Wie hat das Fedora-Team den Einbruch überhaupt bemerkt? Da sitzt doch sicherlich nicht rund um die Uhr ein Admin dort und durchstöbert die Logfiles?! Und was für Möglichkeiten gibt es, einen Einbruch ins System festzustellen?
Vielleicht kann mich da der ein oder andere ein wenig aufklären :-)
Ergänzung: Damit dürften jedenfalls die Aänderungen an rpm und openssh-server aufgefallen sein.
Das Eindringen mit dem geklauten Schlüssel wird wohl nicht aufgefallen sein, sofern nicht auch ein Adressraum-Abgleich der Client-IP vorgenommen wird. Dann kann man aber oft nicht mehr von unterwegs zugreifen.
"[...] On August 12, 2008, a failed cron job on a Fedora host reported an error to the Fedora system administrators. While investigating the source of this error, the sysadmins reviewed the recent logs and discovered that the package complement on the host had changed. Further investigation showed that changes were the result of tampering by an intruder. Once the extent of the problem was discovered, we notified the community [...]"
Was wäre passiert wenn kein Cron job kaputt gegangen wäre? Alle Fedora und RHEL Maschinen könnten jetzt Bots sein .. schon gruselig. Schwein gehabt würde ich sagen.
Kein Passwort für private keys ist echt nur dämlich bei so kritischen Sachen.
Und etwas schneller hätte man das schon aufklären können.
Also ich persönlich vergebe auch keine Passphrase für den SSH-Key und ich habe auch kein Passwort für root gesetzt. Sicherheit spielt für mich keine Rolle. SCNR
So haben bis vor 5 Jahren auch noch (fast) alle deutschen Unis über ihre Netzwerke gedacht...
Bis dann der unglaublich hohe Traffic zum genauen Hinschauen gezwungen hat. Und siehe da, (fast) alle Systeme (Windows UND Unix) waren gehackt und in diversen Bot-Netzen (freiwilliges) Mitglied geworden
Danach hat man wenigstens eine Firewall installiert. Weitere Maßnahmen lassen jedoch immer noch auf sich warten...
In der FH Hof waren ein paar Schüler so dreist und haben ein IRC Bot selbst installiert und in entsprechende Channels gelinkt um Warez zu verteilen und zu bekommen, seitdem gibt es Quotas pro Student.
Aus einer guten Quelle hab ich gehört, das es zu mehr kam als man hier sagt. Es soll bereits kurz nach dem Einbruch bei Red Hat intern bekannt geworden sein, das einige Pakete durch kompromitierte Pakete auf den Servern gelandet sind. Das erklärt auch das plötzliche Abschalten der Server sowie das erneute Signieren und Bauen fast aller RPMs.
der Schwager eines Freundes dessen Onkel einen Bekannten bei Oracle hat (die ja Redhat kaufen) hat mir gesagt, dass Außerirdische den Einbruch verübt haben um die Weltherrschaft ansich zu reißen...
Inwieweit widerspricht das der Fedora-Meldung? "The modified packages were only installed on a small number of Fedora infrastructure systems, and therefore we do not believe Fedora account holders were at significant risk during the time the intruder had these packages in place. We also required passphrase and SSH key changes from Fedora users, to increase our confidence going forward."
Ein Admin-Zugang ohne Passwort? Und dann auch noch ein Zugang als Admin (root) von außen????
Sie die denn von allen guten und schlechten Geistern verlassen? Warum läßt sich beim SSH wohl der root-access abschalten?
Wenn ich das lese, dann frage ich mich, ob das schon alles war. Bei so viel Nachlässigkeit kann das System schon viel früher kompromittiert worden sein.
Ich lese das nicht als "root Zugang ohne Passwort" sondern als "SSH Key ohne Passwort für einen Useraccount". root zu bekommen ist oftmals nur noch fleisarbeit an einem SUID Programm/Script, genau das soll SELinux ja stoppen in Zukunft.
Ausserdem bezweifle ich das bei den Jungs noch mit root gearbeitet wird, immerhin gibt es sudo nun schon einige Jahre und mit sudo -s gibts auch eine root Shell.
Habe daher auch hie und da kritisch drüber geschrieben.
Nungut... Ende gut alles gut, könnte man sagen
Wie hat das Fedora-Team den Einbruch überhaupt bemerkt? Da sitzt doch sicherlich nicht rund um die Uhr ein Admin dort und durchstöbert die Logfiles?! Und was für Möglichkeiten gibt es, einen Einbruch ins System festzustellen?
Vielleicht kann mich da der ein oder andere ein wenig aufklären :-)
Grüße, Chris.
Das Eindringen mit dem geklauten Schlüssel wird wohl nicht aufgefallen sein, sofern nicht auch ein Adressraum-Abgleich der Client-IP vorgenommen wird. Dann kann man aber oft nicht mehr von unterwegs zugreifen.
Kein Passwort für private keys ist echt nur dämlich bei so kritischen Sachen.
Und etwas schneller hätte man das schon aufklären können.
Der Fußgänger war zu keinem Zeitpunkt gefährdet, da der Autofahrer ihn knapp verfehlt hat
Da kann das OS auch nix für xD
Hm... um 00:02 darf man Trolle füttern
Bis dann der unglaublich hohe Traffic zum genauen Hinschauen gezwungen hat. Und siehe da, (fast) alle Systeme (Windows UND Unix) waren gehackt und in diversen Bot-Netzen (freiwilliges) Mitglied geworden
Danach hat man wenigstens eine Firewall installiert. Weitere Maßnahmen lassen jedoch immer noch auf sich warten...
"The modified packages were only installed on a small number of Fedora
infrastructure systems, and therefore we do not believe Fedora account
holders were at significant risk during the time the intruder had
these packages in place. We also required passphrase and SSH key
changes from Fedora users, to increase our confidence going forward."
Und dann auch noch ein Zugang als Admin (root) von außen????
Sie die denn von allen guten und schlechten Geistern verlassen?
Warum läßt sich beim SSH wohl der root-access abschalten?
Wenn ich das lese, dann frage ich mich, ob das schon alles war. Bei so viel Nachlässigkeit kann das System schon viel früher kompromittiert worden sein.
root zu bekommen ist oftmals nur noch fleisarbeit an einem SUID Programm/Script, genau das soll SELinux ja stoppen in Zukunft.
Ausserdem bezweifle ich das bei den Jungs noch mit root gearbeitet wird, immerhin gibt es sudo nun schon einige Jahre und mit sudo -s gibts auch eine root Shell.