Zwei weitere Server angegriffen
Nach [a 0.6245]Debian[/a] sind zwei weitere Server, die freie Software bereitstellen, gecrackt worden: der Savannah-Server der Free Software Foundation und ein rsync-Server der Linux-Distribution
Gentoo.
Wie Daniel Robbins in einer Mitteilung an die Mailingliste des Projektes bekannt gab, wurde ein Mirror von rsync.gentoo.org durch einen Remote-Exploit kompromittiert. Der oder die Angreifer installierten auf dem Server ein Rootkit und modifizierten Dateien, um ihre Spuren zu verwischen. Der Server selbst wurde nach Angaben von Robbins nicht verändert. Der Einbruch fand in der Nacht zum Dienstag, den 2.12. statt.
Nach dem Einbruch stand der Server noch für eine Stunde im Netz, bis die Betreiber die Änderungen feststellten und den betroffenen Rechner abschalteten. Nach den Log-Dateien haben in dieser Zeit 20 Nutzer von diesem Server ihre lokalen Systeme abgeglichen. Um kein unnötiges Risiko einzugehen und den Einbruch aufklären zu können, haben die Betreiber den betroffenen Server vorerst aus dem Rotationssystem entfernt und werden diesen erst wieder in Betrieb nehmen, wenn seine Integrität vollständig überprüft wurde.
Einen weiteren Einbruch in ein wichtiges Linux-System gab es bei dem Savannah-Server, der von der Free Software Foundation (FSF) betrieben wird und eine zentrale Entwicklungsplattform für viele Open-Source-Applikationen anbietet. Die Angreifer verschafften sich Zugang zu den Servern, erlangten Root-Rechte und installierten das Root-Kit SucKIT.
Nachdem der Einbruch, der nach Angaben der Betreiber ähnlich oder gleich wie auf den Debian-Servern bereits am 2. November ablief, am 1. Dezember 2003 entdeckt wurde, wollen die Verantwortlichen das System vorerst untersuchen und neu aufsetzen. Dabei will die Foundation, obgleich es »wichtige philosophische Differenzen« gibt, mit Debian zusammenarbeiten und den Vorfall vollständig aufklären.
Einen besonderen Schwerpunkt will man nach Angaben von FSF auf die Authentizität der Quelldateien legen. Der Server selbst ist derzeit außer Betrieb und soll bis Freitag auf einer neuen Hardware wieder aufgesetzt werden. Bereits im August hatten die Betreiber der GNU-Server einen Einbruch in das System bekannt gegeben. Vermutlich im März verschafften sich Unbekannte Root-Rechte auf dem Server. Der nun erfolgte Angriff ist nach Angeben der Betreiber des Savannah-Servers von anderer Natur und mit dem früheren Vorfall nicht zu vergleichen.
