linux 入侵

tycheng8772

www.linuxbyte.net Debian服务器遭受攻击调查报告 (全文)
Debianf服务器遭受攻击，Linux内核被安装木马使很多人怀疑Linux的安全性， 昨天Bill Gates在与Always On的访谈中也号称Windows更安全更便宜. 而国内某些网络媒体也趁此兴风作浪，大肆炒作. 为了让大家了解此事来龙去脉，Linuxbyte.net特别翻译 Debian服务器遭受攻击调查报告全文，以正视听. 让大家了解目前版本的Linux内核是安全的.
Debian服务器遭受攻击调查报告 (全文)
Debian管理工作组和安全专家已经找到黑客入侵Debian服务器并造成服务器瘫痪的原因. 但是入侵者身份仍未确定.
软件包档案没有被入侵者修改.Debian管理和安全工作组已经于调查早期和重新安装期间检查了这些软件包档案.这正是Debian计划得以重新开放的原因，并确认稳定升级版没有收到影响(3.0r2)
以下为受攻击服务器的系统记录，该记录时间均为格林威治时间.
Sep 28 01:33 Linus Torvalds 发布 带do_brk()修复的 Linux2.6.0-test6
Oct 02 05:18 Marcello Tosatti 运行 do_brk() 闸道检查
Nov 19 17:00 入侵者使用窃取的密码登陆klecker服务器
Nov 19 17:08 Root-kit 安装在klecker服务器上
Nov 19 17:20 入侵者使用同一密码登陆master服务器
Nov 19 17:47 Root-kit 安装在master服务器上
Nov 19 18:30 入侵者使用来自master服务器的服务帐号登陆murphy服务器
Nov 19 18:35 Root-kit 安装在murphy服务器上
Nov 19 19:25 murphy服务器上的Oopses开始运行
Nov 20 05:38 master服务器上的Oopses开始运行
Nov 20 20:00 在master和murphy服务器上发现Oopsee程序
Nov 20 20:54 Root-kit安装在gluck服务器上
Nov 20 22:00 确认debian.org服务器瘫痪
Nov 21 00:00 冻结所有帐号
Nov 21 00:34 关闭security.debian.org
Nov 21 04:00 关闭gluck服务器 (该服务器职责：www, cvs, people, ddtp)
Nov 21 08:30 定向www.debian.org 到 www.de.debian.org
/>; Nov 21 10:45 发布声明
Nov 21 16:47 开发人员信息更新
Nov 21 17:10 关闭murphy服务器 (该服务器职责：lists)
Nov 22 02:41 security.debian.org 重新开放
Nov 25 07:40 lists.debian.org 重新开放
Nov 28 22:39 Linux 2.4.23 发布
格林威治时间11月20日晚间，服务器管理工作组发现master服务器运行出错.该服务器已经长时间无故障运行并刚刚经过硬件检修.同时，murphy服务器运行出错，和master服务器错误完全相同. 此时，这些故障已经引起管理员怀疑.
klecker，murphy和gluck服务器均安装有“高级系统入侵查觉系统"以全天候监视文件系统的变更。此时，该系统发出警报报告/sbin/init 被替换。 /usr/lib/locale/en_US 的mtime和ctime参数也被改动.
进一步的调查显示，引起一系列服务器出错的程序名为SuckIT root-kit. 该程序用来监听密码并有避免系统查觉的能力.该程序被直接安装入Linux内核并引起服务器报告错误.
/具体攻击过程分析
格林威治时间礼拜四,11月19日下午5时左右，入侵者使用一个窃取到的密码登陆到klecker服务器(.debian.org)所在的开发人员帐号上 (普通权限帐号), 接着通过HTTP取回一个本地内核木马程序并使用该程序获得root权限， 然后安装了root -kit程序. 入侵者然后使用同一帐号和密码进入master服务器并用同样手段获得root权限并安装了SuckIT root-kit. 入侵者又使用同一帐号和密码企图进入murphy主机，操作失败。murphy主机有帐号限制,只运行列表服务器并且只有少数开发人员才能登陆. 此法无效，该攻击者使用在master系统的root权限访问了管理帐号，该管理帐号用作文件备份和访问murphy主机. 入侵者得逞, 也在murphy主机安装了root-kit.
次日，攻击者使用从master服务器上窃取的帐号密码登陆gluck服务器，获得root权限后再次安装了木马程序SuckIT root-kit.
/sbin/init 被覆盖的确切日期和时间和root-kit被安装的确切时间均通过分析一一得知。分析人员同时也发现一可执行文件，该文件用来获取服务器root访问权.安全专家则发现，该木马程序利用了Linux内核的漏洞。
一个brk系统呼叫的整数溢出被利用并覆盖内核存储器(改变page保护点),攻击者由此获得内核存储器空间的控制权并可以改变存储器中的参数数值。
尽管这一内核漏洞已于9月份被Andrew Morton发现并在10月以来发布的内核版本中进行了少量修复。但是由于安全意识的疏忽并没有人意识到该漏洞的严重性。所以，没有任何Linux发行商对此提出任何安全建议.导致黑客发现并利用该漏洞攻击了debian服务器.至此,通用缺陷和漏洞计划指定该安全问题代号为CAN-2003-0961.
Linux 2.2.x 没有此缺陷, 因为通道检查已经在此之前进行。同时确信Sparc和PA-RISC内核均无该漏洞,(Sparc和PA-RISC内核存储于其他位置)。
我们不能把该木马程序给任何陌生人，请理解我们的作法并不要向我们询问有关此木马程序的事项.
/修复
服务器关闭以后，我们建立了遭受攻击的服务器硬盘映像并转移到隔离的服务器.该映像同时分发给鉴定分析人员. 之后，美国有三台服务器(master, murphy,gluck)重新安装，经过相关服务的管理员调查之后一个接一个重新开放了帐号服务。klecker服务器因为维护计划将会延期开放，所以安全文档的重新在线放置会比其他服务更早.目前我们也没有klecker控制台访问能力,所以修复工作不得不进行远程操作. 在硬盘映像通过Serial Console登陆到有防火墙的本地网络服务器后，root-kit程序被删除. 内核则被更换和加固. 两次检查了二进制文件和安全文档.klecker服务器将于未来几周内重新安装.
由于安全预防原因，所有LDAP的开发人员帐号被停用, 重要主机的SSH Key被卸除,以保证不会收到攻击。这样，公共Debian运作包括上传文件和访问CVS储藏室都被停用.在quantz使用的所有密码均被设置无效. 所有的SSH许可密匙也被卸除.请点击以下连接获取新密码：https://alioth.debian.org/account/lostpw.php
当所有服务重新开放并保证服务器足够安全时，LDAP会被重新设定，开发人员便可建立新密码. 由于受攻击的服务器SSH重新安装. 将有新的RSA主机密匙和密匙指纹识别器安装于这些服务器.
/总结
自从受到攻击的服务器密码遭到监听，任何发送带有密码的信息连接都被认为受到威胁。另外，如果你使用相同的密码和帐号登陆Debian主机，我们强烈建议你分别更换密码和帐号。在服务器进行引导和储存的SSH key如果曾经用于访问其他主机，该SSH key也必须被删除。
担心个人计算机有危险的开发人员可以通过运行chkrootkit进行检查。 目前的版本可以在下列地址找到：
deb http://lackof.org/taggart/debian woody/chkrootkit main
deb-src http://lackof.org/taggart/debian woody/chkrootkit main
如果需要了解更多信息，请访问www.debian.org 或发email至press@debian.org
(The End)
发布人

racle 来自:英文版 www.debian.org 中文版 www.linuxbyte.net

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/82632/showart_1846305.html