Debian Sunucularına Saldırı!

0
281817 181476855250691 6784756 n
tongucyumruk
13 Temmuz 2006 , 1 dakika okuma süresi
James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.
Güvenlik
17
Linkedin Facebook Twitter Google plus

Görüşler

robertosmix
0
robertosmix
Bu da bize linux dağıtımları kıyaslanırken, paket yönetimi vs. haricinde kıyaslanması gereken başka bir parametre daha olduğunu da göstermektedir.

Debian sunucularındaki açığı bulmak için uğraşırken, ben 1-2 hafta içerisinde açığı bulamamaları durumunda, Debian kullanıcılarının M$'a security alanında ettikleri bütün küfürleri de yalayıp yutmalarını büyük bir zevkle seyretmeyi planlıyorum.

http://www.freebsd.org


anonim
0
anonim
Daha önce M$'a küfretmemiş olmama rağmen ve debian sunucu kullanmama rağman dışarıdan bir gözlemci olarak 1-2 hafta içinde kesinlikle açığı bulacaklarından eminim. Ki bence genel bi açık olsa bu işi yapanlar tüm dünyadaki debian sunucularına dalarlardı diye düşünüyorum. Dolayısıyla robertosmix arkadaşın bu aralar pek zevke geleceğini zannetmiyorum :)
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
roktas
0
roktas
Tercihlerinize (Gentoo, FreeBSD) ve o seçenekleri size sunanlara saygı duyuyorum. Fakat mümkünse tercihleriniz için daha akılcı dayanaklar geliştirin veya böyle bir şey mümkün değilse ("mutlak" bir nesnel üstünlük belirlenemiyorsa) "tercihim budur, ötesi yok" demekle yetinin. 1000'in üzerinde kullanıcının giriş yaptığı bir sunucuyla (gluck.debian.org) kendi makinenizi karşılaştırarak böyle çıkarımlara gitmeyelim lütfen. Mesela verdiğiniz "basit kullanışlı ama güvensiz apt" örneğiyle bu problemin hiçbir alakası yok.
robertosmix
0
robertosmix
Tercihlerimiz için daha akılcı dayanaklar geliştirme gibi bir ihtiyacımız yok. Hatırlıyorum da.. 2002'de bir kamu kurumuna FreeBSD 4.7 ve üzerine postfix + postgresql kurmuştum. Günde yaklaşık olarak ortalama 10-15 bin request gerçekleşen bilgisayar 2005'de anakartı yanınca durmak zorunda kalmıştı.. 3 yıldır.. hiç power tuşuna basılmadan sistem nicelerine nispet olacak bir şekilde çalıştı. Allah geliştiricilerine uzun ve sağlıklı bir hayat verir inşallah.

http://www.freebsd.org/marketing/os-comparison.html

Ama konuya alaka gösterip de içerikde genişleme sağladığınız için teşekkür ederim.
evrenos
0
evrenos
Evet Debian deyince insanın akılana hep güvenlik açıkları buglar geliyor henüz bir kararlılık yok Woody ile 4 sene idare ettik sürekli yama yaptık sonuç yine aynı , Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel Debian Apt ile basit kullanılışlı bir o kadar güvensiz evet arkasında birçok geliştirci bu projeye emek veren insan var sonuç olarak yorumu siz kullanıcıların takitirene bırakıyorum
Challenger
0
Challenger
Sarge'nin birçok prolemi halla devam ediyor malesef Debian Bir Gentoo veya Freebsd kadar güvenli değil

Bunun için gerekçeniz nedir? Şu şu şu sebeplerden dolayi diyebilir misiniz?

İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

Kaynak koddan güncelleme yapmının, güncelleme sürecinin sonucunun mükemmel olmasına ne gibi katkısı var? Derlenmiş paket kullanınca vasat mı oluyor?
evrenos
0
evrenos
Yaptığım yorum sadece beni bağlar ben kendi gördüklerim kandi yaşadıkların yorumunu yaptım hala derlermiş paketlerinde binlerce bug çıkıyor,Debian kullanıyorsanın az çok takip ediyorsunuzdur. Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor. Derlemiş paketler sadece bir veya birkoç linux makina bünyesinde derleniyor buda perfomansı stabilteyi benim kanımca düşüyor 1997 yılından beri birçok linux sürümü kullandım ilk önce Slackware ile başladım son iki sene kadar bende kulumunun kolay olmasından dolayı Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım Şuan gelişmekte olan Pardus bile Gentoonun temelinde geliştirilmeye başlanmıştır. hiç kızmaya güncenmeye gerek yok bu benim yorumum herkesin yorumu kenini bağlar. Sayın site yönetmenden bir ricam var Lüften forumu açında bu tür görüş alışverişini Forum kanalı iie yapalım :)
kesken
0
kesken
Evet kendi sunucularımda Gentoo kullanıyorum kaynak kondundan yazılım kurlumu hem daha stabil hemde kullandığın sunucun kendi donanım at yapısında derlenmiş oluyor bu bir üstünlük perfomansı attıyor
"stabil" kismini anlamadim, bir sunucuda hizmet vermek istediginiz protokoller, ve bu is icin sectiginiz uygulamalar belli, bunlarin surumleri belli, gentoo'da derlemeden bir gelistirme mi yapiyorsunuz daha "stabil" kilmak icin, derleme-zamanli bir ayar ihtiyaciniz var ise zaten hangi dagitimi kullanirsaniz kullanin derliyorsunuz, herseyi derlemek ne kazandiriyor?
Debian kullanıyordum ama yapılan ataklar,sürekli sunucunun çökmezsi beni başka dağtımları araştırma yoluna itti ve ben Gentooda karar kıldım
bence bir yanilgi icerisindesiniz, eger gentoo dagitimlarinda bir yapay zeka yok ise, gentoo kurdum artik bana saldiramazlar ruh haliyle hareket ederseniz aci cekebilirsiniz. saldirilari ve aciklari iyi analiz etmek lazim.
evrenos
0
evrenos
Ben bana sadırmazlar diye kanı içersinde değilm ki öyle yazayım hergün bende sadırı alıyorum tabiki ve sunucularımı hergün kullandığım dağıtımın belirli güncelleme komutlarını kullanarak güncelliyorum benim belirli bir linux bilgim olmasa idi burda yorum yapmazdım ilaki şu dağıtım diyede idaa ettiğim yok size göre yanılgı içersindede olabilirim ama şunu bilin kaynak kodları ile uraşmadan bazı şeyleri ayrıtılarını görmeden linux öğrenilmez ben C++ ve Pyton dilini biliyorsam eğer kaynak kodundan delermeye devam edecem :)
kesken
0
kesken
İki seneden beri Gentoo kullanıyorum sunucu taş gibi güncellemeleride kaynak kodundan yapıyorsun sonuç mükemmel

calgon reklamini andirdi bu degerlendirme
yilmaz
0
yilmaz
hatta biri gelir "siz hala kod compile etmiyor musunuz? Makinanız bu yüzden kireç bağladı." :))
evrenos
0
evrenos
Reklamı dediniz Alın size Reklam Asvat ağladı be olsun bizim olsun Lütfen birşeyi denemeden o konu hakkında yorum yapmayın ben debianıda kullandım Fedora,Redhatını ,Susesinide yanlız burada gördümkü biz Türk insanını olarak Tartışmasını bilmiyoruz hemen herşeyi alay konusu yapıyoruz ne diyeyim yakında Parduslada alay edersiniz
roktas
0
roktas
13 Temmuz 19:54:52 +0200 tarihli duyuru aşağıda. 


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


------------------------------------------------------------------------

The Debian Project                                http://www.debian.org/

Debian Server restored after Compromise          debian-admin@debian.org

July 13th, 2006                 http://www.debian.org/News/2005/20060713

------------------------------------------------------------------------


Debian Server restored after Compromise


One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here:  


Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.




One core Debian server has been reinstalled after a compromise and services have been restored.  On July 12th the host gluck.debian.org has been compromised using a local root vulnerability in the Linux kernel.  The intruder had access to the server using a compromised developer account.


The services affected and temporarily taken down are: cvs, ddtp, lintian, people, popcon, planet, ports, release.



Details

-------


At least one developer account has been compromised a while ago and has been used by an attacker to gain access to the Debian server.  A recently discovered local root vulnerability in the Linux kernel has then been used to gain root access to the machine.


At 02:43 UTC on July 12th suspicious mails were received and alarmed the Debian admins.   The following investigation turned out that a developer account was compromised and that a local kernel vulnerability has been exploited to gain root access.


At 04:30 UTC on July 12th gluck has been taken offline and booted off trusted media.  Other Debian servers have been locked down for further investigation whether they were compromised as well.  They will be upgraded to a corrected kernel before they will be unlocked.


Due to the short window between exploiting the kernel and Debian admins noticing, the attacker hadn't had time/inclination to cause much damage.  The only obviously compromised binary was /bin/ping.


The compromised account did not have access to any of the restricted Debian hosts.  Hence, neither the regular nor the security archive had a chance to be compromised.


An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response.


The machine status is here: 



Kernel vulnerability

--------------------


The kernel vulnerability that has been used for this compromise is referenced as CVE-2006-2451.  It only exists in the Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24.  The bug allows a local user to gain root privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions.


The current stable release, Debian GNU/Linux 3.1 alias 'sarge', contains Linux 2.6.8 and is thus not affected by this problem.  The compromised server ran Linux 2.6.16.18.  


If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux 2.6.16 up to versions before 2.6.16.24, please update your kernel immediately.



About Debian

------------


Debian GNU/Linux is a free operating system, developed by more than thousand volunteers from all over the world who collaborate via the Internet.  Debian's dedication to Free Software, its non-profit nature, and its open development model make it unique among GNU/Linux distributions.


The Debian project's key strengths are its volunteer base, its dedication to the Debian Social Contract, and its commitment to provide the best operating system possible.

Hepsini çevirme imkanım yok. Önemli kısım şu görünüyor:

Şu anki kararlı sürüm, Debian GNU/Linux 3.1 'sarge', Linux 2.6.8 çekirdeğini içeriyor ve dolayısıyla bu güvenlik açığından etkilenmiyor. Saldırının gerçekleştiği sunucuda Linux 2.6.16.18 çekirdeği bulunuyor.
ttk
0
ttk
Hemen de halletmişler ne güzel :)
darkhunter
0
darkhunter
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar? Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)
roktas
0
roktas
Niçin sunucularında stable'ın çekirdeğini kullanmıyorlar?

Nedenini bilmiyorum, ama sanıyorum (en azından bu saldırı öncesine kadar) makul görünen bir gerekçesi vardır. gluck.debian.org ağır yüklere girebilen, iri kıyım bir makine. İhtimal o ki bu makinenin sıradan olmayan donanımı ve/veya başarım gereksinimleri yeni bir çekirdek gerektirmişti. 1000 civarında DD bu sunucuya giriş yapıyor. Yani ortada önemli bir "local exploit" tehlikesi var. Bu ve Kasım 2003'deki saldırılar hep bu yöntemle gerçekleştirildi. Önceki saldırıdan edinilen deneyimin (yapılan bir takım düzenlemelerle) bu saldırının daha hafif atlatılmasına yardımcı olduğunu düşünüyorum. Saldırının çabuk tespit edilmiş olması, "şeffaflık" düsturunca açık duyuru yapılması ve kısa sürede sorunun giderilerek sunucunun tekrar hizmete sokulması hususları dikkate alındığında Debian adminlerinin başarılı bir sınav verdikleri kanısındayım.

Bir ihtimal o sunucuda stable da kullanılmıyor olması ki o daha ilginç... :)

Kısaca hayır. Görev kritik sunucularda Sarge kullanmaya devam edin.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

DDoS şirket iflas ettirdi
conan
1 Şubat 2002, 1 dakika okuma süresi

İngiltere'nin en eski İnternet Servis Sağlayıcılarından CloudNine Communications yaşadığı yoğun Distributed Denial of Service (DDoS) atakları sonucunda geçen hafta şirketi rakibine sattığını açıkladı! Yaşadıkları yoğun ataklar sonucunda müşterilerine hizmet verememekten dolayı gelirleri sürekli olarak düşen şirket en sonunda 2500 müşterisiyle birlikte rakibi ZetNet'e satıldı. Kurucularından Emeric Miszti'nin dediğine göre basit olarak sitelerini bakım nedeniyle çok uzun süreli kapamak zorunda kalmışlar ve sonunda düşünüp taşınıp şirketi ZetNet'e satmaya karar vermişler.

JPEG lerde Virüs
redogre
17 Haziran 2002, 1 dakika okuma süresi

Evet maalesef sonunda bu da yapıldı. McAfee sitesinde ki haberde yeni bulunan Perrun adlı virüsün jpeg uzantılı resim dosyalarını kullanarak bulaştığını yazıyor. Virüsün bulaşması için makinaya extractor'ının da bulaşmış olması gerekiyor. Ama bu olduktan sonra virüs tüm jpeglere bulaşıp yayılıyor.Perrun zararı olmayan bir virüs ama yakında takipçilerinin nasıl olabileceğini herkes tahmin edebilir herhalde.

Sevgili futursuz yazarınız Redogre de, 3 hafta önce ilk defa kurduğu Outlook Express programından açtığı bir jpeg ile Klez sahibi olmuştu. Artık resim dosyalarıda güvensiz olduğuna göre benim gibi rahat insanların da virüs korumasız günleri sona erdi galiba....

Microsoft Windows Explorer'da Kritik Güvenlik Açığı
FZ
20 Nisan 2005, 1 dakika okuma süresi

Microsoft, 18 Ocak'ta rapor edilen kritik bir MS Windows Güvenlik açığı ile ilgili olarak hala yama yayınlamadı. Söz konusu açık Windows Explorer'daki bir problemden kaynaklanıyor ve keyfi bir komut çalıştırılmasına izin veriyor.

Israil merkezli GreyMagic Software geçen gece yayınladığı bülten ile Win2000 Pro., Server ve Advanced Server sistemlerinin etkilenebileceğini belirtti. Şirketin verdiği bilgilere göre, Windows 2000'deki Web View DLL'sini kullanan tüm sistemler de aynı açıktan muzdarip.

Bültene göre "kötü niyetli dosyanın etkisini göstermesi için çalıştırılmasına, üzerine çift tıklanmasına gerek yok. Dosyayı seçtiğiniz anda söz konusu açıktan faydalanan kötü niyetli yazılım devreye giriyor."

Detaylı bilgi için: http://searchsecurity.techtarget.com

Kuyruklu yalan dolmuşuna binmeyin...
ftaski
24 Mayıs 2001, 1 dakika okuma süresi

Geçen gün icq mesajlarıma bakarken boş forward yapmayacağına inandığım bir zat tarafından "Symantec 17 Nisan'da bulunan yeni bir virüsün, antivirüs programları tarafından tanınmadığı, ayrıca 1 haziranda aktif olacağını açıkladı. PC'nizde bu virüsün olup olmadığını incelemek için SULFNBK.EXE adlı dosyayı arattırın." şeklinde bir mesaj aldım. Olayın aslını merak etmeden dosyayı arattım ve bir güzel sildim (Bu dosya uzun dosya isimlerini saklamaya yarayan bir exe imiş). Kıllandığımda geçti çünkü Symantec in sayfasında konu ile ilgili linkte "Category: Hoax"(!!!) yazmaktaydı... Gerek e-maille gerek icq ile gelen her mesaja inanmayınız/inandırtmayınız; zira ben bu mesajı forward ettiğim herkese pişmanlık ve uyarı dolu yeni mesajlar attım ve bazılarına bu dosyayı bulup yolladım. Aman Dikkat. http://www.symantec.com/

Metacortex - OpenBSD PF Toolbox
ts
17 Aralık 2003, 1 dakika okuma süresi

Metacortex BSD lisansı ile dağıtılan OpenBSD PF firewall için monitoring yazılımıdır. Web arabirimi ile sistem yöneticileri için kullanışlı bir araçtır.