Software::Distributionen::Debian
Debian-Crack noch nicht endgültig geklärt
Eine Woche nach der aufsehenerregenden [a 0.6205]Kompromittierung einiger Server des Debian-Projektes[/a] laufen die Untersuchungen, wie es dazu kommen konnte, immer noch.
Noch sind nicht alle Rechner wieder voll funktionsfähig.
James Troup vom Debian-Projekt hat eine genaue Beschreibung des derzeitigen Kenntnissstandes abgegeben. Demnach wurde mit einem ausspionierten Paßwort ein unprivilegierter Zugang zu einem der Rechner genutzt. Der noch unbekannte Täter nutzte dann eine Sicherheitslücke, die noch nicht bekannt ist, um Root-Rechte auf wenigstens vier Rechnern zu erlangen und das Rootkit »suckit« zu installieren.
Dies wurde in kürzester Zeit bemerkt, da der Cracker nicht alle Spuren verwischt hatte. Daraufhin wurden die Rechner vom Netz genommen und Images aller Partitionen erstellt. Diese Images werden nun untersucht, um das genaue Vorgehen des Angreifers herauszufinden.
Die Systemverwalter von Debian begannen gleich danach mit der Säuberung. Einer der Rechner wurde lediglich mit vertrauenswürdigen Mirror-Servern abgeglichen. Die anderen wurden neu installiert. Die Dienste, die auf ihnen laufen, werden nun nach und nach wieder hergestellt.
Auch die anderen Debian-Maschinen wurden überprüft, doch wurden auf ihnen keine Auffälligkeiten entdeckt.
Die interessante Frage, wie dies passieren konnte, kann noch nicht vollständig beantwortet werden. Es waren auch Administrationsfehler im Spiel. So waren die Rechner weitgehend mit aktuellen Kerneln und Sicherheits-Updates versehen, doch auf einem fehlte ein PostgreSQL-Update. Auf dem Master-Rechner war außerdem eine alte Platte mit alten, ungepatchten suid-Programmen gemountet. Doch scheint dies nicht der Ansatzpunkt des Crackers gewesen zu sein. Es scheint sich eher um eine Sicherheitslücke zu handeln, die noch nicht publiziert ist. Die Analyse der gesicherten Partitions-Images wird dies hoffentlich ans Licht bringen. (Dank an Brian Miculcy.)
