具體攻擊過程分析
格林威治時間禮拜四,11月19日下午5時左右,入侵者使用乙個竊取到的密碼登陸到klecker伺服器(.debian.org)所在的開發 人員帳號上 (普通許可權帳號),接著通過http取回乙個本地核心木馬程式並使用該程式獲得root許可權,然後安裝了root -kit程式。入侵者然後使用同一帳號和密碼進入master伺服器並用同樣手段獲得root許可權並安裝了suckit root-kit。入侵者又使用同一帳號和密碼企圖進入murphy主機,操作失敗。murphy主機有帳號限制,只執行列表伺服器並且只有少數開發人員 才能登陸。此法無效,該攻擊者使用在master系統的root許可權訪問了管理帳號,該管理帳號用作檔案備份和訪問murphy主機。入侵者得逞,也在 murphy主機安裝了root-kit.
次日,攻擊者使用從master伺服器上竊取的帳號密碼登陸gluck伺服器,獲得root許可權後再次安裝了木馬程式suckit root-kit。
/sbin/init 被覆蓋的確切日期和時間和root-kit被安裝的確切時間均通過分析一一得知。分析人員同時也發現一可執行檔案,該檔案用來獲取伺服器root訪問權.安全專家則發現,該木馬程式利用了linux核心的漏洞。
乙個brk系統呼叫的整數溢位被利用並覆蓋核心儲存器(改變page保護點),攻擊者由此獲得核心儲存器空間的控制權並可以改變儲存器中的引數數值。
儘管這一核心漏洞已於9月份被andrew morton發現並在10月以來發布的核心版本中進行了少量修復。但是由於安全意識的疏忽並沒有人意識到該漏洞的嚴重性。所以,沒有任何linux發行商 對此提出任何安全建議。導致黑客發現並利用該漏洞攻擊了debian伺服器。至此,通用缺陷和漏洞計畫指定該安全問題代號為can-2003-0961。
linux 2.2.x 沒有此缺陷,因為通道檢查已經在此之前進行。同時確信sparc和pa-risc核心均無該漏洞,(sparc和pa-risc核心儲存於其他位置)。
我們不能把該木馬程式給任何陌生人,請理解我們的作法並不要向我們詢問有關此木馬程式的事項。
修復由於安全預防原因,所有ldap的開發人員帳號被停用,重要主機的ssh key被卸除,以保證不會收到攻擊。這樣,公共debian運作包括上傳檔案和訪問cvs儲藏室都被停用。在quantz使用的所有密碼均被設定無效。所 有的ssh許可密匙也被卸除。新密碼可以在以下連線中獲取:https://alioth.debian.org/account/lostpw.php
當所有服務重新開放並保證伺服器足夠安全時,ldap會被重新設定,開發人員便可建立新密碼。由於受攻擊的伺服器ssh重新安裝。將有新的rsa主機密匙和密匙指紋識別器安裝於這些伺服器。
總結 自從受到攻擊的伺服器密碼遭到監聽,任何傳送帶有密碼的資訊連線都被認為受到威脅。另外,如果你使用相同的密碼和帳號登陸debian主機,我 們強烈建議你分別更換密碼和帳號。在伺服器進行引導和儲存的ssh key如果曾經用於訪問其他主機,該ssh key也必須被刪除。
伺服器調查情況
intel5500 最新nehalem架構的xeon處理器於2009年3月31日正式發布 新一代5500系列cpu於2009年5月8日到達深圳,對此,國內知名伺服器方案商 深圳市億時空科技,針對相應的配置進了測試,並推出了基於nehalem架構的1u伺服器,型號為億時空sx1252。產 品 名 稱 ...
管理伺服器和受管伺服器
1.首先根據主機的相同與不同,上面的ip位址一樣就可以啟動管理伺服器好之後啟動受管伺服器連線即使主機不同,但是ip相同會自動間隔10秒去連線。有個檔案代表設定10秒自動連線ip位址 2.如果不同主機不同ip,如果是在windows,先啟動管理伺服器再啟動受管伺服器 在windows上建立乙個base...
Debian搭建SVN伺服器
常用命令 問題合集 參考此文僅為我在debian上搭建我svn伺服器的一次記錄,其中涉及了實際搭建中遇到的問題,解決方式,並且感謝前人探路得以成功搭建了svn伺服器。此處更新軟體非必要操作 apt get update apt get upgrade apt get install subversi...