格林威治时间礼拜四,11月19日下午5时左右,入侵者使用一个窃取到的密码登陆到klecker服务器(.debian.org)所在的开发 人员帐号上 (普通权限帐号),接着通过HTTP取回一个本地内核木马程序并使用该程序获得root权限,然后安装了root -kit程序。入侵者然后使用同一帐号和密码进入master服务器并用同样手段获得root权限并安装了SuckIT root-kit。入侵者又使用同一帐号和密码企图进入murphy主机,操作失败。murphy主机有帐号限制,只运行列表服务器并且只有少数开发人员 才能登陆。此法无效,该攻击者使用在master系统的root权限访问了管理帐号,该管理帐号用作文件备份和访问murphy主机。入侵者得逞,也在 murphy主机安装了root-kit.
次日,攻击者使用从master服务器上窃取的帐号密码登陆gluck服务器,获得root权限后再次安装了木马程序SuckIT root-kit。
/sbin/init 被覆盖的确切日期和时间和root-kit被安装的确切时间均通过分析一一得知。分析人员同时也发现一可执行文件,该文件用来获取服务器root访问权.安全专家则发现,该木马程序利用了Linux内核的漏洞。
一个brk系统呼叫的整数溢出被利用并覆盖内核存储器(改变page保护点),攻击者由此获得内核存储器空间的控制权并可以改变存储器中的参数数值。
尽管这一内核漏洞已于9月份被Andrew Morton发现并在10月以来发布的内核版本中进行了少量修复。但是由于安全意识的疏忽并没有人意识到该漏洞的严重性。所以,没有任何Linux发行商 对此提出任何安全建议。导致黑客发现并利用该漏洞攻击了debian服务器。至此,通用缺陷和漏洞计划指定该安全问题代号为CAN-2003-0961。
Linux 2.2.x 没有此缺陷,因为通道检查已经在此之前进行。同时确信Sparc和PA-RISC内核均无该漏洞,(Sparc和PA-RISC内核存储于其他位置)。
我们不能把该木马程序给任何陌生人,请理解我们的作法并不要向我们询问有关此木马程序的事项。
修复
服务器关闭以后,我们建立了遭受攻击的服务器硬盘映像并转移到隔离的服务器。该映像同时分发给鉴定分析人员。之后,美国有三台服务器 (master, murphy,gluck)重新安装,经过相关服务的管理员调查之后一个接一个重新开放了帐号服务。klecker服务器因为维护计划将会延期开放,所以 安全文档的重新在线放置会比其他服务更早。目前我们也没有klecker控制台访问能力,所以修复工作不得不进行远程操作。在硬盘映像通过Serial Console登陆到有防火墙的本地网络服务器后,root-kit程序被删除,内核则被更换和加固。两次检查了二进制文件和安全文档,klecker服 务器将于未来几周内重新安装。
由于安全预防原因,所有LDAP的开发人员帐号被停用,重要主机的SSH Key被卸除,以保证不会收到攻击。这样,公共Debian运作包括上传文件和访问CVS储藏室都被停用。在quantz使用的所有密码均被设置无效。所 有的SSH许可密匙也被卸除。新密码可以在以下连接中获取:https://alioth.debian.org/account/lostpw.php
当所有服务重新开放并保证服务器足够安全时,LDAP会被重新设定,开发人员便可建立新密码。由于受攻击的服务器SSH重新安装。将有新的RSA主机密匙和密匙指纹识别器安装于这些服务器。
总结
自从受到攻击的服务器密码遭到监听,任何发送带有密码的信息连接都被认为受到威胁。另外,如果你使用相同的密码和帐号登陆Debian主机,我 们强烈建议你分别更换密码和帐号。在服务器进行引导和储存的SSH key如果曾经用于访问其他主机,该SSH key也必须被删除。
担心个人计算机有危险的开发人员可以通过运行chkrootkit进行检查。目前的版本可以在下列地址找到:
deb http://lackof.org/taggart/debian woody/chkrootkit main
deb-src http://lackof.org/taggart/debian woody/chkrootkit main