Debian Sunucularına Saldırı!

0
281817 181476855250691 6784756 n
tongucyumruk
13 Temmuz 2006 , 1 dakika okuma süresi
James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.
Güvenlik
17
Linkedin Facebook Twitter Google plus

Görüşler

robertosmix
0
robertosmix
Bu da bize linux dağıtımları kıyaslanırken, paket yönetimi vs. haricinde kıyaslanması gereken başka bir parametre daha olduğunu da göstermektedir.

Debian sunucularındaki açığı bulmak için uğraşırken, ben 1-2 hafta içerisinde açığı bulamamaları durumunda, Debian kullanıcılarının M$'a security alanında ettikleri bütün küfürleri de yalayıp yutmalarını büyük bir zevkle seyretmeyi planlıyorum.

http://www.freebsd.org


anonim
0
anonim
Daha önce M$'a küfretmemiş olmama rağmen ve debian sunucu kullanmama rağman dışarıdan bir gözlemci olarak 1-2 hafta içinde kesinlikle açığı bulacaklarından eminim. Ki bence genel bi açık olsa bu işi yapanlar tüm dünyadaki debian sunucularına dalarlardı diye düşünüyorum. Dolayısıyla robertosmix arkadaşın bu aralar pek zevke geleceğini zannetmiyorum :)
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
roktas
0
roktas
Tercihlerinize (Gentoo, FreeBSD) ve o seçenekleri size sunanlara saygı duyuyorum. Fakat mümkünse tercihleriniz için daha akılcı dayanaklar geliştirin veya böyle bir şey mümkün değilse ("mutlak" bir nesnel üstünlük belirlenemiyorsa) "tercihim budur, ötesi yok" demekle yetinin. 1000'in üzerinde kullanıcının giriş yaptığı bir sunucuyla (gluck.debian.org) kendi makinenizi karşılaştırarak böyle çıkarımlara gitmeyelim lütfen. Mesela verdiğiniz "basit kullanışlı ama güvensiz apt" örneğiyle bu problemin hiçbir alakası yok.
robertosmix
0
robertosmix
Tercihlerimiz için daha akılcı dayanaklar geliştirme gibi bir ihtiyacımız yok. Hatırlıyorum da.. 2002'de bir kamu kurumuna FreeBSD 4.7 ve üzerine postfix + postgresql kurmuştum. Günde yaklaşık olarak ortalama 10-15 bin request gerçekleşen bilgisayar 2005'de anakartı yanınca durmak zorunda kalmıştı.. 3 yıldır.. hiç power tuşuna basılmadan sistem nicelerine nispet olacak bir şekilde çalıştı. Allah geliştiricilerine uzun ve sağlıklı bir hayat verir inşallah.

http://www.freebsd.org/marketing/os-comparison.html

Ama konuya alaka gösterip de içerikde genişleme sağladığınız için teşekkür ederim.
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
Challenger
0
Challenger
Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil

Bunun için gerekçeniz nedir? Şu şu şu sebeplerden dolayi diyebilir misiniz?

İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

Kaynak koddan güncelleme yapmının, güncelleme sürecinin sonucunun mükemmel olmasına ne gibi katkısı var? Derlenmiş paket kullanınca vasat mı oluyor?
evrenos
0
evrenos
Yaptığım yorum sadece beni bağlar ben kendi gördüklerim kandi yaşadıkların yorumunu yaptım hala derlermiş paketlerinde binlerce bug çıkıyor,Debian kullanıyorsanın az çok takip ediyorsunuzdur. Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor. Derlemiş paketler sadece bir veya birkoç linux makina bünyesinde derleniyor buda perfomansı stabilteyi benim kanımca düşüyor 1997 yılından beri birçok linux sürümü kullandım ilk önce Slackware ile başladım son iki sene kadar bende kulumunun kolay olmasından dolayı Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım Şuan gelişmekte olan Pardus bile Gentoonun temelinde geliştirilmeye başlanmıştır. hiç kızmaya güncenmeye gerek yok bu benim yorumum herkesin yorumu kenini bağlar. Sayın site yönetmenden bir ricam var Lüften forumu açında bu tür görüş alışverişini Forum kanalı iie yapalım :)
kesken
0
kesken
Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor
"stabil" kismini anlamadim, bir sunucuda hizmet vermek istediginiz protokoller, ve bu is icin sectiginiz uygulamalar belli, bunlarin surumleri belli, gentoo'da derlemeden bir gelistirme mi yapiyorsunuz daha "stabil" kilmak icin, derleme-zamanli bir ayar ihtiyaciniz var ise zaten hangi dagitimi kullanirsaniz kullanin derliyorsunuz, herseyi derlemek ne kazandiriyor?
Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım
bence bir yanilgi icerisindesiniz, eger gentoo dagitimlarinda bir yapay zeka yok ise, gentoo kurdum artik bana saldiramazlar ruh haliyle hareket ederseniz aci cekebilirsiniz. saldirilari ve aciklari iyi analiz etmek lazim.
evrenos
0
evrenos
Ben bana sadırmazlar diye kanı içersinde değilm ki öyle yazayım hergün bende sadırı alıyorum tabiki ve sunucularımı hergün kullandığım dağıtımın belirli güncelleme komutlarını kullanarak güncelliyorum benim belirli bir linux bilgim olmasa idi burda yorum yapmazdım ilaki şu dağıtım diyede idaa ettiğim yok size göre yanılgı içersindede olabilirim ama şunu bilin kaynak kodları ile uraşmadan bazı şeyleri ayrıtılarını görmeden linux öğrenilmez ben C++ ve Pyton dilini biliyorsam eğer kaynak kodundan delermeye devam edecem :)
kesken
0
kesken
İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

calgon reklamini andirdi bu degerlendirme
yilmaz
0
yilmaz
hatta biri gelir "siz hala kod compile etmiyor musunuz? Makinanız bu yüzden kireç bağladı." :))
evrenos
0
evrenos
Reklamı dediniz Alın size Reklam Asvat ağladı be olsun bizim olsun Lütfen birşeyi denemeden o konu hakkında yorum yapmayın ben debianıda kullandım Fedora,Redhatını ,Susesinide yanlız burada gördümkü biz Türk insanını olarak Tartışmasını bilmiyoruz hemen herşeyi alay konusu yapıyoruz ne diyeyim yakında Parduslada alay edersiniz
roktas
0
roktas
13 Temmuz 19:54:52 +0200 tarihli duyuru aşağıda. 


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here:  


Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.




One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here: 



Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.  


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.

Hepsini çevirme imkanım yok. Önemli kısım şu görünüyor:

Şu anki kararlı sürüm, Debian GNU/Linux 3.1 'sarge', Linux 2.6.8 çekirdeğini içeriyor ve dolayısıyla bu güvenlik açığından etkilenmiyor. Saldırının gerçekleştiği sunucuda Linux 2.6.16.18 çekirdeği bulunuyor.
ttk
0
ttk
Hemen de halletmişler ne güzel :)
darkhunter
0
darkhunter
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar? Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)
roktas
0
roktas
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar?

Nedenini bilmiyorum, ama sanıyorum (en azından bu saldırı öncesine kadar) makul görünen bir gerekçesi vardır. gluck.debian.org ağır yüklere girebilen, iri kıyım bir makine. İhtimal o ki bu makinenin sıradan olmayan donanımı ve/veya başarım gereksinimleri yeni bir çekirdek gerektirmişti. 1000 civarında DD bu sunucuya giriş yapıyor. Yani ortada önemli bir "local exploit" tehlikesi var. Bu ve Kasım 2003'deki saldırılar hep bu yöntemle gerçekleştirildi. Önceki saldırıdan edinilen deneyimin (yapılan bir takım düzenlemelerle) bu saldırının daha hafif atlatılmasına yardımcı olduğunu düşünüyorum. Saldırının çabuk tespit edilmiş olması, "şeffaflık" düsturunca açık duyuru yapılması ve kısa sürede sorunun giderilerek sunucunun tekrar hizmete sokulması hususları dikkate alındığında Debian adminlerinin başarılı bir sınav verdikleri kanısındayım.

Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)

Kısaca hayır. Görev kritik sunucularda Sarge kullanmaya devam edin.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Pasaportumda casus çip mi var?
towsonu2003
4 Aralık 2006, 1 dakika okuma süresi

Yakında pasaport başvurusunda mı bulunmayı düşünüyorsunuz?

Radikal'in geçtiği habere göre 2007'nin başlarından itibaren yeni pasaportunuzda, daha önce beklenildiği üzere, içinde kişisel bilgilerinizin bulunduğu bir RFID (Radyo Frekansı ile Tanımlama) çipi olacak. Ama bu çipe eklenecek bilgiler hakkında detaylar henüz bilinmiyor.

DHKP-C sitesi hack`lendi
anonim
23 Ekim 2001, 1 dakika okuma süresi

Amerika'da 11 Eylül'de yapılan terörist saldırıların ardından ismi ABD resmi makamları tarafından PKK ile birlikte 'terör örgütü' listesine dahil edilen yasadışı Devrimci Halk Kurtuluş Partisi-Cephesi`nin (DHKP-C) başı Türkiye'de bilgisayar korsanları (hacker) ile dertte.

Bir grup hacker, yasadışı sol örgüt DHKP-C'nin resmi web sitesi www.kurtulus.com'un sayfalarına müdahale etti. Kendilerine @Team diyen grup sayfayı hack ettikten sonra girişe, 'Amerikada yaşanan vahşeti protesto ediyoruz' yazısını yerleştirdi. Sayfada ayrıca, 'Terörizme son' yazısı dikkat çekti.

Bu arada aynı terörist grubun www.dhkpc.com adresindeki sayfalarıda bir süre önce başka bir hacker grubu tarafından ele geçirilmişti. Kendilerine Digital Angels Team (Dijital Melekler Takımı) adını veren grup sayfanın ortasına kendilerine ait bir logoyu yerleştirdikten sonra yine gruplarına ait sayfa içinde link vermişlerdi.

Kodlama Teorisi, Şifreleme ve Bir Akşam Yemeği
FZ
15 Ağustos 2001, 1 dakika okuma süresi

1984 Nisan ayı. Zurich'teki bir konferansta bir akşam yemeği sonrası, Prof. James Massey'in davetlisi olan John Gordon, kodlama teorisi, şifreleme, iletişim güvenliği üzerine en az, az önce yedikleri yemek kadar leziz bir konuşma yapar.

Konuşmasına güvenlik dünyasının meşhur ve gizemli karakterleri Alice ve Bob'un olası hayat hikayelerini yeniden kurarak başlayan Gordon gayet eğlenceli bir şekilde ve sinsice kodlama teorisi, güvenlik analizi, iletişim güvenliği gibi konulara geçer.

Sonra mı? :-)

Okuyun ve görün. İyi eğlenceler.

Google'dan güvenli iletişim için yeni bir adım: Anahtar Şeffaflığı Sistemi
tongucyumruk
16 Ocak 2017, 1 dakika okuma süresi

Tam da WhatsApp'ın kullanıcıların şifreleme anahtarlarını değiştirmesinin bir güvenlik açığı oluşturup oluşturmadığının tartışıldığı şu günlerde Google sanki önceden durumun kokusunu almış gibi kullanıcıların anahtarlarını ve anahtar geçmişlerini doğrulamayı sağlayacak Anahtar Şeffaflığı (Key Transparency) aracını duyurdu.

Anahtar Şeffaflığı sunucu/istemci modeli ile çalışan bir anahtar...

Gerçek anlamda tesadüfi sayılar
sundance
19 Temmuz 2007, 1 dakika okuma süresi

Malum, bilgisayarlarla gerçek anlamda tesadüfi sayı üretmek mümkün değil. Bu tür sayı üretimi için bulunabilmiş en iyi yöntem atom parçacıklarının dağılmalarından faydalanmaktı.

Öte yandan herkesin bu yöntemi kullanması, bazı bariz sebeplere (RADYASYON okunur) mümkün değildi.

Şimdi ise ilk defa Quantum Random Generator'ı Internet üzerinden hizmete sokuldu.