[gentoo] rsync 1 uur compromised geweest - Linux en overige clients

woensdag 3 december 2003 21:39

Acties:

0 Henk 'm!

Sound is no voodoo!

Topicstarter

Zie: http://lwn.net/Articles/61229/

Een van de rsync servers van gentoo is blijkbaar gehacked. Schijnbaar is er niet aan de rsync tree gesleuteld, maar onderzoek loopt nog. De server is uit se rsync lijst gehaalt, totdat ie helmaal onderzocht is en opnieuw is geinstelleerd. Er is dus geen gevaar voor de gentoo gebruiker, maar voor de zekerheid kun je nog ff emerge sync doen.

Do diamonds shine on the dark side of the moon :?

woensdag 3 december 2003 23:22

Acties:

0 Henk 'm!

smokalot

titel onder

zelfs al was er met de tree geknoeid, hij heeft hoogstwaarschijnlijk maar een uur compromised gedraaid, en in die zijn er 20 users geweest die gesyncd hebben met die bak. Kans lijkt me vrij klein dus

It sounds like it could be either bad hardware or software

woensdag 3 december 2003 23:30

Acties:

0 Henk 'm!

voodooless

Sound is no voodoo!

Topicstarter

klopt, maar het is wel ff het vermelden waard. Voor hetzelfde geld wordt het niet verteld.

Opvallend is dat het binnen een uur ontdenkt werd. "Goede" systemen zijn het dus. Voor de zekerheid gaat echter: cat /dev/zero > /dev/hdx

en alles opnieuw erop. Je weet nooit zeker.

Misschien iets voor de herinstallatie: www.lids.org , heb je nog minder kans op hackers.

Do diamonds shine on the dark side of the moon :?

donderdag 4 december 2003 00:03

Acties:

0 Henk 'm!

Martin Sturm

nieuws: Gentoo-server valt ten prooi aan hacker
vermeld

donderdag 4 december 2003 00:55

Acties:

0 Henk 'm!

Anoniem: 51493

De titel is enigzins misleidend. Volgens /. is het waar dat een Gentoo rsync server is compromised (welke wordt niet verteld) maar niet op dezelfde manier als bij Debian het geval was, voor zover bekend. Het is wel waar dat FSF's Savannah op dezelfde manier te grazen is genomen als bij het Debian project, zelfde vulnerability.

Bron: http://slashdot.org/artic...26&tid=172&tid=185&tid=99

donderdag 4 december 2003 08:04

Acties:

0 Henk 'm!

Fonz55

Nu wordt in het nieuwsbericht aangegeven dat het door het Intrusion Detection System gezien werd dat er iemand aan het knutselen was.
Ik ben wel zeer benieuwd welk Intrusion Detection System ze dan gebruikt hebben. Zeker als die zo goed zijn werk gedaan heeft

Tijd om ook maar eens zoiets op te zetten. Iemand een idee?

donderdag 4 december 2003 11:13

Acties:

0 Henk 'm!

AlterEgo

Fonz55 schreef op 04 december 2003 @ 08:04:
Tijd om ook maar eens zoiets op te zetten. Iemand een idee?

http://www.gentoo.org/doc/en/gentoo-security.xml
http://www.gentoo.org/proj/en/hardened/

Vermoed ik

donderdag 4 december 2003 15:08

Acties:

0 Henk 'm!

Wilke

LOL @AlterEgo.

Tja, eerst de FSF, toen Debian, nu Gentoo weer. Het is wat zeg

donderdag 4 december 2003 15:10

Acties:

0 Henk 'm!

BoAC

Memento mori

Wilke schreef op 04 december 2003 @ 15:08:
LOL @AlterEgo.

Tja, eerst de FSF, toen Debian, nu Gentoo weer. Het is wat zeg

Krijgen we nu ook nog een keer meldingen van Servers van andere OS-bouwers waarin gehacked is/was

[ Voor 3% gewijzigd door BoAC op 04-12-2003 15:11 ]

donderdag 4 december 2003 17:28

Acties:

0 Henk 'm!

sebas

Ik vrees van wel.

Savannah.gnu.org is ook h4x0r3d.

On December 1st, 2003, we discovered that the "Savannah" system, which is maintained by the Free Software Foundation and provides CVS and development services to the GNU project and other Free Software projects, was compromised at circa November 2nd, 2003.

The compromise seems to be of the same nature as the recent attacks on Debian project servers; the attacker seemed to operate identically. However, this incident was distinctly different from the modus operandi we found in the attacks on our FTP server in August 2003. We have also confirmed that an unauthorized party gained root access and installed a root-kit ("SucKIT") on November 2nd, 2003.

http://savannah.gnu.org/statement.html

Everyone complains of his memory, no one of his judgement.

donderdag 4 december 2003 17:48

Acties:

0 Henk 'm!

Zwerver

update over wat gezorgt heeft voor de hack van de gentoo rsync:

- --------------------------------------------------------------------------
Debian Security Advisory DSA 404-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
December 4th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package : rsync
Vulnerability : heap overflow
Problem-Type : remote
Debian-specific: no
CVE ID : CAN-2003-0962

The rsync team has received evidence that a vulnerability in all
versions of rsync prior to 2.5.7, a fast remote file copy program, was
recently used in combination with a Linux kernel vulnerability to
compromise the security of a public rsync server.

While this heap overflow vulnerability could not be used by itself to
obtain root access on an rsync server, it could be used in combination
with the recently announced do_brk() vulnerability in the Linux kernel
to produce a full remote compromise.

Please note that this vulnerability only affects the use of rsync as
an "rsync server". To see if you are running a rsync server you
should use the command "netstat -a -n" to see if you are listening on
TCP port 873. If you are not listening on TCP port 873 then you are
not running an rsync server.

oftewel weer de do_brk()

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 5 december 2003 01:00

Acties:

0 Henk 'm!

Anoniem: 51493

Nee.
Rsync -> Remote -> Local user access -> Linux Kernel -> Root.

Zo zie je maar weer dat ook het patchen van locale fouten belangrijk is ook al draai je geen shells voor derden.

vrijdag 5 december 2003 01:16

Acties:

0 Henk 'm!

Zwerver

Anoniem: 51493 schreef op 05 december 2003 @ 01:00:
Nee.
Rsync -> Remote -> Local user access -> Linux Kernel -> Root.

Zo zie je maar weer dat ook het patchen van locale fouten belangrijk is ook al draai je geen shells voor derden.

sorry deze logica snap ik niet? Want er staat toch echt dat er rsync servers compromised zijn? En dat er dus ingebroken kan worden op een remote server? Of doet de alcohol nu dingen die onzin zijn

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 5 december 2003 11:10

Acties:

0 Henk 'm!

JeroenT

hoi!

Gaat lekker met linux

Zo zie je maar weer dat niet alleen Windows hack gevoelig is, het lijkt wel alsof MS een team heeft ingehuurd om linux distro's te hacken?

* JeroenT draait FreeBSD

[ Voor 55% gewijzigd door JeroenT op 05-12-2003 11:12 ]

vrijdag 5 december 2003 11:20

Acties:

0 Henk 'm!

ge-flopt

Het lijkt erg, maar het is eigenlijk maar 1 bug (die inmiddels verholpen is) , maar idd windows is niet de enige met bugs... In freebsd zullen ook wel bugs zitten, maar dor de opzet van BSD weer minder, maar altijd zit er wel ergens een bug in.

vrijdag 5 december 2003 19:51

Acties:

0 Henk 'm!

Anoniem: 51493

Zwerver schreef op 05 december 2003 @ 01:16:
[...]

sorry deze logica snap ik niet? Want er staat toch echt dat er rsync servers compromised zijn? En dat er dus ingebroken kan worden op een remote server? Of doet de alcohol nu dingen die onzin zijn

Bij Gentoo:

Rsync access -> compromise -> kiddo heeft access als user (rsync draai je niet als root tenzij je finaal clueless bent; staat btw ook in de gentoo emerge van rsync of rsyncd) -> vervolgens idd brk en dan -> user -> root -> jackpot.

Dus niet alleen via de Linux kernel...

Bij Debian was het ipv Rsync een wachtwoord, zelfde resultaat...