[Linuxtrent] Re: [despammed] [Martin Schulze <joey@infodrom.org>] Debian Investigation Report after Server Compromises
- From: Lele Gaifax <lele@xxxxxxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: 02 Dec 2003 23:30:40 +0100
>>>>> "Lo'oRiS" == Lo'oRiS il Kabukimono <kabukilano@xxxxxxxxxxxxx> writes:
Lo'oRiS> Lele Gaifax <lele@xxxxxxxxxxxxxxxxxxx> :
>> Subject: Debian Investigation Report after Server Compromises
Lo'oRiS> riassuntino? ^___^
Ok, ma tu spieghi quel [despammed] nel subject delle tue risposte! :-)
In sostanza, qualche intrusore, approfittando di un baco nella routine
brk() (quella che "alloca" blocchi di memoria) nei kernel >2.2,
<2.4.23 e <2.6.test6 e di almeno una password sniffata, è riuscito a
installare una serie di accrocchi su varie macchine Debian. Il piano è
apparentemente fallito perché non gli è riuscito di bucare una
macchina non-i386 (una Sparc). Sia RedHat che SuSE hanno partecipato
all'analisi forense delle macchine.
Accortisi del problema, grazie a una serie di allarmi lanciati da
AIDE, un sistema anti-intrusione, gli amministratori Debian hanno
prontamente staccato, analizzato e reinstallato le macchine
compromesse. Lo strascico più penoso è dovuto all'invalidamento in
massa di tutte le password, chiavi SSH e account LDAP, cosa che
sta di fatto determinando una interruzione dell'upload sia di nuovi
pacchetti che degli aggiornamenti, tranne che per la sezione
security.
ciao, lele.
--
nickname: Lele Gaifax | Quando vivrò di quello che ho pensato ieri
real: Emanuele Gaifas | comincerò ad aver paura di chi mi copia.
email: lele@xxxxxxxxxx | -- Fortunato Depero, 1929.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
- » [Linuxtrent] Re: [despammed] [Martin Schulze <joey@infodrom.org>] Debian Investigation Report after Server Compromises
