Debian Sunucularına Saldırı!

0
281817 181476855250691 6784756 n
tongucyumruk
13 Temmuz 2006 , 1 dakika okuma süresi
James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.
Güvenlik
17
Linkedin Facebook Twitter Google plus

Görüşler

robertosmix
0
robertosmix
Bu da bize linux dağıtımları kıyaslanırken, paket yönetimi vs. haricinde kıyaslanması gereken başka bir parametre daha olduğunu da göstermektedir.

Debian sunucularındaki açığı bulmak için uğraşırken, ben 1-2 hafta içerisinde açığı bulamamaları durumunda, Debian kullanıcılarının M$'a security alanında ettikleri bütün küfürleri de yalayıp yutmalarını büyük bir zevkle seyretmeyi planlıyorum.

http://www.freebsd.org


anonim
0
anonim
Daha önce M$'a küfretmemiş olmama rağmen ve debian sunucu kullanmama rağman dışarıdan bir gözlemci olarak 1-2 hafta içinde kesinlikle açığı bulacaklarından eminim. Ki bence genel bi açık olsa bu işi yapanlar tüm dünyadaki debian sunucularına dalarlardı diye düşünüyorum. Dolayısıyla robertosmix arkadaşın bu aralar pek zevke geleceğini zannetmiyorum :)
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
roktas
0
roktas
Tercihlerinize (Gentoo, FreeBSD) ve o seçenekleri size sunanlara saygı duyuyorum. Fakat mümkünse tercihleriniz için daha akılcı dayanaklar geliştirin veya böyle bir şey mümkün değilse ("mutlak" bir nesnel üstünlük belirlenemiyorsa) "tercihim budur, ötesi yok" demekle yetinin. 1000'in üzerinde kullanıcının giriş yaptığı bir sunucuyla (gluck.debian.org) kendi makinenizi karşılaştırarak böyle çıkarımlara gitmeyelim lütfen. Mesela verdiğiniz "basit kullanışlı ama güvensiz apt" örneğiyle bu problemin hiçbir alakası yok.
robertosmix
0
robertosmix
Tercihlerimiz için daha akılcı dayanaklar geliştirme gibi bir ihtiyacımız yok. Hatırlıyorum da.. 2002'de bir kamu kurumuna FreeBSD 4.7 ve üzerine postfix + postgresql kurmuştum. Günde yaklaşık olarak ortalama 10-15 bin request gerçekleşen bilgisayar 2005'de anakartı yanınca durmak zorunda kalmıştı.. 3 yıldır.. hiç power tuşuna basılmadan sistem nicelerine nispet olacak bir şekilde çalıştı. Allah geliştiricilerine uzun ve sağlıklı bir hayat verir inşallah.

http://www.freebsd.org/marketing/os-comparison.html

Ama konuya alaka gösterip de içerikde genişleme sağladığınız için teşekkür ederim.
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
Challenger
0
Challenger
Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil

Bunun için gerekçeniz nedir? Şu şu şu sebeplerden dolayi diyebilir misiniz?

İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

Kaynak koddan güncelleme yapmının, güncelleme sürecinin sonucunun mükemmel olmasına ne gibi katkısı var? Derlenmiş paket kullanınca vasat mı oluyor?
evrenos
0
evrenos
Yaptığım yorum sadece beni bağlar ben kendi gördüklerim kandi yaşadıkların yorumunu yaptım hala derlermiş paketlerinde binlerce bug çıkıyor,Debian kullanıyorsanın az çok takip ediyorsunuzdur. Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor. Derlemiş paketler sadece bir veya birkoç linux makina bünyesinde derleniyor buda perfomansı stabilteyi benim kanımca düşüyor 1997 yılından beri birçok linux sürümü kullandım ilk önce Slackware ile başladım son iki sene kadar bende kulumunun kolay olmasından dolayı Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım Şuan gelişmekte olan Pardus bile Gentoonun temelinde geliştirilmeye başlanmıştır. hiç kızmaya güncenmeye gerek yok bu benim yorumum herkesin yorumu kenini bağlar. Sayın site yönetmenden bir ricam var Lüften forumu açında bu tür görüş alışverişini Forum kanalı iie yapalım :)
kesken
0
kesken
Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor
"stabil" kismini anlamadim, bir sunucuda hizmet vermek istediginiz protokoller, ve bu is icin sectiginiz uygulamalar belli, bunlarin surumleri belli, gentoo'da derlemeden bir gelistirme mi yapiyorsunuz daha "stabil" kilmak icin, derleme-zamanli bir ayar ihtiyaciniz var ise zaten hangi dagitimi kullanirsaniz kullanin derliyorsunuz, herseyi derlemek ne kazandiriyor?
Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım
bence bir yanilgi icerisindesiniz, eger gentoo dagitimlarinda bir yapay zeka yok ise, gentoo kurdum artik bana saldiramazlar ruh haliyle hareket ederseniz aci cekebilirsiniz. saldirilari ve aciklari iyi analiz etmek lazim.
evrenos
0
evrenos
Ben bana sadırmazlar diye kanı içersinde değilm ki öyle yazayım hergün bende sadırı alıyorum tabiki ve sunucularımı hergün kullandığım dağıtımın belirli güncelleme komutlarını kullanarak güncelliyorum benim belirli bir linux bilgim olmasa idi burda yorum yapmazdım ilaki şu dağıtım diyede idaa ettiğim yok size göre yanılgı içersindede olabilirim ama şunu bilin kaynak kodları ile uraşmadan bazı şeyleri ayrıtılarını görmeden linux öğrenilmez ben C++ ve Pyton dilini biliyorsam eğer kaynak kodundan delermeye devam edecem :)
kesken
0
kesken
İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

calgon reklamini andirdi bu degerlendirme
yilmaz
0
yilmaz
hatta biri gelir "siz hala kod compile etmiyor musunuz? Makinanız bu yüzden kireç bağladı." :))
evrenos
0
evrenos
Reklamı dediniz Alın size Reklam Asvat ağladı be olsun bizim olsun Lütfen birşeyi denemeden o konu hakkında yorum yapmayın ben debianıda kullandım Fedora,Redhatını ,Susesinide yanlız burada gördümkü biz Türk insanını olarak Tartışmasını bilmiyoruz hemen herşeyi alay konusu yapıyoruz ne diyeyim yakında Parduslada alay edersiniz
roktas
0
roktas
13 Temmuz 19:54:52 +0200 tarihli duyuru aşağıda. 


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here:  


Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.




One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here: 



Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.  


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.

Hepsini çevirme imkanım yok. Önemli kısım şu görünüyor:

Şu anki kararlı sürüm, Debian GNU/Linux 3.1 'sarge', Linux 2.6.8 çekirdeğini içeriyor ve dolayısıyla bu güvenlik açığından etkilenmiyor. Saldırının gerçekleştiği sunucuda Linux 2.6.16.18 çekirdeği bulunuyor.
ttk
0
ttk
Hemen de halletmişler ne güzel :)
darkhunter
0
darkhunter
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar? Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)
roktas
0
roktas
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar?

Nedenini bilmiyorum, ama sanıyorum (en azından bu saldırı öncesine kadar) makul görünen bir gerekçesi vardır. gluck.debian.org ağır yüklere girebilen, iri kıyım bir makine. İhtimal o ki bu makinenin sıradan olmayan donanımı ve/veya başarım gereksinimleri yeni bir çekirdek gerektirmişti. 1000 civarında DD bu sunucuya giriş yapıyor. Yani ortada önemli bir "local exploit" tehlikesi var. Bu ve Kasım 2003'deki saldırılar hep bu yöntemle gerçekleştirildi. Önceki saldırıdan edinilen deneyimin (yapılan bir takım düzenlemelerle) bu saldırının daha hafif atlatılmasına yardımcı olduğunu düşünüyorum. Saldırının çabuk tespit edilmiş olması, "şeffaflık" düsturunca açık duyuru yapılması ve kısa sürede sorunun giderilerek sunucunun tekrar hizmete sokulması hususları dikkate alındığında Debian adminlerinin başarılı bir sınav verdikleri kanısındayım.

Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)

Kısaca hayır. Görev kritik sunucularda Sarge kullanmaya devam edin.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Trusted Computing Hakkında Bir Sunum
sundance
16 Aralık 2005, 1 dakika okuma süresi

Uzun bir süredir bahsi geçen "Bilgisayarınıza bir chip takılacak, bu sayede yazılım üreticileri ve web siteleri başta olmak üzere herkes kim olduğunuzu bilecek ve güvende olacaksınız" şeklinde lanse edilen Trusted Computing hakkında inanılmaz bir sunuma rastladım.

RMS'in "Treacherous (Hileci) computing" diye yorumladığı TC, Microsoft, Intel, IBM, HP ve AMD'nin birarada yeraldığı nadir projelerden biri. İki ayrı kalitedeki (25MB/50Mb) sunumu izleyin ne demek istediğimi daha iyi anlayacaksınız. Ben şimdiye kadar daha iyi bir sunum izlemedim.
Daha detaylı bilgi için adres AgainstTCPA

Bir efsane: Phrack
sundance
20 Mart 2001, 2 dakika okuma süresi

Hatırlıyorum da ilk Phrack Magazine'i okuduğumda Amiga kulanıyordum. Elemanın teki BlueBox kullanarak yabancı bir BBS`ten indirmişti (Jason of Bronx) Okudum ve bayıldım.

Phrack taaa 1985`te başlamış, temel olarak telefon sistemlerinin özelliklerini keşfetmeyi ve bu bilgileri paylaşmayı hedef edinmiş bir underground dergi. Sadece dijital ortamda dağıtılıyor, taa 1985'te akustik kuplör kullanan (300 bps) BBS`lerden beri...

Türk Telekom Sitesi ve Win2003 Server
anonim
19 Haziran 2003, 1 dakika okuma süresi

13 Haziran Cuma günü web sunucularına gizlice girilen Turk Ttelekom web sitesinin hangi işletim sistemi ve web sunucu yazılımını kullandığını merak edip ufak bir araştırma yaptım. Sanırım oralarda birileri bir hayli hayalperest, aşırı iyimser vs.

Netcraft.com sitesindeki "What's that site running?"e Türk Telekom´un kullandığı işletim sistemi ve web sunucusunu öğrenmek için girdiğimde en son yapılan örnekleme göre 10-13 Haziran arası bir tarihte Windows 2003 platforumuna bir geciş yaşandığını ve haliyle IIS 6.0´a terfi edilmiş olduğunu gördüm.

Solaris 8 mi ? Yoksa FreeBSD 4.3 mu ?
anonim
2 Haziran 2001, 1 dakika okuma süresi

Solaris 8 ve FreeBSD 4.3 işletim sistemlerini default kurulumdan sonra Nessus ile güvenlik testine tabi tuttuk. İki isletim sistemi de patch yüklenmeden test edildi ve sonuç FreeBSD daha guvenli ve sağlam.(Sundance:Default kurulum, sistem adminlerinin isi degildir. Sistem adminlerinin işi serverlardır, öyleyse serverlar default kurulmaz)

Virüslerin 20 Yıllık Tarihi
FZ
11 Kasım 2003, 1 dakika okuma süresi

Bu hafta bilgisayar virüslerinin 20. yıldönümü. Basit rahatsızlık veren küçük yazılımlardan tutun ülkelerarası ağları yavaşlatan ve televizyonlara çıkan, en ilgisiz insanların dahi ilgi alanına girmeye başlayan pek çok virüs söz konusu.

Belgelendirilmiş ilk virüs ABD´de doktora eğitimi esnasında bu tip bir çalıştırma gerçekleştiren Fred Cohen tarafından yazılmış durumda.

Şu anda dünya üzerinde yaklaşık 60,000 farklı virüs var.

Cohen o dönemde kullanılan VAX bilgisayarları üzerindeki VD isimli bir grafik programına geliştirdiği virüsü yerleştirmiş ve sistemdeki diğer yazılımlara nasıl bulaşılabileceğini pratik olarak göstermişti. Cohen, gerçekleştirdiği çalışmayı bir güvenlik seminerinde sunduğunda takvimler 10 Kasım 1983 tarihini gösteriyordu.