PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : rsync.gentoo.org rotation server compromised



waterproof
03.12.03, 17:12
-------------------------------------------------------------------------------
GENTOO LINUX SECURITY ANNOUNCEMENT 200312-01
-------------------------------------------------------------------------------
Summary : rsync.gentoo.org rotation server compromised
Date : 2003-12-02
Exploit : remote
CVE : - None -
Priority : Normal
-------------------------------------------------------------------------------

SUMMARY:
========

On December 2nd at approximately 03:45 UTC, one of the servers that makes up
the rsync.gentoo.org rotation was compromised via a remote exploit. At this
point, we are still performing forensic analysis. However, the compromised
system had both an IDS and a file integrity checker installed and we have a
very detailed forensic trail of what happened once the box was breached, so we
are reasonably confident that the portage tree stored on that box was
unaffected. The attacker appears to have installed a rootkit and
modified/deleted some files to cover their tracks, but left the server
otherwise untouched.

The box was in a compromised state for approximately one hour before it was
discovered and shut down. During this time, approximately 20 users
synchronized against the portage mirror stored on this box. The method used
to gain access to the box remotely is still under investigation. We will
release more details once we have ascertained the cause of the remote exploit.

This box is not an official Gentoo infrastructure box and is instead donated
by a sponsor. The box provides other services not related to Gentoo Linux as
well and the sponsor has requested that we not publicly identify the box at
this time. Because the Gentoo part of this box appears to be unaffected by
this exploit, we are currently honoring the sponsor's request. That said, if
at any point, we determine that any file in the portage tree was
inappropriately modified, we will release full details about the compromised
server.

SOLUTION
========
Again, based on the forensic analysis done so far, we are reasonably confident
that no files within the Portage tree on the box were affected. However, the
server has been removed from all rsync.*.gentoo.org rotations and will remain
so until the forensic analysis has been completed and the box has been wiped
and rebuilt. Thus, users preferring an extra level of security may ensure
that they have a correct and accurate portage tree by running:

emerge sync

Which will perform a sync against another server, thus ensuring that all files
are up to date.


gerade per mail bekommen :(

HackThor
03.12.03, 19:29
Hmm, erst Debian, jetzt Gentoo... is schon verdächtig.
Versucht da einer "Sicherheitslücken in Linux aufzudecken"?
Warum in aller Welt sollte jemand nichtkommerzielle Community-Projekte angreifen?
Ich versteh es nicht :confused:

ciao

Michael

Spike05
03.12.03, 19:34
Original geschrieben von HackThor
Hmm, erst Debian, jetzt Gentoo... is schon verdächtig.
Versucht da einer "Sicherheitslücken in Linux aufzudecken"?
Warum in aller Welt sollte jemand nichtkommerzielle Community-Projekte angreifen?
Ich versteh es nicht :confused:

ciao

Michael

Ich habs mir gedacht und du hast es ausgesprochen. Ist schon seltsam das ein große Firma derzeit auch parallel dazu Sicherheitslücken in Linux aufdecken möchte!

Gruß

Jochen

Shadowblade
04.12.03, 02:28
auch das gnuprojekt hat es erwischt:
http://www.heise.de/newsticker/data/ju-04.12.03-000/

hmm wer will wohl, dass linux in einem schlechten licht dasteht. wer hetzt schon die ganze zeit dagegen...
vielleicht steht ja dasselbe unternehmen auch hinter der sco-schlammschlacht...

Flightbase
04.12.03, 02:34
und wenn morgen linus an einem herzinfarkt stirbt, dann hat ms aufeinmal agenten wa?

meine güte, man kann sich da auch reinsteigern.


greets, Nik

Sonny
04.12.03, 07:53
first they ignore you, then they laught at, then they fight you, ........

Kip
04.12.03, 10:22
Original geschrieben von Sonny
first they ignore you, then they laught at, then they fight you, ........

... in der "then they fight you"-Phase sind wir ja schon länger ;)
Ich hoffe das es nicht mehr allzulange dauert bis wir in die nächste Phase kommen ... "and then you win" :D

Nichts desto trotz glaube ich auch das dies ein gezielter Angriff auf Linux und OpenSource sein könnte. Man überlege doch mal: Der Angriff auf den GNU Server im Sommer, vor 1 Woche das Debian Projekt, dann Gentoo Server und jetzt wieder GNU .... soviele Angriffe bekommt ja selbst M$ nicht ab ?!

DarkSorcerer
04.12.03, 10:42
weitere links:
http://www.pro-linux.de/news/2003/6250.html
http://www.heise.de/newsticker/data/ju-04.12.03-001/

TheGrudge
04.12.03, 10:58
und noch einer:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/boi-13.11.03-003/default.shtml&words=Microsoft%20Sicherheit%20Linux

DarkSorcerer
04.12.03, 11:49
Original geschrieben von TheGrudge
und noch einer:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/boi-13.11.03-003/default.shtml&words=Microsoft%20Sicherheit%20Linux

<paranoid>
Das könnte in Zusammenhang stehen...
</paranoid>

cane
04.12.03, 12:27
Ich bin eher der Meinung dass es sehr lohnenswert ist einen verseuchten Quelltext oder ein modifiziertes rpm auf einen öffentlichen Server / ein CVS zu spielen weil die verseuchte Version tausende von Opfern mit einer Backdoor infizieren kann.

Man überlege sich auf welche Daten und oder Systeme man dann Zugriff bekäme:eek:

Da könnte schon ein finanzieller Aspekt dahinterstecken...

mfg
cane

-Sensemann-
04.12.03, 12:37
*ich steige auf SuSe um ^^ *

:D

Doh!
04.12.03, 13:28
Nehmen wir mal an, die Verschwörungstheorien stimmen, und MS hat wirklich was damit zu tun. So what? Wenn es Sicherheitslücken gibt und die dadurch aufgespührt werden, wunderbar. Und noch was positives: Man sieht, wie offen damit umgegangen wird in der Open Source Szene. Ich möchte nicht wissen, wie oft jemand bei MS im Server war und wir davon nix wissen.

DarkSorcerer
04.12.03, 13:37
Original geschrieben von Doh!
Nehmen wir mal an, die Verschwörungstheorien stimmen, und MS hat wirklich was damit zu tun. So what? Wenn es Sicherheitslücken gibt und die dadurch aufgespührt werden, wunderbar. Und noch was positives: Man sieht, wie offen damit umgegangen wird in der Open Source Szene. Ich möchte nicht wissen, wie oft jemand bei MS im Server war und wir davon nix wissen.
Hier sei nur der IIS erwähnt :)

RapidMax
07.12.03, 02:44
*räusper* Bevor wir hier irgendwelche Firmen aus Redmond verdächtigen, müssen wir eingestehen, dass das Bug-Management unter Linux noch Mängel hat. Diese sind erst einmal zu beseitigen, dann laufen entspechende Attacken eher ins Leere.

Linux wird immer ein beliebteres Angriffs-Ziel, was IMO mit der zunehmenden Verbreitung zu tun hat.

Gruss, Andy

m0L
07.12.03, 02:57
also die vermutung das ms dahinter steckt ist zwar sehr gewagt ... aber wer sollte sonst eine reihe von linux-servern im visier haben?
ich denke nicht das das linux/unix user sind, die nur weil sie denken, das debian oder gentoo *******e ist gleich nen server hacken/cracken ...

~eli