Linux заражен?

firespace · №1

Серверы с кодом ядра Linux подцепили заразу
Некоторые из серверов, где хранятся исходные коды ядра Linux, были скомпрометированы и заражены трояном, сообщается на сайте kernel.org. Как именно злоумышленник получил root-доступ, пока неясно.
По предварительным данным, проникновение на сервер с говорящим именем Hera, а также на ряд других серверов, имело место 12 августа. Сам факт взлома был выявлен с "поразительной" оперативностью - аж 28 августа. Предположительно, злоумышленнику удалось раздобыть логин и пароль одного из пользователей, после чего он каким-то образом получил и root-доступ. Какая уязвимость при этом была использована, пока неясно.
Так или иначе, злоумышленник получил полный доступ к серверу и модифицировал исполняемые файлы, имеющие отношение к ssh (openssh, openssh-server and openssh-clients). Также в скрипты, исполняемые при загрузке машины, была добавлена команда запуска трояна. Сохраненные вредоносной программой записи обо всех действиях пользователей, очевидно, попали в руки злоумышленников.
В настоящее время идет работа по замене пользовательских паролей и SSH-ключей. Зараженные серверы отключены от Сети - после сохранения резервных копий данных на каждом будет переустановлена система.
Как признают в Linux Kernel Organization, сложившаяся ситуация крайне серьезна, а потому все силы сейчас направлены на расследование взлома и предотвращение подобных ситуаций в будущем. Организация также уведомила о случившемся правоохранительные органы США и Европы.
Тем не менее, подчеркивается, что ничего особо страшного не случилось. Во всяком случае, на рядовых пользователей Linux инцидент не повлияет - как мог бы повлиять на них, к примеру, взлом репозитория Ubuntu или другой популярной системы. Дело в том, что код ядра Linux хранится в GIT-репозитории, который устроен таким образом, что даже имея root-доступ к серверу, нельзя подменить файлы с исходным кодом и остаться при этом незамеченным.
http://webplanet.ru/news/security/2011/09/01/hera.html

Отредактировано Stepovanyi (04-09-2011 14:06:37)

Rosenfeld · №2

Ваня-Ваня... Все беды - от неграмотности Нужно просто лучше учиться в школе и не прогуливать занятия.

"Заражен" не "Линукс", а основной сервер, на котором хранятся исходные коды ядра Линукса. Этот сервер имеет множественные зеркала, то есть свои полные (постоянно синхронизируемые) копии, раскиданные по всему миру и хранящие аналогичные данные. И изменение именно содержимого в исходных кодах не прошло бы незамеченным при очередной синхронизации с этими тысячами зеркал.

Кроме того, от каждого(!) из пакетов с исходными кодами (если я не ошибаюсь, их over 40 000), которые там хранятся в GIT - распределённой(!) системе управления версиями файлов - вычислена однонаправленная функция: т.н. хэш SHA-1. А это говорит о том, что изменение злоумышленниками хотя бы одного байта в любом из файлов с исходными кодами (например, замена хотя бы одного из символов или просто вставка пробела) привела бы к изменению и его хэш-суммы. Что сразу было бы автоматически замечено.

На обычных пользователях это тоже никак не может сказаться. В Линуксе пакеты с готовыми (собранными) обновлениями (как для самой ОС, так и для всего установленного ПО), равно как и пакеты с исходными кодами "приходят" на машины конечных пользователей не абы как, а автоматически закачиваются из системы специальных хранилищ-репозиториев (также с множественными зеркалами), причем КАЖДЫЙ закачиваемый пакет имеет свою цифровую подпись, которая в момент закачки автоматически сверяется с хранящимися на компьютере публичными ключами разработчиков. Здесь тоже действует такая система, что измени злоумышленник любой пакет (файл) хотя бы на один символ - цифровая подпись окажется недействительной и пользователь будет автоматически об этом проинформирован. Это же не винда...

Так что Вань - не надо молоть языком попусту о том, что не знаешь, а тем более - вешать такие желтые заголовки - ... то ли от незнания, то ли от дури, то ли от скуки.

Добавлено Сегодня 12:06:16
Поэтому скорее всего сегодня сервер kernel.org не доступен.
Отредактировано Stepovanyi (Сегодня 12:06:16)

Я бы сказал более: просто охренительно(!) недоступен:

скрытый текст

Кстати, я обратил сейчас внимание, что даже в цитируемом выше тексте специально для идиотов было отмечены действия злоумышленника:

модифицировал исполняемые файлы, имеющие отношение к ssh

Ну и причем тут "Линукс заражен"? ... Опять трава на дискотеке?

Отредактировано Rosenfeld (04-09-2011 13:45:27)

firespace · №3

Rosenfeld пишет

Ваня-Ваня... Все беды - от неграмотности Нужно просто лучше учиться в школе и не прогуливать занятия.

Я больше не учусь в школе. Я в колледже :angry:

Rosenfeld пишет

"Заражен" не "Линукс", а домашний сервер, на котором хранятся исходные коды ядра Линукса.

Это такой заголовок, чтобы не скучно было.

Rosenfeld пишет

Так что Вань - не надо молоть языком попусту о том, что не знаешь, а тем более - вешать такие желтые заголовки - ... то ли от незнания, то ли от дури, то ли от скуки.

А вы бы тоже следили за своим ~~троллингом~~ мировозрением

Rosenfeld · №4

Это такой заголовок, чтобы не скучно было.

Вопрос к присутствующим: если я сейчас открою новую тему со следующим (бездоказательным!) заголовком: "Ваня провел вчера весь вечер в компании удалено", а потом, когда у меня потребуют доказательств, скромно скажу: "... да это типа я написал... ну... чтобы не скучно было" - обидится ли наш Ваня на меня или нет?

firespace · №5

Ну ты и тролль... :lol:

Rosenfeld · №6

Ясно - он уже обиделся. Вот вам и отличный пример.

Поэтому даю установку на будущую взрослую жизнь: до(!) того, как что-то молоть языком или излагать в письменном виде (хоть в сочинении, написанном в колледже, хоть в журнальной или газетной статье, хоть в сообщении на форуме, тем более - на форуме техническом) необходимо:

1. Понимать, о чем говоришь / пишешь (т.е. хорошо разбираться в предмете сообщения).
2. Никогда не приукрашивать факты "чтобы было интересно и не скучно".
3. Отказаться от лжи.
4. Никогда не сообщать непроверенную информацию.

Потому что жизнь... она такая сложная и нехорошая штука, что за любое безответственное "бла-бла" иногда приходится и отвечать, причем очень серьезно и с болезненными последствиями.

Я понятно и доступно выражаю свои мысли?

mserv · №7

Stepovanyi пишет

Ну ты и тролль...

Вы не обижайтесь, на старого больного человека. Просто научитесь читать его посты правильно и тогда вы начнёте понимать дедушкины фантазии.

Rosenfeld пишет

провел вчера весь вечер в компании двух здоровенных негров-геев", а потом, когда у меня потребуют доказательств, скромно скажу: "... да это типа я

Rosenfeld · №8

Ура! Сработало! Узнал голос дрессировщика!

А мы-то вчера беспокоились: в какую норку он забился: http://forum.mozilla-russia.org/viewtop … 19#p515919

=Agasfer=

Rosenfeld пишет:
Это Вы ему уже скомандовали? Ждем реакции?
Интересно, дойдёт сразу или как до жирафа?

Но кстати, Вы были правы: доходило до него ме-е-едленно Так что, Агасфер, бегите немедленно за веслом!

P.S. Я чувствую, надо использовать вот такую методику дрессировки: ему кусочки еды в одних темах незаметно подкидывать - чтобы сам учился находить и реагировать, в других же - открыто кормить с руки. Тогда он и не будет прятаться на такой долгий период, а радостно подбегать сразу...

Отредактировано Rosenfeld (04-09-2011 13:23:14)

=Agasfer= · №9

Начнём ч того, что это уже не новость. Оригинальное сообщение датировано 28.08.2011. Далее,

проникновение было совершено через утечку параметров одного из аккаунтов.

Данное предположение подтверждает обнаружение троянского ПО на машине одного из разработчиков ядра, который имел доступ к двум взломанным серверам (Hera и Odin1).

Использование атакующими типового руткита Phalanx и нескрытого SSH-бэкдора, которые администраторы легко смогли вычислить, даёт основание предполагать, что взлом был совершен спонтанно и не является целенаправленной атакой, преследующей цель внедрения троянских вставок в код ядра.

После выявления взлома серверы были отключены от сети и инициирована их полная переустановка.

Несмотря на проникновение и получение полного контроля над серверами, разработчики ядра уверены, что атакующие не могли внести скрытые изменения в код ядра, так как целостность Git-репозиториев и архивов с кодом обеспечивается надежными хэшами SHA-1. Кроме того, было инициировано несколько проверок целостности кода с задействованием других, параллельно созданных, хэшей, а также проведение детального аудита всех последних изменений в коде. Система управления исходными текстами Git имеет встроенные криптографические средства защиты, позволяющие гарантировать неизменность уже внесенных изменений, т.е. код нельзя исправить задним числом. Кроме того, Git является распределенной системой и копии репозиториев разбросаны по всему миру на нескольких тысячах машин разработчиков и пользователей. Внесение дополнительных коммитов в репозитории сразу бы оказалось на виду при очередной синхронизации внешнего репозитория с репозиторием на Kernel.org (все новые коммиты отображаются).

Нужны ли дальнейшие комментарии? Имхо, нет. Соответствует ли название топика реальному положению вещей? Тоже нет. webplanet.ru увлекается жёлтыми статьями? ДА!
Никогда не доверял данному источнику, а после данной заметки он, по уровню достоверности информации, занимает одну ступеньку с удафф.ком и прочими подобными ресурсами.
И, кстати, ни о какой недоступности серверов kernel.org речи не идёт. В связи с тем, что сам я использую тестовую версию ядра ( 3.1.0rc4 на данный момент), то ежедневно проверяю наличие обновлений и захожу на kernel.org посмотреть, что нового. Сервер доступен на данный момент и был доступен ежедневно как до, так и после инцедента.

foozzi · №10

Разработчики официально заявили, что у хакеров не хватило ума получить хеши SHA-1 которые тем более не хватило бы им ума расшифровать...
Так что svn репозитории остались не тронутыми

ckovopoda · №11

Новость не новая, тут по понятным причинам была пропущена. Забавные комментарии на http://stoplinux.org.ru/linux/kernelorg-hacked.html :lol:

Rosenfeld · №12

Забавен и сам сайт - своим названием, критической массой скопившейся школоты и тому подобных криворуких "кулхацкеров", у которых в жизни что-то "не сложилось" с Линуксом, "компетентными" комментариями и еще вот этим (оценкой на безопасность, выдаваемой системой Web of Trust: уровень вредоносности / опасности для пользователей - наивысший, т.е. красный):

скрытый текст

Отредактировано Rosenfeld (04-09-2011 16:13:38)

ckovopoda · №13

Norton Safe Web не обнаружил угроз на этом сайте.

скрытый текст

Dr.Web - вирусов не обнаружено.

скрытый текст

Просто ваш Web of Trust заражен баттхертом линуксоидов. Как и сам линукс :lol:

Rosenfeld · №14

=Agasfer=, а этого клиента будем кормить, как и предыдущего?

Берем его в наш проект? http://forum.mozilla-russia.org/viewtop … 88#p515888

ckovopoda · №15

Розен уже слился. Эх молодежь, даже скучно с вами такими

Rosenfeld · №16

Сегодня 16:29:41 а этого клиента будем кормить, как и предыдущего?

Сегодня 16:36:01 Розен уже слился. Эх молодежь, даже скучно с вами такими

Отличная дрессировка и хороший корм: всего через 7(!) минут, как как наш клиент послушался команды и поел прямо с руки...

Что, коллеги, продолжим дальше? (Агасфер - в руках с веслом, я - с открытой банкой сублимированного корма)... Ему нравится?

Ксс-ксс-ксс-ксссс... Иди сюда, мой хороший... покормим еще..

(засекаем время реакции на еду)

Tiger.711 · №17

Мявк? МурМясо?

Rosenfeld · №18

Тигра! Вам обещаю чистое мясо.

Но не разменивайтесь, пожалуйста, на сублимированный корм (кхм-кхм), который так любит поглощать наш клиент Он им живёт!

Tiger.711 · №19

Rosenfeld
Я бы очень не рекомендовал Вам кормить меня сухим кормом...
Только свежее и молодое МурМЯсо, и я, может быть, оставлю Вам одну целую руку (:
Я ведь очень ласковое и доброе котэ (;

okkamas_knife · №20

Вендузятники злорадствуют!
кстати а ведь много виндовских вирусов вполне работают и в линуксе, под вайном например!
Я кстати знаю один кросплатформенный вирус который может замочить любую систему от синклера до крэя
и число копий этого вируса уже более 6 миллиардов!

ckovopoda · №21

Ксс-ксс-ксс-ксссс... Иди сюда, мой хороший... покормим еще..

Мявк? МурМясо?

Как вы интересно общаетесь. Он одобряет. :puss:

скрытый текст

okkamas_knife
Вендузятники злорадствуют!

Зря злорадствуют. Не будет никаких троянов-вирусов под линукс еще сто лет.
С вечным 1% пользователей, никто просто не будет тратить свое время.

Отредактировано ckovopoda (04-09-2011 23:34:04)

Rosenfeld · №22

О! Опять ест с руки... Дрессировка работает... А если еще подкормить - отзовется:

"Корм(!) --- вкусный(!) --- на ско-во-по-де"... Иди, иди сюда...

ckovopoda · №23

Rosenfeld
Понятно, что ты просто хочешь зафлудить тему. Но от правды не скрыться - дыра твой линукс. Хотя и никому не нужная, что обидно вдвойне. Хулиганы запросто ломанули Линусика :lol:
Я сочувствую твоей анальной боли, просто приложи лед

Rosenfeld · №24

Отлично!

На щедрый корм наш клиент опять пришел.

Опытным путем выяснено: моя команда "к ноге" исполняется примерно за 5 минут.
Это свидетельствует о его исполнительности и покорности дрессировщику. И это радует!

То, что написано выше он (понятное дело) не читал, а если и читал - то и не понял: генофонд не тот, чтобы складывать знакомые русские буквы про непонятный уму ssh в непонятные слова - ведь в винде этого просто нет.

Общий вывод: клиент не виноват. Он же не отвечает за все предыдущие поколения.

Но давайте понаблюдаем: через сколько минут он отзовется опять? Через пять? Четыре? Три?

... "К ноге! (см. ниже)

Полезная информация

Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Re: Linux заражен?

Board footer