Software::Distributionen::Debian

Abschlussbericht zum Einbruch in die Debian-Server

Es ist jetzt klar, dass die Angreifer sich über ein gesnifftes Passwort Zugriff auf den Server "klecker" verschafften (19. Nov. 2003/17:00 Uhr UTC). Von dort aus wurde mittels eines Exploits ein Kernel-Fehler (ein Fehler im Systemaufruf do_brk) dazu benutzt, Zugriff auf den vollen Adressraum des Kernels zu erhalten und somit zu Root-Rechten zu gelangen. Danach wurde sich mit dem selben Passwort auf "master" eingeloggt (19. Nov. 2003/17:20 Uhr UTC). Da der Server "murphy" diesen Login-Account nicht akzeptierte, wurde ein Service-Account von "master" dazu benutzt, sich auf "murphy" einzuloggen (19. Nov. 2003/18:30 UTC). Zuletzt konnte sich mit einem neu gesnifften Passwort in den Server "gluck" eingeloggt werden (20. Nov. 2003/20:54 UTC). Bemerkt wurde das ganze erstmals am 20. Nov. 2003/20:00Uhr UTC, als das Admin-Team Kernel-Probleme auf "master" und "murphy" feststellte.

Fest steht, dass die Angreifer nicht die Paketarchive verändert haben. Somit wurde das Security-Archiv, als erste Aktion hin zur Normalität, wieder geöffnet. Der Kernel-Fehler selbst ist wie bereits berichtet ab Kernel 2.4.23 und 2.6.0-test6 behoben worden. Kernel 2.2 ist nicht betroffen.