Details over inbraak Debian-servers

Op de Debian-mailinglists is een uitleg verschenen over de inbraak op de servers die enige tijd geleden bekend werd gemaakt. Het blijkt dat op 19 november met behulp van een onderschept wachtwoord toegang is verkregen tot een van de servers. Het account had geen uitgebreide rechten, maar op nog onbekende wijze is de indringer erin geslaagd om root-rechten te bemachtigen. Hij installeerde een rootkit en bemachtigde via de eerste server root-permissies op de master-server. Vanaf daar drong hij een derde server binnen en wist hij een wachtwoord te sniffen om ook op een vierde server in te kunnen loggen.

De inbraak werd de volgende dag ontdekt, toen twee van de servers kernelfoutmeldingen begonnen te geven: de gebruikte rootkit blijkt niet met alle kernelversies goed te werken. Toen de meldingen onderzocht werden, bleek /sbin/init vervangen te zijn - dit proces wordt op GNU/Linux als eerste gestart tijdens het booten en moest er in de gewijzigde versie voor zorgen dat de rootkit ook na een reboot geladen werd. Alle developeraccounts zijn direct geblokkeerd en zijn dat op dit moment nog steeds, omdat het nog onduidelijk is op welke manier de inbreker root kon worden vanaf het gewone gebruikersaccount dat hij bemachtigd had:

Unfortunately due to the fact there is (I believe) an unknown local root exploit in the wild, we can't yet unlock the Debian accounts. Obviously we can't continue without LDAP accounts for very long either. At the moment I'd ask for a little more patience both a) while the painful and painstaking task of restoring machines one by one is completed and b) while we try and exhaust all reasonable avenues of investigation to determine how the attacker went from unprivileged to root.

Obviously we're looking at hardening our boxes and tightening up our procedures to try and stop this from happening again. I'll send more details on that later.

Reacties (78)

The Third Man 30 november 2003 14:47

Het rootrechten krijgen is nog steeds een peulenschil helaas. Laatst nog getest bij mijn eigen server (2.60-test11 met Debian SID) en het werkt nog steeds. Ik zal niet uit de doeken doen hoe het werkt (heeft met een buffer overflow te maken), maar eenvoudig is het wel, soms zelfs sneller dan 'gewoon' SU gebruiken

Hodgesaargh @The Third Man • 30 november 2003 14:52

Misschien eens submitten naar debian ipv hier stoer gaan zitten doen?

The Third Man @Hodgesaargh • 2 december 2003 00:31

Wie zegt dat ik dat niet gedaan heb?

Verwijderd @The Third Man • 30 november 2003 16:59

Een van de kenmerken van Linux is dat het open source is en dat het gedrag door patches en configuratie verregaand is te beinvloeden.

Als jij kunt voorspellen wat de uitwerking is van een buffer overflow heb je dus domweg niet de moeite genomen een exploit via een buffer overflow te voorkomen. Hoe dat moet is al uitgewerkt in OpenBSD, maar soortgelijke patches zijn ook gewoon beschikbaar voor Linux. (http://www.grsecurity.org/features.php)

Een ander probleem is dat een dergelijk systeem invoeren voor een server van Debian is lastiger is dan het zelf implementeren. Alleen al omdat een bufferoverflow nog altijd een DOS kan veroorzaken.

En verschillende ontwikkelaars hebben nu eenmaal bepaalde rechten nodig.

The Third Man @Verwijderd • 2 december 2003 00:40

Helemaal juist, maar ik zeg ook niet dat ik als een verlamde achter mijn linux server zit. Ik bedoel met mijn melding aan te geven dat het verkrijgen van rootrechten helemaal niet zo moeilijk is of hoeft te zijn dan de meeste mensen denken.

Het hele geval bij Debian zelf is ook een direct gevolg van 'niet de moeite nemen om...' enz. Dus om nou als een agent mij te wijzen op mijn verplichting om mijn eigen beveiligingslekken te dichten kan wel moralistisch juist zijn, maar realistisch is het zeker niet.

Verwijderd @The Third Man • 30 november 2003 18:54

als het zo snel is, dan zal het toch echt niet lang duren om het uit te leggen neem ik aan, kan je dat even doen, zodat ik mijn debian bakkie daartegen kan beveiligen?

The Third Man @Verwijderd • 2 december 2003 00:33

Dat mag ik wettelijk gezien niet doen, net zoals ik niet mag vertellen hoe je bijvoorbeeld bij een bepaald bankfilliaal zou kunnen inbreken (niet dat ik dat weet, maar ik gebruik het als voorbeeld).

The Third Man @The Third Man • 5 december 2003 16:47

Ja maar jij bent in deze vergelijking niet de bank, maar een rekeninghouder aldaar. Ik heb wel de bank ingelicht, maar niet de rekeninghouders, want dan kunnen die zelf inbreken en hun eigen bank beroven...

MisterData @The Third Man • 2 december 2003 12:40

Nee? dus je mag de bank ook niet vertellen hoe ze dat probleem op kunnen lossen?

Raar.....

Verwijderd @The Third Man • 30 november 2003 15:49

submitten zou idd wel een goed idee zijn

sneller dan 'su' gebruiken en passwoord intypen? Wat is het dan, ctrl - scrollock 3 keer indrukken?

'su, password' zijn ~10 tekens en 2 enters. Wat voor'n minibuffer laat je dan vollopen?

YaPP @The Third Man • 1 december 2003 10:14

Het rootrechten krijgen is nog steeds een peulenschil helaas. Laatst nog getest bij mijn eigen server (2.60-test11 met Debian SID) en het werkt nog steeds.

Wat was jouw IP-adres ook alweer?

Jij draait nu een beta-test kernel; niet iets wat je op een server wilt. Lekker waar jij wat van weet, weten crackers waarschijnlijk al lang. Over 'su'; zorg ervoor dat alleen users uit de groep 'wheel' daar bij mogen

gentoo doet dit bijv.

* 786562 YaPP

The Third Man @YaPP • 2 december 2003 00:35

De exploit zit er al veel langer in, het feit dat ik aangeef dat ik 'al' 2.6 gebruik is om aan te geven dat ik zelfs met complete up-to-date kernels nog steeds ervan gebruik kan maken.

BTW: 2.6-test is een RC, geen bèta (dat zijn alle 'oneven' kernels, dus 2.5 enz.)

The Third Man @The Third Man • 5 december 2003 16:52

Een kernel kan ook een daemon beveiligen op sommige punten. Ik doe verder geen uitspraken of de verantwoordelijkheid bij de kernel ligt of ergens anders.

2.6-test is een RC van 2.5, niet een bèta, want 2.5 was al een bèta. Aangezien de ontwikkeling van 2.5 op een eind liep werd er 2.6-test van gemaakt (de eerste 2.6-test was ook gelijk aan de laatste 2.5), maar het feit dat 2.6-test wordt gebruikt geeft aan dat het bèta stadium gepasseerd is en de stabiele versie nabij is (het is dus een tussenversie).

YaPP @The Third Man • 2 december 2003 10:16

De exploit zit er al veel langer in, het feit dat ik aangeef dat ik 'al' 2.6 gebruik is om aan te geven dat ik zelfs met complete up-to-date kernels nog steeds ervan gebruik kan maken.

met andere woorden, of het heeft niets met je kernel te maken (omdat net een deamon betreft), of je hebt deze grove fout niet gemailt naar de linux kernel mailing list. ik vind dit niet echt inzichtvol. (sorry voor het botte taalgebruik, maar ik denk altijd maar: bot is een synoniem voor duidelijk

)

2.6-test kernels zijn wel degelijk beta's. 2.6-test is slechts een mooie naam de laatste 2.5 kernel. pas als er 2.6.0 gereleased wordt, zal Linus spreken over een stabiele versie.

(maar ik verwacht dat er daarna nog weer een hoop nieuwe features bij zullen komen, aangezien ik bijvoorbeeld nog steeds ruzie heb met mijn framebuffer e.d.; op dit moment wil Linus maar 1 ding: een uiterst stabiele basis om op verder te werken)

number3 @The Third Man • 30 november 2003 14:53

Tuurlijk heb je als echte tweaker dit gemeld aan de developers van Debian en Linux... Zodat in de volgende release deze buffer-overflow eruit is.

Toch?

The Third Man @number3 • 2 december 2003 00:31

Juist, jij begrijpt het

Verwijderd @The Third Man • 30 november 2003 15:28

of je zegt teveel of je zegt te weinig of je praat onzin/FUD

Rootkick was SuckIT, staat in de bron.

The Third Man @Verwijderd • 2 december 2003 00:37

Mijn melding is slechts om het begrip 'illegaal rootrechten verkrijgen' uit de categorie 'onmogelijk' of 'moeilijk' te halen en een realistisch beeld te geven van de beveiliging van de huidige (Debian) linux systemen.

Verwijderd 30 november 2003 14:41

Lijkt er dus op dat de inbraak ontdekt is dankzij een 'bug' in de rootkit. Zou wel eens willen weten hoe lang het anders ongemerkt had kunnen blijven zitten. Ze zouden er vast op een andere manier ook achter gekomen zijn, net zoals iemand die kort geleden probeerde gewijzigde code in de linux kernel te stoppen...

Overigens is het wel aardig te zien dat net zoals echte criminelen dat doen, ook 'virtuele' of 'cyber' criminelen toch steeds weer sporen achter laten.

blade181 @Verwijderd • 30 november 2003 14:53

Tja en en het leuke is dat je vaak dit soort berichten niet ziet en zeker niet bij debian. Die hebben vaak de boel goed voor elkaar. Dat dit gebeurde is gewoon puur toeval lijkt me. Dat iemand het account heeft onderschept kan zijn dat iemand via telnet inlogde. Tja en dan is de verbinding niet secure. Het lijkt me gewoon een dikke fout van een gebruiker.

Niet dat mijn server zo secure is maar naar 135 uptime heb ik nog nooit iets gemerkt wat leek op een beveiligingsfout!

Ik beweer helemaal niet dat mijn server secure is number3, je kunt een server helemaal niet secure maken. En ik zie het nut ook niet om mijn server op en top secure te maken want dan kan ik niet eens meer internetten. Dus de opmerking die jij maakt is veel gelul maar inhoudelijk zegt het helemaal niets! Mijn bericht was ook niet bedoelt om reclame te maken van oh debian is wel zo goed en kan nooit gekraakt worden. Het feit is wel dat debian de zaken goed voor elkaar heeft en dat dit gewoon een voorbeeld is van een misfortuin dat bijna geleid heeft tot een ernstig geval van cybercrime!

Ik denk dat alle mensen die debian gebruiken ermee eens zijn dat debian 1 van de beste Operating Systems is die als doel hebben je bedrijf te beveiligen.

number3 @blade181 • 30 november 2003 14:57

Het feit dat je server al zo lang up heeft staat mijn inziens in geen relatie met het feit dat je server ook secure is.

Een echt goede cybercrimineel laat natuurlijk een rootkit achter die geen sporen maakt, de processen zijn te zien en de logsregels die worden niet aangemaakt als de übercrimineel inlogt op je server.

Ik zou nog maar eens goed kijken voordat je zulke boute beweringen doet als mijn server is up en dus ben ik veilig...

Aaargh! @number3 • 30 november 2003 15:05

Een echt goede cybercrimineel laat natuurlijk een rootkit achter die geen sporen maakt

Helemaal geen sporen maken is natuurlijk niet mogelijk (want je moet altijd iets veranderen), en dan heeft Tripwire je zo te pakken.

mdvmine @blade181 • 30 november 2003 22:55

Ze draaien natuurlijk geen telnet servers. De rootkit injecteert code in de kernel om de niet-geencrypte wachtwoorden op te vangen. Moraal: niet vanuit een verdachte bak naar buiten ssh-en :-).

blade181 @mdvmine • 1 december 2003 00:35

Ja maar voordat je een rootkit kunt installeren moet je wel op de server in kunnen loggen duh.

YaPP @Verwijderd • 1 december 2003 10:11

Zou wel eens willen weten hoe lang het anders ongemerkt had kunnen blijven zitten.

je kan werkelijk alles verbergen. Je kan kernel modules maken die processen verbergen, de tools "ps", "ls", "netstat", e.d. vervangen door trojans die bepaalde dingen niet meer laten zien, de datums van de gewijzigde files aanpassen zodat je het verschil niet ziet, en de log files wijzigen.

kortom, als je geen MD5 checks op die /sbin files laat draaien, en log files niet op een externe server logd (bijvoorbeeld heel geniepig door de locatie van de syslog config-file aan te passen in de source) kan je er maanden lang niets van merken.

Het is dus erg belangrijk om voorzorgsmaatregelen te nemen.

Verwijderd 30 november 2003 14:40

Erg mysterieus allemaal, van unpriveledged naar root.
Ik draai stable op een server en SID op desktop, maar echt lekker voel ik me er toch niet bij op het moment.
Persoonlijk vind ik dat deze hele toestand toch niet echt spreekt voor Debian..

Ik draai al vrij lang linux, debian dan, en dit soort dingen zet me toch weer aan het twijfelen over de algehele veiligheid.

dion_b Moderator Harde Waren @Verwijderd • 30 november 2003 22:40

Echt lekker ga je je hier niet van voelen, maar het is eigenlijk maar een reality-check: Debian heeft een behoorlijk goede naam op gebied van veiligheid, maar geen enkel systeem is perfect (denk aan de lekken die af en toe zelfs in OpenBSD gevonden worden).

Het spreekt juist erg voor Debian dat ze dit met volle openheid berichten en niet gewoon proberen te doen alsof er geen probleem is (en zo risico lopen op herhaling).

Zoals gezegd, er bestaat geen perfect secuur systeem, maar het kaf wordt van de koren gescheiden bij wat er gebeurt bij calamiteiten. Ik kan hier weinig fouts aan ontdekken

Room42 @Verwijderd • 1 december 2003 01:23

Ik vind het echt heel zwaar overdreven om je bij een incident als dit meteen onzeker te voelen over Debian.
Ze hebben tenslotten nog steeds een erg goede naam op gebied van security. En wie zegt dat deze bug niet in alle Linuxes zit?
Ook vind ik dat er behalve Unix geen alternatief is. Ik bedoel, bij Microsoft gaat het steeds beter, maar ook daar worden nog steeds veel gaten gevonden.

Ik denk toch echt dat je met Debian nog steeds goed af bent! Heb vertrouwen... en een flinke dosis gezond verstand!

Veiligheid begint bij jezelf (en de users

)

YaPP @Verwijderd • 1 december 2003 10:05

Erg mysterieus allemaal, van unpriveledged naar root.

Dat is het werk van een exploit. Als je een programma kan kraken dat als root draait, bijvoorbeeld een BIND-server (DNS), kan je ook een nieuwe shell forken, die dus ook als root draait. Als je een shell hebt, heb je meer programma's waar je iets kwaadaardigs mee kan doen.

Ik draai stable op een server en SID op desktop, maar echt lekker voel ik me er toch niet bij op het moment.

Dat is een goede zaak.

misschien een goede reden om eens naar een tutorial te kijken.

* hoe je een server met minder permissies kan laten draaien
* of je sommige netwerk services ook kan uitzetten,
* sendmail kan vervangen door postfix, BIND heeft ook een alternatief
* kijk eens hoe je postifx/apache/pure-ftpd chroot
* je log files naar een andere server kan laten sturen
* MD5 checks op system files kan laten draaien.

en vooral, niet zomaar je vrienden shell toegang geven.als je een shell hebt kan je al meer uitvoeren, ook een exploit file uploaden en ter plekke compileren. noem het maar op.

overgens is het nog altijd fijner om te weten dat je rekening met security moet houden, dan dat je bijvoorbeeld ergens eigenlijk geen weet van hebt.

Verwijderd 30 november 2003 14:43

Ghehe dat is wel leuk ja

Dat ze het wachtwoord gekregen hebben hoeft niet de fout te zijn van Debian, maar het is wel fout dat ze root rechten konden krijgen.
En dat zie ik met Windows nog niet echt snel gebeuren.

Aaargh! @Verwijderd • 30 november 2003 15:07

En dat zie ik met Windows nog niet echt snel gebeuren.

Er zit een onoplosbare bug in win32 waardoor je vanuit een unpriviliged account naar administrator kan.

Het oplossen van de bug houdt in dat een heel groot deel v/d programma's op win32 niet meer werkt en DUS is het volgens MS geen bug.

LauPro @Aaargh! • 30 november 2003 15:30

Dit lijkt me een beetje broodje aap, waar is je bron?

Aaargh! @LauPro • 30 november 2003 15:48

Dit lijkt me een beetje broodje aap, waar is je bron?

Geen broodje aap:

http://security.tombom.co.uk/shatter.html

mjtdevries @LauPro • 1 december 2003 17:01

Heb je ook het antwoord van MS gelezen?
Iemand moet fysiek achter je computer zitten, of iemand moet eerst een ander programma van de attacker draaien voordat die vulnerability misbruikt kan worden.

Verwijderd @LauPro • 1 december 2003 18:19

think again:

Shatter attacks will allow those users to completely take over that server; localsystem privileges are higher than the Administrator, and on a shared server that's a problem. Oh, and it doesn't require console access either - I've successfully executed these attacks against a Terminal Server a hundred miles away.

en ook hoef je geen code van te voren te draaien:

Either way, Microsoft break their own rules; there's numerous windows on a standard desktop that run as localsystem. Use my shatter tool to verify this - there's a whole load of unnamed windows which might be running as Localsystem, and a few invisible windows (like the DDE server) that definitely are. Security boundary my arse.

SED @Aaargh! • 30 november 2003 22:31

het shatter verhaal.
werkt alleen met applicaties die zich niet goed gedragen. Weliswaar gebruiken/misbruiken ze windows code maar feitelijk gebruiken ze een feature ipv een bug.
Gebruikers die hun systeem openstellen voor slecht gedrag zullen altijd en overal een gevaar vormen.
Een linuxgebruiker kan via diverse gaten een heel eind komen als hij toegang heeft tot de console.
Ik heb een drietal maanden geleden al gewezen op hackgroepen die exploits wisten van nuxvarianten en nu zie je de resultaten.
Feit blijft de mentaliteit van de zogenaamde hackers, daar is geen kruid tegen gewassen.
Geef een kind een hamer en hij kan mooie dingen bouwen maar ook de ramen inslaan.
Hackers prefereren het laatste.

Aaargh! @SED • 1 december 2003 10:35

het shatter verhaal.
werkt alleen met applicaties die zich niet goed gedragen.

Dat blijkt dus niet zo te zijn, het is altijd mogelijk. Als je bij bovenstaande link (in m'n vorige post) kijkt, en dan op "more information" klikt staat daar ergens uitgelegd waarom je altijd deze truc kan uithalen.

Verwijderd @Verwijderd • 30 november 2003 14:47

Dat klopt, daar heet het dan Administrator

Ken jij mensen dan die (prive) NIET met Administrator-rechten werken ? Als je een Windows machine kraakt heb je automatisch al Admin rechten.

Verwijderd @Verwijderd • 30 november 2003 14:47

90% van de Windows gebruikers zijn root / administrator.
Laten we het maar niet over het gebrek aan veiligheid van Windows hebben.

Debian zal dit wel fixen, kunnen ze weer van leren.
Voor de gebruiker is er niks aan de hand.
Enige wat ik heb gemerkt is dat ik mijn packages niet kan updaten, maar dat komt later wel weer.

Verwijderd @eymey • 30 november 2003 16:17

* 786562 Scorpion3000
Het houdt ook nooit op he?

Hackers creeeren en repareren dingen..

Crackers breken in

Scriptkiddies zijn nog erger..

Dit is nog simpel gezegd, maar het is redelijk vervelend voor echt hackers om steeds verward te worden met crackers...

SED @Verwijderd • 30 november 2003 22:17

Gaan we weer op de stoere toer.
hackers zijn lief crackers zijn stout.

Stop toch eens met die mythevorming. Hackers zijn waardeloze figuren die hun tijd niet beter weten te besteden dan het aanvallen van door andere mensen bedachte zaken.
Gebrek aan inventiviteit en creativiteit is een van de oorzaken van dit afwijkende gedrag.
Dat er witte hoedjes en zwarte hoedjes in het spel zijn is leuk voor de sprookjesboeken maar uiteindelijk gaat het allemaal om de aandacht vestigen op zichzelf en laten zien hoe geweldig ze wel niet zijn ( inderdaad Niet zijn..)

Ieder OS raakt gecompromiteerd op deze wijze, microsoft of open source maakt dan weinig uit de schade aan het vertrouwen is groot. Men is ook niet uit op het repareren van de lekken maar op de groei van het eigen ego. Dat laatste ten koste van alles.

Dat anders terreurnetwerken de schade aanrichten is weer een leuk fabeltje. waarom zou je terreur afwachten als de schade reeds aangericht wordt door hackers?

Zoeken naar een gat is een hobby van gefrustreerde mensen. Laten ze dar maar snel mee stoppen en hun energie positief richten op opbouwende zaken.
Bedenk beijvoorbeeld zelf eens een os en zie hoe allerlei puberaal gestoorde en sociaal arme figuren zich daarop werpen.

Krankenstein @SED • 30 november 2003 23:50

Laten ze dar maar snel mee stoppen en hun energie positief richten op opbouwende zaken.

Aan wie d8 jij het te danken te hebben dat je kan internetten? Zonder hackers was er nu geen internet zoals dat er nu is (in positieve zin)

Lijkt erop dat hier toch wat verschillende definities van een "Hacker" rondzwerven.

Passenger @eymey • 30 november 2003 14:38

Hackers zijn gewoon

Ben ik niet met je eens. Ik hoor deze uitspraak wel vaker, en ik heb er dan ook altijd een vast antwoord op:

Stel dat deze exploit niet ontdekt was, en in een terreur netwerk terecht was gekomen. En dat vervolgens op duizenden servers root rechten verkregen zouden worden...

Ik moet er niet aan denken iig...

Brons @eymey • 30 november 2003 14:24

Of het is juist wel goed dat ze zo snel alles openbaar maken, een commerciele distro zou dat nooit zomaar aan iedereen laten weten.

Natuurlijk is het wel lame, maja zulke mensen blijf je houden.

eymey

@Brons • 30 november 2003 14:27

Dat is inderdaad wel weer een positief punt. Bovendien laten ze zo weten dat ze er bovenop zitten en ook echt er wat aan doen.

Bij die andere stilzwijgende distro's of zekere, ahum, os'en (zal ze niet bij name noemen) is het meestal een derde, misschien wel de lamer in kwestie, die met het nieuws naar buiten komt.

Verwijderd 30 november 2003 19:18

Dus nu moet iedere Debian gebruiker gaan bekijken of er een rootkit geinstalleerd is?

burne @Verwijderd • 30 november 2003 19:42

Als je nou eens begint met zowel de nieuwsposting als de mededeling op de mailinglist te lezen..

Volgens mij maakt dat je al een hoop duidelijk.

Verwijderd 30 november 2003 15:53

ja zelfs bij Debian gaat het dus een keer mis , jammer dat dit weer koren op de molen is voor sommige Microsoft systeem/netwerkbeheerders (je kent ze wel, net van school MCSE, muisgeneratie enzo)

linux als server is nog steeds "out of the box" veiliger dan een microsoft OS.

het moest gewoon gezegt worden DEBIAN schopt kont kwa security !

Marcel @Verwijderd • 30 november 2003 16:01

"Out of the box" veiliger?
Dan zou ik als ik jou was maar snel je inetd.conf checken om te zien welke services er op die manier draaien.
Draai zelf ook Debian, maar het is echt wel nodig om het een en ander aan services uit te zetten als je een "default" install doet. Wat config-files nalopen kan ook geen kwaad. Standaard werd ssh geloof ik nog steeds geinstalled met de optie
"PermitRootLogin" op yes

Of is dat inmiddels aangepast?

Verwijderd @Marcel • 30 november 2003 21:04

ssh is helemaal geen onderdeel van de default install, dus nogal onzinnig om daar over te beginnen. Dat permitrootlogin = yes geldt wanneer je ssh installeert is een discussie over geweest en is zinvol. Wel wordt er melding van gemaakt.

"out of the box" is debian dus inderdaad vele malen veiliger dan windows. Temeer daar een 'out of the box' debian installatie eentje is met de allernieuwste beveiligingsupdates. Dat heb je bij windows niet.

Ik verkies daarom debian nog steeds als eerste, nog boven openBSD, wanneer het gaat over veiligheid. Windows komt niet eens in me op. Er is geen besturingssysteem te vinden dat minder veilig is als die van de monopolist uit Redmond.

Movinghead 30 november 2003 14:38

Dus Debian heeft ook bugjes en niet alleen Windows

Brons @Movinghead • 30 november 2003 14:58

Als je het bericht had gelezen wist je dat iemand gewoon onzorgvuldig is geweest met z'n password, en je kan dan ook nog zo'n veilig OS maken, daar kan je niet veel tegen doen

Maar natuurlijk, debian heeft ook wel bugs.

LauPro @Brons • 30 november 2003 15:14

Erhm vertel mij maar is hoe het mogelijk is om als normale gebruiker 'root' te worden met zo'n 'rootkit', dat lijkt me niet helemaal veilig

LauPro @LauPro • 30 november 2003 15:32

Ik heb mijn vraag verkeerd geformuleerd: wat ik wil zeggen is dat het natuurlijk ronduit belachelijk is dat 'een rootkit' toegang kan verschaffen tot het root-account. Dat lijkt me serieus een beveiligingsprobleem.

silvershadow449 @LauPro • 30 november 2003 16:22

Ik geloof dat je het niet helemaal goed begrijpt. Een rootkit is geen tool om root te verkrijgen op een box.
De rootkit werd geinstalleerd, _nadat_ de gebruiker rootrechten had verkregen. Hoe de hacker root is geworden is vooralsnog onbekend. In elk geval niet door middel van een rootkit. Hoogstwaarschijnlijk door een nog onbekende exploit.

INendels @LauPro • 30 november 2003 15:23

doordat jij (en ik) dat niet weet blijkt het wel weer dat dat dus niet zo gemakkelijk is.
Zelfs bij Debian weten ze (nog) niet hoe dat mogenlijk was/is.

LauPro @LauPro • 1 december 2003 16:24

Met alle respect, maar dat staat er niet:

Hij installeerde een rootkit en bemachtigde via de eerste server root-permissies op de master-server.

35MHz OC @LauPro • 1 december 2003 23:30

Je interpreteert de zin verkeerd. Na het verkrijgen van rootrechten op de eerste server, installeerde de cracker hier een rootkit op. Daarna gebruikte de cracker zijn rootrechten om binnen te dringen in de Master server.

Een rootkit is een tool die je gebruikt om root te blijven op een computer, nadat je via escalatie van privileges rootrechten hebt verkregen. Zonder root te zijn kan je geen rootkit installeren.

Een rootkit is geen automagische tool om in servers in te kunnen breken. Ergens zit er dus een exploit die het mogelijk maakt om rootrechten te verkrijgen vanuit een gewoon account.

Verwijderd 30 november 2003 15:05

Weet iemand welke rootkit het was? Ik heb nl. enige tijd geleden hetzelfde gehad op mijn Slackware box, er was een root-kit geinstalleerd en daarna crashte mijn server regelmatig, daardoor ontdekte ik het...

Jordi @Verwijderd • 30 november 2003 15:27

Dat was suckit, zoals je ook in de bron had kunnen lezen

Verwijderd 1 december 2003 11:42

Zeer verhelderend om eens te kijken hoe er in deze thread gemod wordt....

Waar de Tweaker community bij MS security issues er vrolijk op lost mept, wordt hier iedere post die zelfs maar de schijn van enige kritiek heeft, onmiddellijk weggemod.

(Dit schrijven zal dus ook binnen no-time op -1 staan...

)

Verwijderd @Verwijderd • 1 december 2003 13:50

Indien er enig commentaar bestaat over moderaties, verwijs ik u graag door naar het FP-moderatieforum van tweakers.net:
http://gathering.tweakers.net/forum/list_topics/16
Op plek zullen meerdere mensen een zo objectieve moderatie van postings proberen te verzorgen, ongeacht Linux of MS.

Sinds kort bestaan er nieuwe hulpmiddelen om te zorgen dat de moderaties de grote meute mening kan ontsnappen, namelijk zogenaamde Powermoderaties:
http://gathering.tweakers.net/forum/list_messages/805948
Deze extra middelen zullen in geval van nood ontspoorde reacties op het niveau plaatsen waar deze thuishoren.

Reacties horen in principe thuis op het niveau die de inhoud, argumentatie en taalgebruik tentoonstellen, helaas is modereren mensenwerk en ontsnapt er soms een reactie.

Op dit item kan niet meer gereageerd worden.

Details over inbraak Debian-servers

Lees meer

Reacties (78)

Sorteer op:

Weergave: