摩托學園討論區

[kahn]

Debian伺服器遭受攻擊調查報告全文 2003-12-04 19:24:58,

轉載自www.linuxbyte.net

(* 轉貼者按註：文中若干簡體用語已轉成繁體用語，若仍有不周之處，請留言評論 *)

Debian 伺服器遭受攻擊，Linux核心被安裝木馬使很多人懷疑Linux的安全性， 昨天Bill Gates在與Always On的訪談中也號稱Windows更安全更便宜. 而國內 (* 轉貼者按註：這裡指的是中國大陸 *)某些網路媒體也趁此興風作浪，大肆炒作. 為了讓大家了解此事來龍去脈，Linuxbyte特別翻譯 Debian伺服器遭受攻擊調查報告全文，以正視聽. 讓大家了解目前版本的Linux核心是安全的.


Debian 伺服器遭受攻擊調查報告 (全文)

Debian管理工作組和安全專家已經找到駭客入侵Debian伺服器並造成伺服器癱瘓的原因. 但是入侵者身份仍未確定.

程式檔案沒有被入侵者修改.Debian管理和安全工作組已經於調查早期和重新安裝期間檢查了這些程式檔案.這正是Debian計劃得以重新開放的原因，並確認穩定升級版沒有受到影響(3.0r2)

以下為受攻擊伺服器的系統記錄，該記錄時間均為格林威治時間.

Sep 28 01:33 Linus Torvalds 發佈已修正 do_brk() 的 Linux2.6.0-test6
Oct 02 05:18 Marcello Tosatti 執行 do_brk() 閘道檢查
Nov 19 17:00 入侵者使用竊取的密碼登入klecker伺服器
Nov 19 17:08 Root-kit 安裝在klecker伺服器上
Nov 19 17:20 入侵者使用同一密碼登入master伺服器
Nov 19 17:47 Root-kit 安裝在master伺服器上
Nov 19 18:30 入侵者使用來自master伺服器的服務帳號登入murphy伺服器
Nov 19 18:35 Root-kit 安裝在murphy伺服器上
Nov 19 19:25 murphy伺服器上的Oopses開始執行
Nov 20 05:38 master伺服器上的Oopses開始執行
Nov 20 20:00 在master和murphy伺服器上發現Oopsee程序
Nov 20 20:54 Root-kit安裝在gluck伺服器上
Nov 20 22:00 確認debian.org伺服器癱瘓
Nov 21 00:00 凍結所有帳號
Nov 21 00:34 關閉security.debian.org
Nov 21 04:00 關閉gluck伺服器 (該伺服器負責：www, cvs, people, ddtp)
Nov 21 08:30 定向www.debian.org 到 www.de.debian.org
Nov 21 10:45 發佈聲明
Nov 21 16:47 開發人員訊息更新
Nov 21 17:10 關閉murphy伺服器 (該伺服器負責：lists)
Nov 22 02:41 security.debian.org 重新開放
Nov 25 07:40 lists.debian.org 重新開放
Nov 28 22:39 Linux 2.4.23 發佈

格林威治時間11月20日晚間，伺服器管理工作組發現master伺服器運行出錯.該伺服器已經長時間無故障運行並剛剛經過硬體檢修.同時，murphy伺服器執行出錯，和master伺服器錯誤完全相同. 此時，這些故障已經引起管理員懷疑.

klecker，murphy和gluck伺服器均安裝有“高級系統入侵偵測系統"以全天候監視文件系統的變更。此時，該系統發出警告報告/sbin/init 被替換。 /usr/lib/locale/en_US 的mtime和ctime參數也被改動.

進一步的調查顯示，引起一系列伺服器出錯的程序名為SuckIT root-kit. 該程序用來監聽密碼並有避免系統查覺的能力.該程序被直接安裝入Linux核心並引起伺服器報告錯誤.

/具體攻擊過程分析

格林威治時間禮拜四,11月19日下午5時左右，入侵者使用一個竊取到的密碼登入到klecker伺服器(.debian.org)所在的開發人員帳號上 (普通權限帳號), 接著通過HTTP取回一個本地核心木馬程序並使用該程序獲得root權限， 然後安裝了root -kit程序. 入侵者然後使用同一帳號和密碼進入master伺服器並用同樣手段獲得root權限並安裝了SuckIT root-kit. 入侵者又使用同一帳號和密碼企圖進入murphy主機，操作失敗。murphy主機有帳號限制,只接受某些列表伺服器登入,並且只有少數開發人員才能登入. 此法無效，該攻擊者使用在master系統的root權限連接了管理帳號，該管理帳號用作文件備份和連接murphy主機. 入侵者得逞, 也在murphy主機安裝了root-kit.

次日，攻擊者使用從master伺服器上竊取的帳號密碼登入gluck伺服器，獲得root權限後再次安裝了木馬程序SuckIT root-kit.

/sbin/init 被覆蓋的確切日期和時間和root-kit被安裝的確切時間均通過分析一一得知。分析人員同時也發現一可執行文件，該文件用來獲取伺服器root執行權.安全專家則發現，該木馬程序利用了Linux核心的漏洞。

一個brk系統呼叫的整數溢位被利用並覆蓋核心存儲器(改變page保護點),攻擊者由此獲得核心存儲器空間的控制權並可以改變存儲器中的參數數值。

儘管這一核心漏洞已於9月份被Andrew Morton發現並在10月以來發佈的核心版本中進行了少量修復。但是由於安全意識的疏忽並沒有人意識到該漏洞的嚴重性。所以，沒有任何Linux發行商對此提出任何安全建議.導致駭客發現並利用該漏洞攻擊了debian伺服器.至此,一般缺陷和漏洞計劃站台(* 轉貼者按註: CVE.mitre.org)指定該安全問題代號為CAN-2003-0961.

Linux 2.2.x 沒有此缺陷, 因為通道檢查已經在此之前進行。同時確信Sparc和PA-RISC核心均無該漏洞,(Sparc和PA-RISC核心存儲於其他位置)。

我們不能把該木馬程序給任何陌生人，請諒解我們的作法並不要向我們詢問有關此木馬程序的事項.

/修復

伺服器關閉以後，我們建立了遭受攻擊的伺服器硬碟映像並轉移到隔離的伺服器.該映像同時分發給鑒定分析人員. 之後，美國有三台伺服器(master, murphy,gluck)重新安裝，經過相關服務的管理員調查之後一個接一個重新開放了帳號服務。klecker伺服器因為維護計劃將會延期開放，所以安全文檔的重新線上放置會比其他服務更早.目前我們也沒有klecker控制台連接能力,所以修復工作不得不進行遠程操作. 在硬碟映像通過Serial Console登入到有防火牆的本地網路伺服器後，root-kit程序被刪除. 核心則被更換和加固. 兩次檢查了二進位文件和安全文檔.klecker伺服器將於未來幾周內重新安裝.

由於安全預防原因，所有LDAP的開發人員帳號被停用, 重要主機的SSH Key被卸除,以保証不會收到攻擊。這樣，公共Debian運作包括上傳文件和連接CVS主機都被停用.在quantz使用的所有密碼均被設置無效. 所有的SSH許可密鑰也被卸除.請點擊以下位址獲取新密碼：

https://alioth.debian.org/account/lostpw.php

當所有服務重新開放並保証伺服器足夠安全時，LDAP會被重新設定，開發人員便可建立新密碼. 由於受攻擊的伺服器SSH重新安裝. 將有新的RSA主機密鑰和密鑰指紋識別器安裝於這些伺服器.

/總結

自從受到攻擊的伺服器密碼遭到監聽，任何發送帶有密碼的訊息連接都被認為受到威脅。另外，如果你使用相同的密碼和帳號登入Debian主機，我們強烈建議你分別更換密碼和帳號。在伺服器進行引導和儲存的SSH key如果曾經用於連接其他主機，該SSH key也必須被刪除。

擔心個人計算機有危險的開發人員可以通過運行chkrootkit進行檢查。 目前的版本可以在下列地址找到：
deb http://lackof.org/taggart/debian woody/chkrootkit main
deb-src http://lackof.org/taggart/debian woody/chkrootkit main

如果需要了解更多訊息，請參考 www.debian.org 或發email至press@debian.org

(The End)

[moto]

.. 網路安全問題真是絲毫不得大意... 一但確定有被入侵過..後續付出的成本是相當昂貴的..不可不慎阿...

[訪客]

The original source of message probably comes from here:

http://www.linuxorbit.com/print.php?sid=2133

Can anyone explain this for me?

The attacker then retrieved the source code through HTTP for an (at that time) unknown local kernel exploit and gained root permissions via this exploit.

Why getting the source code enables the cracker to gain root permissions? What does "source code" mean? The kernel source code? Everyone has kernel source code. Right?