Debian Sunucularına Saldırı!

0
281817 181476855250691 6784756 n
tongucyumruk
13 Temmuz 2006 , 1 dakika okuma süresi
James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.
Güvenlik
17
Linkedin Facebook Twitter Google plus

Görüşler

robertosmix
0
robertosmix
Bu da bize linux dağıtımları kıyaslanırken, paket yönetimi vs. haricinde kıyaslanması gereken başka bir parametre daha olduğunu da göstermektedir.

Debian sunucularındaki açığı bulmak için uğraşırken, ben 1-2 hafta içerisinde açığı bulamamaları durumunda, Debian kullanıcılarının M$'a security alanında ettikleri bütün küfürleri de yalayıp yutmalarını büyük bir zevkle seyretmeyi planlıyorum.

http://www.freebsd.org


anonim
0
anonim
Daha önce M$'a küfretmemiş olmama rağmen ve debian sunucu kullanmama rağman dışarıdan bir gözlemci olarak 1-2 hafta içinde kesinlikle açığı bulacaklarından eminim. Ki bence genel bi açık olsa bu işi yapanlar tüm dünyadaki debian sunucularına dalarlardı diye düşünüyorum. Dolayısıyla robertosmix arkadaşın bu aralar pek zevke geleceğini zannetmiyorum :)
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
roktas
0
roktas
Tercihlerinize (Gentoo, FreeBSD) ve o seçenekleri size sunanlara saygı duyuyorum. Fakat mümkünse tercihleriniz için daha akılcı dayanaklar geliştirin veya böyle bir şey mümkün değilse ("mutlak" bir nesnel üstünlük belirlenemiyorsa) "tercihim budur, ötesi yok" demekle yetinin. 1000'in üzerinde kullanıcının giriş yaptığı bir sunucuyla (gluck.debian.org) kendi makinenizi karşılaştırarak böyle çıkarımlara gitmeyelim lütfen. Mesela verdiğiniz "basit kullanışlı ama güvensiz apt" örneğiyle bu problemin hiçbir alakası yok.
robertosmix
0
robertosmix
Tercihlerimiz için daha akılcı dayanaklar geliştirme gibi bir ihtiyacımız yok. Hatırlıyorum da.. 2002'de bir kamu kurumuna FreeBSD 4.7 ve üzerine postfix + postgresql kurmuştum. Günde yaklaşık olarak ortalama 10-15 bin request gerçekleşen bilgisayar 2005'de anakartı yanınca durmak zorunda kalmıştı.. 3 yıldır.. hiç power tuşuna basılmadan sistem nicelerine nispet olacak bir şekilde çalıştı. Allah geliştiricilerine uzun ve sağlıklı bir hayat verir inşallah.

http://www.freebsd.org/marketing/os-comparison.html

Ama konuya alaka gösterip de içerikde genişleme sağladığınız için teşekkür ederim.
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
Challenger
0
Challenger
Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil

Bunun için gerekçeniz nedir? Şu şu şu sebeplerden dolayi diyebilir misiniz?

İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

Kaynak koddan güncelleme yapmının, güncelleme sürecinin sonucunun mükemmel olmasına ne gibi katkısı var? Derlenmiş paket kullanınca vasat mı oluyor?
evrenos
0
evrenos
Yaptığım yorum sadece beni bağlar ben kendi gördüklerim kandi yaşadıkların yorumunu yaptım hala derlermiş paketlerinde binlerce bug çıkıyor,Debian kullanıyorsanın az çok takip ediyorsunuzdur. Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor. Derlemiş paketler sadece bir veya birkoç linux makina bünyesinde derleniyor buda perfomansı stabilteyi benim kanımca düşüyor 1997 yılından beri birçok linux sürümü kullandım ilk önce Slackware ile başladım son iki sene kadar bende kulumunun kolay olmasından dolayı Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım Şuan gelişmekte olan Pardus bile Gentoonun temelinde geliştirilmeye başlanmıştır. hiç kızmaya güncenmeye gerek yok bu benim yorumum herkesin yorumu kenini bağlar. Sayın site yönetmenden bir ricam var Lüften forumu açında bu tür görüş alışverişini Forum kanalı iie yapalım :)
kesken
0
kesken
Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor
"stabil" kismini anlamadim, bir sunucuda hizmet vermek istediginiz protokoller, ve bu is icin sectiginiz uygulamalar belli, bunlarin surumleri belli, gentoo'da derlemeden bir gelistirme mi yapiyorsunuz daha "stabil" kilmak icin, derleme-zamanli bir ayar ihtiyaciniz var ise zaten hangi dagitimi kullanirsaniz kullanin derliyorsunuz, herseyi derlemek ne kazandiriyor?
Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım
bence bir yanilgi icerisindesiniz, eger gentoo dagitimlarinda bir yapay zeka yok ise, gentoo kurdum artik bana saldiramazlar ruh haliyle hareket ederseniz aci cekebilirsiniz. saldirilari ve aciklari iyi analiz etmek lazim.
evrenos
0
evrenos
Ben bana sadırmazlar diye kanı içersinde değilm ki öyle yazayım hergün bende sadırı alıyorum tabiki ve sunucularımı hergün kullandığım dağıtımın belirli güncelleme komutlarını kullanarak güncelliyorum benim belirli bir linux bilgim olmasa idi burda yorum yapmazdım ilaki şu dağıtım diyede idaa ettiğim yok size göre yanılgı içersindede olabilirim ama şunu bilin kaynak kodları ile uraşmadan bazı şeyleri ayrıtılarını görmeden linux öğrenilmez ben C++ ve Pyton dilini biliyorsam eğer kaynak kodundan delermeye devam edecem :)
kesken
0
kesken
İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

calgon reklamini andirdi bu degerlendirme
yilmaz
0
yilmaz
hatta biri gelir "siz hala kod compile etmiyor musunuz? Makinanız bu yüzden kireç bağladı." :))
evrenos
0
evrenos
Reklamı dediniz Alın size Reklam Asvat ağladı be olsun bizim olsun Lütfen birşeyi denemeden o konu hakkında yorum yapmayın ben debianıda kullandım Fedora,Redhatını ,Susesinide yanlız burada gördümkü biz Türk insanını olarak Tartışmasını bilmiyoruz hemen herşeyi alay konusu yapıyoruz ne diyeyim yakında Parduslada alay edersiniz
roktas
0
roktas
13 Temmuz 19:54:52 +0200 tarihli duyuru aşağıda. 


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here:  


Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.




One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here: 



Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.  


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.

Hepsini çevirme imkanım yok. Önemli kısım şu görünüyor:

Şu anki kararlı sürüm, Debian GNU/Linux 3.1 'sarge', Linux 2.6.8 çekirdeğini içeriyor ve dolayısıyla bu güvenlik açığından etkilenmiyor. Saldırının gerçekleştiği sunucuda Linux 2.6.16.18 çekirdeği bulunuyor.
ttk
0
ttk
Hemen de halletmişler ne güzel :)
darkhunter
0
darkhunter
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar? Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)
roktas
0
roktas
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar?

Nedenini bilmiyorum, ama sanıyorum (en azından bu saldırı öncesine kadar) makul görünen bir gerekçesi vardır. gluck.debian.org ağır yüklere girebilen, iri kıyım bir makine. İhtimal o ki bu makinenin sıradan olmayan donanımı ve/veya başarım gereksinimleri yeni bir çekirdek gerektirmişti. 1000 civarında DD bu sunucuya giriş yapıyor. Yani ortada önemli bir "local exploit" tehlikesi var. Bu ve Kasım 2003'deki saldırılar hep bu yöntemle gerçekleştirildi. Önceki saldırıdan edinilen deneyimin (yapılan bir takım düzenlemelerle) bu saldırının daha hafif atlatılmasına yardımcı olduğunu düşünüyorum. Saldırının çabuk tespit edilmiş olması, "şeffaflık" düsturunca açık duyuru yapılması ve kısa sürede sorunun giderilerek sunucunun tekrar hizmete sokulması hususları dikkate alındığında Debian adminlerinin başarılı bir sınav verdikleri kanısındayım.

Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)

Kısaca hayır. Görev kritik sunucularda Sarge kullanmaya devam edin.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Live CD'ler ve read-only mount
e2e
4 Haziran 2004, 1 dakika okuma süresi

GNU/Linux'un en büyük katkılarından biri de Live CD'ler oldu. Knoppix ile başlayan Live CD serisi şimdilerde epey bir arttı. Live CD'lerin en temel kullanım alanlarından biri de "forensic", yani "kırılmış" bir sistem üzerinde iz sürme, kanıt bulma vs. Live CD'lerin makinadaki disk bölümlerini read-only mount etme özelliği sayesinde diskte herhangi bir kanıt kaybına neden olmadan bu işlem rahatlıkla yapılabiliyor, ya da en azından öyle düşünülüyordu.

Linux-Forensics.com'da yer alan bu incelemeye göre bu konuda istisnalar var. Yazar, EXT3 ve Reiserfs dosya sistemi olan disklerde read-only mount edilmesine rağmen disklerdeki hash değerlerinin değiştiğini belirtiyor. Bunun bu dosya sistemlerinin journaling özelliğinden kaynaklanıyor olabileceğini de ekleyen yazar, bunun sadece Knoppix'in değil, denediği başka Live CD GNU/Linux'larda da olduğunu söylüyor.

Cisco'ya karşı takım
sundance
9 Ağustos 2005, 1 dakika okuma süresi

Cumartesi gecesi DefCon'un akabinde, partiler ve eğlenceler zamanıydı. Fakat bütün bu karmaşadan uzak bir odada, bir grup laptoplarının başında çalışmakta, zaman zaman birbirleriyle konuşmakta ve odanın ortasında duran iki metal kutuya ilgi ile bakmaktaydılar.
Konu, Michael Lynn'in BlackHat 2005'de yaptığı Cisco Routerlar üzerine sunumunun engellenmeye çalışılması ve çalıştığı firma olan ISS'den ayrılmak zorunda kalmasıyla ilgiliydi. Şimdi ise bir grup uzman, Michael Lynn'in yolundan giderek, biraraya gelip sözkonusu açığı genişletmeyi hedefliyorlardı. Kara Şapkalı'lardan birinin belirttiği gibi "Michael'ın altı ayda yaptığını biz çok daha kısa sürede çözebiliriz. Cisco'nun yaptığı basitçe ifade etmek gerekirse aptalcaydı, böylece üstü örtülmüş bir probleme çok daha fazla dikkat çektiler"

Metacortex - OpenBSD PF Toolbox
ts
17 Aralık 2003, 1 dakika okuma süresi

Metacortex BSD lisansı ile dağıtılan OpenBSD PF firewall için monitoring yazılımıdır. Web arabirimi ile sistem yöneticileri için kullanışlı bir araçtır.

Code:Red Konusunda birkaç tecrübe
bonzo
10 Ağustos 2001, 3 dakika okuma süresi

Selamlar,
Buralarda yeniyim bu nedenle yapısını bilemiyorum. Yazdıklarım basit gelebilir veya dili garip, bu nedenle baştan özür diliyorum. Sizlerle Code Red ya da aramızda verdiğimiz isimle Kudret ile geçirdiğim bir hafta sonunda bulduğum asıl olmayan çözümü paylaşmak istedim.

SHA-1 kırıldı!
abakana
17 Şubat 2005, 1 dakika okuma süresi

Bruce Schneier blogunda Şandung Üniversitesinden bir grup aratırmacının SHA- 1 algoritmasını kırdığını belirtti.

SHA-0 ve SHA-1'e yönelik daha önceki kırma girişimlerinden üretilen yeni metod büyük bir kripto-analitik sonuç olarak belirtilmiş.