

zwecks der Sicherheit

Danke
Mike

[gopha]

Laut Heisemeldung wurden keinerlei Softwarepakete komprimiert, die letzten Ã?nderungen wurden am 17.11 vorgenommen.

Siehe auch http://heise.de/security/news/meldung/42258

[mikespi]

ja habe ich auch gelesen,
ich wollte eigentlich Meinungen hören was andere in dieser Situation machen würden.

[dodolin]

wäre es besser ich installiere neu?

Wenn du noch nichts groß konfiguriert hast, würde ich das tun. Allerdings erst mal noch ein paar Tage abwarten, bis die Archive alle wieder vollständig aus gesicherten Quellen stammen.

[mikespi]

Hallo Dodolin,

deine Antwort bestärkt mich in meiner Absicht.
Die Konfiguration würde ich mal so bei 50% sehen.

So kann ich das Script von CC ja gleich noch mal nutzen.

Danke
Mike

[lufthansen]

hat jemand von euch eigentlich infos wie die da rein gekommen sind ?
buggy soft oder social enginering ?
und weiß jemand ob packete wirklich manipuliert worden sind ?

[captaincrunch]

Angeblich ein verdammt mies gewähltes Passwort.

[lufthansen]

von wem den ? root ? einem sys user ?
gibt es da irgend wo genauere infos ?

[metrix]

wie seht ihr das eigentlich? kann man mittlerweile guten gewissens auf r2 updaten?

habe seit der meldung kein apt-get upgrade mehr gefahren ...

[captaincrunch]

Please note that we have recently prepared a new point release for Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been announced yet, it has been pushed to our mirrors already. The announcement was scheduled for this morning but had to be postponed. This update has now been checked and it is not affected by the compromise.

Quelle : http://www.debian.org/News/2003/20031121

[dodolin]

Angeblich ein verdammt mies gewähltes Passwort.

Entweder das, oder es wurde wo gesnifft etc. pp.

von wem den ? root ? einem sys user ?

Auf den gecrackten Maschinen hatte jeder Debian Developer (DD) einen Zugang. Es ist immer ein Problem, wenn man Maschinen betreut, zu denen mehrere Hunderte oder gar Tausende User einen Zugang haben...

gibt es da irgend wo genauere infos ?

http://www.wiggy.net/debian/
http://www.wiggy.net/debian/status/
usw.

Außerdem in der Newsgruppe de.comp.security.misc, da gibts nen Megathread dazu, indem auch DD's mitschreiben, die da etwas besser informiert sein dürften...

[captaincrunch]

Laut http://www.wiggy.net/debian/developer-securing/ scheint es mir fast so, als wären auch Rootkits im Spiel gewesen. Nichtsdestotrotz enthält das ganze aber auch ein paar ziemlich nützliche Tips, wie man sein System noch weiter sichern kann.

[dodolin]

scheint es mir fast so, als wären auch Rootkits im Spiel gewesen

Ja. Die Vermutungen lauten wohl so ähnlich wie:

User-Account auf $Maschine bekommen, lokaler Exploit mit Priviledge Escalation, danach root auf $Maschine. Da die Debianinfrastruktur wohl mit verteiltem PW-Management arbeitet, hatte er durch den User-Account automatisch auch Zugriff auf die anderen Maschinen, wo vermutlich der selbe lokale Exploit funktionierte.

Mit den root-Rechten wurden dann wohl pty-Sniffer und Co. installiert, um noch viele weitere Passwörter und Infos zu erhalten.

[captaincrunch]

So, jetzt ist es wenigstens halbwegs raus :
http://lists.debian.org/debian-devel-an ... 00012.html

Es begann wohl wirklich mit einem gesnifften Passwort.