Toon posts:

[gentoo] rsync 1 uur compromised geweest

Pagina: 1
Acties:

woensdag 3 december 2003 21:39

Acties:
  • voodooless
  • Registratie: Januari 2002
  • Laatst online: 20:56

voodooless

Sound is no voodoo!

Topicstarter
Zie: http://lwn.net/Articles/61229/

Een van de rsync servers van gentoo is blijkbaar gehacked. Schijnbaar is er niet aan de rsync tree gesleuteld, maar onderzoek loopt nog. De server is uit se rsync lijst gehaalt, totdat ie helmaal onderzocht is en opnieuw is geinstelleerd. Er is dus geen gevaar voor de gentoo gebruiker, maar voor de zekerheid kun je nog ff emerge sync doen.

Do diamonds shine on the dark side of the moon :?

woensdag 3 december 2003 23:22

Acties:
  • smokalot
  • Registratie: Juni 2001
  • Laatst online: 15-01 22:00

smokalot

titel onder

zelfs al was er met de tree geknoeid, hij heeft hoogstwaarschijnlijk maar een uur compromised gedraaid, en in die zijn er 20 users geweest die gesyncd hebben met die bak. Kans lijkt me vrij klein dus :Y)

It sounds like it could be either bad hardware or software

woensdag 3 december 2003 23:30

Acties:
  • voodooless
  • Registratie: Januari 2002
  • Laatst online: 20:56

voodooless

Sound is no voodoo!

Topicstarter
klopt, maar het is wel ff het vermelden waard. Voor hetzelfde geld wordt het niet verteld.

Opvallend is dat het binnen een uur ontdenkt werd. "Goede" systemen zijn het dus. Voor de zekerheid gaat echter: cat /dev/zero > /dev/hdx :P en alles opnieuw erop. Je weet nooit zeker.

Misschien iets voor de herinstallatie: www.lids.org , heb je nog minder kans op hackers.

Do diamonds shine on the dark side of the moon :?

donderdag 4 december 2003 00:03

Acties:
  • Martin Sturm
  • Registratie: December 1999
  • Laatst online: 24-02 14:06

Martin Sturm

nieuws: Gentoo-server valt ten prooi aan hacker
vermeld :P

donderdag 4 december 2003 00:55

Acties:

Verwijderd

De titel is enigzins misleidend. Volgens /. is het waar dat een Gentoo rsync server is compromised (welke wordt niet verteld) maar niet op dezelfde manier als bij Debian het geval was, voor zover bekend. Het is wel waar dat FSF's Savannah op dezelfde manier te grazen is genomen als bij het Debian project, zelfde vulnerability.

Bron: http://slashdot.org/artic...26&tid=172&tid=185&tid=99

donderdag 4 december 2003 08:04

Acties:
  • Fonz55
  • Registratie: Februari 2002
  • Laatst online: 21-10-2025

Fonz55

Nu wordt in het nieuwsbericht aangegeven dat het door het Intrusion Detection System gezien werd dat er iemand aan het knutselen was.
Ik ben wel zeer benieuwd welk Intrusion Detection System ze dan gebruikt hebben. Zeker als die zo goed zijn werk gedaan heeft ;)
Tijd om ook maar eens zoiets op te zetten. Iemand een idee?

donderdag 4 december 2003 11:13

Acties:
  • AlterEgo
  • Registratie: Juli 2001
  • Niet online

AlterEgo

Fonz55 schreef op 04 december 2003 @ 08:04:
Tijd om ook maar eens zoiets op te zetten. Iemand een idee?
http://www.gentoo.org/doc/en/gentoo-security.xml
http://www.gentoo.org/proj/en/hardened/

Vermoed ik :Y)

donderdag 4 december 2003 15:08

Acties:
  • Wilke
  • Registratie: December 2000
  • Nu online

Wilke

LOL @AlterEgo.

Tja, eerst de FSF, toen Debian, nu Gentoo weer. Het is wat zeg :/

donderdag 4 december 2003 15:10

Acties:
  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 06:56

BoAC

Memento mori

Wilke schreef op 04 december 2003 @ 15:08:
LOL @AlterEgo.

Tja, eerst de FSF, toen Debian, nu Gentoo weer. Het is wat zeg :/
Krijgen we nu ook nog een keer meldingen van Servers van andere OS-bouwers waarin gehacked is/was >:)

[ Voor 3% gewijzigd door BoAC op 04-12-2003 15:11 ]

donderdag 4 december 2003 17:28

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

Ik vrees van wel.

Savannah.gnu.org is ook h4x0r3d. :|
On December 1st, 2003, we discovered that the "Savannah" system, which is maintained by the Free Software Foundation and provides CVS and development services to the GNU project and other Free Software projects, was compromised at circa November 2nd, 2003.

The compromise seems to be of the same nature as the recent attacks on Debian project servers; the attacker seemed to operate identically. However, this incident was distinctly different from the modus operandi we found in the attacks on our FTP server in August 2003. We have also confirmed that an unauthorized party gained root access and installed a root-kit ("SucKIT") on November 2nd, 2003.
http://savannah.gnu.org/statement.html

Everyone complains of his memory, no one of his judgement.

donderdag 4 december 2003 17:48

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

update over wat gezorgt heeft voor de hack van de gentoo rsync:
- --------------------------------------------------------------------------
Debian Security Advisory DSA 404-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
December 4th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package : rsync
Vulnerability : heap overflow
Problem-Type : remote
Debian-specific: no
CVE ID : CAN-2003-0962

The rsync team has received evidence that a vulnerability in all
versions of rsync prior to 2.5.7, a fast remote file copy program, was
recently used in combination with a Linux kernel vulnerability to
compromise the security of a public rsync server.

While this heap overflow vulnerability could not be used by itself to
obtain root access on an rsync server, it could be used in combination
with the recently announced do_brk() vulnerability in the Linux kernel
to produce a full remote compromise.

Please note that this vulnerability only affects the use of rsync as
an "rsync server". To see if you are running a rsync server you
should use the command "netstat -a -n" to see if you are listening on
TCP port 873. If you are not listening on TCP port 873 then you are
not running an rsync server.
oftewel weer de do_brk() :(

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 5 december 2003 01:00

Acties:

Verwijderd

Nee.
Rsync -> Remote -> Local user access -> Linux Kernel -> Root.

Zo zie je maar weer dat ook het patchen van locale fouten belangrijk is ook al draai je geen shells voor derden.

vrijdag 5 december 2003 01:16

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

Verwijderd schreef op 05 december 2003 @ 01:00:
Nee.
Rsync -> Remote -> Local user access -> Linux Kernel -> Root.

Zo zie je maar weer dat ook het patchen van locale fouten belangrijk is ook al draai je geen shells voor derden.
sorry deze logica snap ik niet? Want er staat toch echt dat er rsync servers compromised zijn? En dat er dus ingebroken kan worden op een remote server? Of doet de alcohol nu dingen die onzin zijn

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 5 december 2003 11:10

Acties:
  • JeroenT
  • Registratie: Juli 2001
  • Laatst online: 22-02 16:35

JeroenT

hoi!

Gaat lekker met linux :+

Zo zie je maar weer dat niet alleen Windows hack gevoelig is, het lijkt wel alsof MS een team heeft ingehuurd om linux distro's te hacken? :P

* JeroenT draait FreeBSD ;)

[ Voor 55% gewijzigd door JeroenT op 05-12-2003 11:12 ]

vrijdag 5 december 2003 11:20

Acties:
  • ge-flopt
  • Registratie: Februari 2001
  • Laatst online: 22:04

ge-flopt

Het lijkt erg, maar het is eigenlijk maar 1 bug (die inmiddels verholpen is) , maar idd windows is niet de enige met bugs... In freebsd zullen ook wel bugs zitten, maar dor de opzet van BSD weer minder, maar altijd zit er wel ergens een bug in.

vrijdag 5 december 2003 19:51

Acties:

Verwijderd

Zwerver schreef op 05 december 2003 @ 01:16:
[...]


sorry deze logica snap ik niet? Want er staat toch echt dat er rsync servers compromised zijn? En dat er dus ingebroken kan worden op een remote server? Of doet de alcohol nu dingen die onzin zijn
Bij Gentoo:

Rsync access -> compromise -> kiddo heeft access als user (rsync draai je niet als root tenzij je finaal clueless bent; staat btw ook in de gentoo emerge van rsync of rsyncd) -> vervolgens idd brk en dan -> user -> root -> jackpot.

Dus niet alleen via de Linux kernel...

Bij Debian was het ipv Rsync een wachtwoord, zelfde resultaat...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq