id: Гость   вход   регистрация
текущее время 14:08 20/04/2024
Владелец: SATtva (создано 01/09/2011 12:54), редакция от 01/09/2011 12:54 (автор: SATtva) Печать
Категории: софт, инфобезопасность, исходные тексты, свободный софт, операционные системы
https://www.pgpru.com/Новости/2011/ЛинуксовыйРепозиторийKernelorgБылЗарутован17Дней
создать
просмотр
редакции
ссылки

01.09 // Линуксовый репозиторий Kernel.org был зарутован 17 дней


Linux Kernel Organization подтвердила, что ряд серверов, отвечающих за хранение и распространение Linux, был заражен софтом, занимающимся предоставлением root-доступа, модификацией системного ПО, протоколированием паролей и действий пользователей (затронуто было 448 пользователей kernel.org).


Атака случилась не позднее 12 августа и не была обнаружена в течение последующих 17 дней (!!!). Троян был обнаружен на машине одного разработчика ядра H Peter Anvin, далее на серверах kernel.org Hera и Odin1. Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.


Способ атаки пока неизвестен, предположительно использовался руткит Phalanx.


Пострадавшие верят (ну да, что им еще остается), что сам репозитарий и хранящийся в нем код не был затронут. Проверка, разумеется, сейчас проводится.


Источник: http://bugtraq.ru/rsn/archive/2011/09/02.html, http://www.theregister.co.uk/2.....rnel_security_breach


 
Комментарии [скрыть комментарии/форму]
— SATtva (01/09/2011 13:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Похоже, ещё одна тенденция.
— Гость (01/09/2011 13:35)   <#>
Ребята, а какая система на kernel.org стоит? Какой дистрибутив Линукса?
— unknown (01/09/2011 17:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну это не потверждённые слухи о тёмном прошлом OpenBSD, а реальный взлом. Так что сложно сказать, какая тенденция хуже.
— Гость (01/09/2011 17:35)   <#>
Я прям шкурой эти дни чувствовал, что не надо ставить Linux в dom0. Решил поставить в domU. И вот, не зря, как оказалось.
— Гость (02/09/2011 15:38)   <#>
[offtop]
unknown, у вас в постах очень часто используется эта специальная деанонимизирующая языковая конструкция. Вместо
Ну это не потверждённые слухи о тёмном прошлом OpenBSD, а реальный взлом.
Должно быть
Ну это не ничем непотверждённые* слухи о тёмном прошлом OpenBSD, а реальный взлом.
или
Ну это не непотверждённые* слухи о тёмном прошлом OpenBSD, а реальный взлом.
Т.е. конструкция "не A, а/но B", где A — "неподвтерждённые слухи". Более складно писать без двойного отрицания, наподобие такого:
В отличие от неподтверждённых слухов о тёмном прошлом OpenBSD, это — реальный взлом.
*Упрощённый смысл правила сводится к тому, что "не" с прилагательными пишется всегда слитно кроме случаев противопоставления (потому первое "не" написано выше раздельно) и некоторых способов подчёркивания отрицания.
[/offtop]
— unknown (02/09/2011 16:38, исправлен 02/09/2011 16:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

[offtop]
Это попытка компактно представить часто не в меру длинные посты (возможно также неуклюже как и со скобками). Не у всех краткость — талант. А анонимность в стиле текста мне и подавно не светит. Хотя грамотность повышать никогда не поздно.
[/offtop]

— Гость (02/09/2011 17:20)   <#>

— sentaus (11/09/2011 20:27, исправлен 11/09/2011 20:33)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32

Кто-то потребовал продолжения банкета.


Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011. The Linux Foundation made this decision in the interest of extreme caution and security best practices. We believe this breach was connected to the intrusion on kernel.org.

We are in the process of restoring services in a secure manner as quickly as possible. As with any intrusion and as a matter of caution, you should consider the passwords and SSH keys that you have used on these sites compromised. If you have reused these passwords on other sites, please change them immediately. We are currently auditing all systems and will update this statement when we have more information.


We apologize for the inconvenience. We are taking this matter seriously and appreciate your patience. The Linux Foundation infrastructure houses a variety of services and programs including Linux.com, Open Printing, Linux Mark, Linux Foundation events and others, but does not include the Linux kernel or its code repositories.


Please contact us at info@linuxfoundation.org with questions about this matter.


The Linux Foundation

http://linux.com/
http://www.linuxfoundation.org/


Хм. И kernel.org сейчас опять не работает – похоже, что апач нджинксом закрывают.

— sentaus (11/09/2011 20:40)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Кстати, в обоих случаях apache заменили на nginx. Возможно, что у админов обоих сайтов есть подозрение или даже уверенность о какой-то 0-day уязвимости в apache.

http://toolbar.netcraft.com/site_report?url=kernel.org
http://toolbar.netcraft.com/site_report?url=linux.com
— Гость (11/09/2011 23:03)   <#>
Мне сегодня снилось что мой комп порутили через апач. Там еще в заголовках запроса было Content-Length: %AA%BB%CC%01%02 и.т.д. Чует сердце – это не спроста.
— sentaus (12/09/2011 12:15)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Ну порутить только через апач вряд ли возможно, его обычно не от рута запускают. Если только в федоре не намудрили :)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3