Debian Sunucularına Saldırı!

0
tongucyumruk
James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.

Görüşler

0
robertosmix
Bu da bize linux dağıtımları kıyaslanırken, paket yönetimi vs. haricinde kıyaslanması gereken başka bir parametre daha olduğunu da göstermektedir.

Debian sunucularındaki açığı bulmak için uğraşırken, ben 1-2 hafta içerisinde açığı bulamamaları durumunda, Debian kullanıcılarının M$'a security alanında ettikleri bütün küfürleri de yalayıp yutmalarını büyük bir zevkle seyretmeyi planlıyorum.

http://www.freebsd.org


0
anonim
Daha önce M$'a küfretmemiş olmama rağmen ve debian sunucu kullanmama rağman dışarıdan bir gözlemci olarak 1-2 hafta içinde kesinlikle açığı bulacaklarından eminim. Ki bence genel bi açık olsa bu işi yapanlar tüm dünyadaki debian sunucularına dalarlardı diye düşünüyorum. Dolayısıyla robertosmix arkadaşın bu aralar pek zevke geleceğini zannetmiyorum :)
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
0
roktas
Tercihlerinize (Gentoo, FreeBSD) ve o seçenekleri size sunanlara saygı duyuyorum. Fakat mümkünse tercihleriniz için daha akılcı dayanaklar geliştirin veya böyle bir şey mümkün değilse ("mutlak" bir nesnel üstünlük belirlenemiyorsa) "tercihim budur, ötesi yok" demekle yetinin. 1000'in üzerinde kullanıcının giriş yaptığı bir sunucuyla (gluck.debian.org) kendi makinenizi karşılaştırarak böyle çıkarımlara gitmeyelim lütfen. Mesela verdiğiniz "basit kullanışlı ama güvensiz apt" örneğiyle bu problemin hiçbir alakası yok.
0
robertosmix
Tercihlerimiz için daha akılcı dayanaklar geliştirme gibi bir ihtiyacımız yok. Hatırlıyorum da.. 2002'de bir kamu kurumuna FreeBSD 4.7 ve üzerine postfix + postgresql kurmuştum. Günde yaklaşık olarak ortalama 10-15 bin request gerçekleşen bilgisayar 2005'de anakartı yanınca durmak zorunda kalmıştı.. 3 yıldır.. hiç power tuşuna basılmadan sistem nicelerine nispet olacak bir şekilde çalıştı. Allah geliştiricilerine uzun ve sağlıklı bir hayat verir inşallah.

http://www.freebsd.org/marketing/os-comparison.html

Ama konuya alaka gösterip de içerikde genişleme sağladığınız için teşekkür ederim.
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
0
Challenger
Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil

Bunun için gerekçeniz nedir? Şu şu şu sebeplerden dolayi diyebilir misiniz?

İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

Kaynak koddan güncelleme yapmının, güncelleme sürecinin sonucunun mükemmel olmasına ne gibi katkısı var? Derlenmiş paket kullanınca vasat mı oluyor?
0
evrenos
Yaptığım yorum sadece beni bağlar ben kendi gördüklerim kandi yaşadıkların yorumunu yaptım hala derlermiş paketlerinde binlerce bug çıkıyor,Debian kullanıyorsanın az çok takip ediyorsunuzdur. Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor. Derlemiş paketler sadece bir veya birkoç linux makina bünyesinde derleniyor buda perfomansı stabilteyi benim kanımca düşüyor 1997 yılından beri birçok linux sürümü kullandım ilk önce Slackware ile başladım son iki sene kadar bende kulumunun kolay olmasından dolayı Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım Şuan gelişmekte olan Pardus bile Gentoonun temelinde geliştirilmeye başlanmıştır. hiç kızmaya güncenmeye gerek yok bu benim yorumum herkesin yorumu kenini bağlar. Sayın site yönetmenden bir ricam var Lüften forumu açında bu tür görüş alışverişini Forum kanalı iie yapalım :)
0
kesken
Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor
"stabil" kismini anlamadim, bir sunucuda hizmet vermek istediginiz protokoller, ve bu is icin sectiginiz uygulamalar belli, bunlarin surumleri belli, gentoo'da derlemeden bir gelistirme mi yapiyorsunuz daha "stabil" kilmak icin, derleme-zamanli bir ayar ihtiyaciniz var ise zaten hangi dagitimi kullanirsaniz kullanin derliyorsunuz, herseyi derlemek ne kazandiriyor?
Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım
bence bir yanilgi icerisindesiniz, eger gentoo dagitimlarinda bir yapay zeka yok ise, gentoo kurdum artik bana saldiramazlar ruh haliyle hareket ederseniz aci cekebilirsiniz. saldirilari ve aciklari iyi analiz etmek lazim.
0
evrenos
Ben bana sadırmazlar diye kanı içersinde değilm ki öyle yazayım hergün bende sadırı alıyorum tabiki ve sunucularımı hergün kullandığım dağıtımın belirli güncelleme komutlarını kullanarak güncelliyorum benim belirli bir linux bilgim olmasa idi burda yorum yapmazdım ilaki şu dağıtım diyede idaa ettiğim yok size göre yanılgı içersindede olabilirim ama şunu bilin kaynak kodları ile uraşmadan bazı şeyleri ayrıtılarını görmeden linux öğrenilmez ben C++ ve Pyton dilini biliyorsam eğer kaynak kodundan delermeye devam edecem :)
0
kesken
İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

calgon reklamini andirdi bu degerlendirme
0
yilmaz
hatta biri gelir "siz hala kod compile etmiyor musunuz? Makinanız bu yüzden kireç bağladı." :))
0
evrenos
Reklamı dediniz Alın size Reklam Asvat ağladı be olsun bizim olsun Lütfen birşeyi denemeden o konu hakkında yorum yapmayın ben debianıda kullandım Fedora,Redhatını ,Susesinide yanlız burada gördümkü biz Türk insanını olarak Tartışmasını bilmiyoruz hemen herşeyi alay konusu yapıyoruz ne diyeyim yakında Parduslada alay edersiniz
0
roktas
13 Temmuz 19:54:52 +0200 tarihli duyuru aşağıda.


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here:  


Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.




One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here: 



Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.  


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.



Hepsini çevirme imkanım yok. Önemli kısım şu görünüyor:

Şu anki kararlı sürüm, Debian GNU/Linux 3.1 'sarge', Linux 2.6.8 çekirdeğini içeriyor ve dolayısıyla bu güvenlik açığından etkilenmiyor. Saldırının gerçekleştiği sunucuda Linux 2.6.16.18 çekirdeği bulunuyor.
0
ttk
Hemen de halletmişler ne güzel :)
0
darkhunter
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar? Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)
0
roktas
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar?

Nedenini bilmiyorum, ama sanıyorum (en azından bu saldırı öncesine kadar) makul görünen bir gerekçesi vardır. gluck.debian.org ağır yüklere girebilen, iri kıyım bir makine. İhtimal o ki bu makinenin sıradan olmayan donanımı ve/veya başarım gereksinimleri yeni bir çekirdek gerektirmişti. 1000 civarında DD bu sunucuya giriş yapıyor. Yani ortada önemli bir "local exploit" tehlikesi var. Bu ve Kasım 2003'deki saldırılar hep bu yöntemle gerçekleştirildi. Önceki saldırıdan edinilen deneyimin (yapılan bir takım düzenlemelerle) bu saldırının daha hafif atlatılmasına yardımcı olduğunu düşünüyorum. Saldırının çabuk tespit edilmiş olması, "şeffaflık" düsturunca açık duyuru yapılması ve kısa sürede sorunun giderilerek sunucunun tekrar hizmete sokulması hususları dikkate alındığında Debian adminlerinin başarılı bir sınav verdikleri kanısındayım.

Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)

Kısaca hayır. Görev kritik sunucularda Sarge kullanmaya devam edin.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

100.000 $ isteyen

anonim

$100.000`lık Hacking Yarışması.Korea Digital Works`un düzenlediği yarışma`da firmanın güvenlik programı olan WOKS tarafından korunan servera ilk erişim hakkı kazanan ve ismini sitenin index`ine yazan Hacker`a tam $100.000 ödül verilecek.

EnderUNIX'ten Yeni Yazılım!- SwArpMon

honal

EnderUNIX yazılım geliştiricilerinden Özkan Kırık, yönetilebilir switch'lerin MAC tablolarını SNMP aracılığı ile takip ederek switch üzerindeki MAC Adresi - Port değişimlerini email yolu ile sistem yöneticisine bildiren 'swArpMon' isimli yazılımı geliştirdi.

Windows ve Güvenlik - Daha Doğrusu: Micros~1 ve Güvenlik

cayfer

Windows işletim sistemlerinin güvenlik sorunları bitmez! Çünkü "güvenlik" kavramı Micro~1'un umurunda değil! "Güvenlik", tasarım süreçlerinin bir parçası değil.

Neden mi?

Tehdit ve Cesaret

FZ

Mine G. Kırıkkanat'ın 27 Ekim 2001 tarihli (Cumartesi) yazısından alıntıdır (yorumsuz):

... Suç duyurusunda bulunduğumuz ölüm tehditlerinden biri, İBDA-C imzalıydı ve İhlas Holding kuruluşu ihlas.net.tr'nin bir abonesinden geldiği tespit edildi. Adam bulundu, sorgulandı ve önce DGM, halen İstanbul 11. Asliye Ceza Mahkemesi'nde yargılanıyor. Ancak başından beri suçu reddediyor ve kişisel Internet şifresini ihlas.net.tr'den edinen başka birisinin onun adresiyle tehdit göndermiş olması ihtimali var.

Phrack 58 çıktı!

sundance

Internet öncesinden beri güvenlik ve iletişim ortamlarının tartışmasız bir numaralı dergisi PHRACK`in yeni sayısı çıktı.

Özellikle LoopBack bölümünde okur mektuplarına verilen cevapları okumanızı tavsiye ederim, eminim eski sayıları da teker teker elden geçirirsiniz...