パスワードを忘れた? アカウント作成
Close
6963 story

Debianサーバへの不正侵入の詳細 27

ストーリー by Oliver
アーキテクチャの多様性 部門より

limbo曰く、"本家より。先日の4台のサーバで不正侵入の続報が発表された。どうやら攻撃者は盗聴した一般ユーザーのアカウントのパスワードを使い、そこからサーバに侵入してどうにかしてルート権限を奪ったらしいとのこと。FTPサーバのメインマシンはアルファで、そこには侵入はなかったことから、これはi386アーキテクチャのシステムにある未知のローカルな脆弱性が突かれたのではないかという疑いがある。現在までに全てのアカウントが乗っ取られた疑いがあることからいったんロックされ、パスワード再設定とSSH認証キーが取り除かれる処分が行われているが、未知の脆弱性に対してはまだ有効な対策がない。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Debianサーバへの不正侵入の詳細 More

  • 他のOSの影響は? (スコア:3, 興味深い)

    by jmk (11245) on 2003年11月29日 0時31分 (#443306)
    i386の未知の脆弱性ということですが、これは他のOS(*BSDとかWindowsとか)に影響を及ぼしうるものなのでしょうか? そうであれば非常に重要な問題だと思います。

    まあともかく、内部犯のようなしょうもない人災じゃないようなのは幸いですね。

    • Re:他のOSの影響は? (スコア:2, 興味深い)

      by deki (5563) on 2003年11月29日 19時34分 (#443796)
      Debianは殆ど全てGPLですよね…
      >他のOS(*BSDとかWindowsとか)に影響を及ぼしうるものなのでしょうか?そうであれば非常に重要な問題だと思います。
      「他のOS(*BSDとかWindowsとか)に影響を及ぼしうるもの」だとしたら別の意味でも非常に重要な問題ですよね。
      …OpenSSHに問題があるなら、及ぼしうるのでしょうか?Debianには詳しく無いからわからないです。
      i386特有だとするとカーネル関係でしょうか?もしそうならば、他のLinuxにも影響を及ぼしうるかと。

      全然詳しくなく、へたれた文章だけどID
      シェア
      親コメント

    • Re:他のOSの影響は? (スコア:0)

      by Anonymous Coward
      「未知の脆弱性」なのだから、それ以上なにがわかると?

      • Re:他のOSの影響は? (スコア:0)

        by Anonymous Coward
        それより「盗聴」って・・

        • Re:他のOSの影響は? (スコア:0)

          by Anonymous Coward
          ネットワーク上で盗まれたんではなくて、アクセス元のマシンにキーロガーを仕込まれた可能性もありますよね。
          # リンク先を読んでないんのでAC

          • Re:他のOSの影響は? (スコア:0)

            by Anonymous Coward
            同じくリンク先を読んでいないけど。

            Debianって鍵認証のsshでないとプロジェクトで運用しているサーバにログインできないと思っていたけど、違うの?

            • Re:他のOSの影響は? (スコア:3, 興味深い)

              by Anonymous Coward on 2003年11月29日 14時33分 (#443624)
              SSHってクライアント側にサーバーへのアクセス情報が残るから(known_hosts)、一旦クライアント側がクラックできて、クライアントの使っているパスワードが分かってしまうと、芋蔓式にサーバーまで侵略できてしまうんですよね。情報を残すという点では telnet 等より脆弱。
              シェア
              親コメント

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                ssh と比較すべきは rsh では?
                システムとしての考え方が異なる telnet と比較してもね。

                telnet の代替えとしてしか使っていないと、こういう意見になるのも
                仕方がないと言えるが。

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                 じゃあ、known_hostsにはホスト名のハッシュを記録するようにしようか。server keyもハッシュにしちゃったほうがいいかな?

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                過去の履歴として「どのサーバへアクセスした事があるか」を知る上でknown_hostsが情報を与えてしまう可能性があるというのは確かですが、.bash_historyとかにも残る訳で、それ程致命的な情報とは言えないと思いますが。
                そもそも、そのターゲット(被害者)が誰かという事がわかれば、その人がアクセスしそうなサーバなんてわかるし。

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                代替
                だいたい

                だよね。
                一体どういう変換すると「代替え」って入力できるのか
                俺も知りたいくらいだ。

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                元の人とは違いますが、「だいがえ」でしょうね。
                会社では普通に使われているようなので、自分で使うか どうかは別にして、そういう慣用?読みをする人がいるのも 知っておいて損はないと思いますよ。「だいがえひんをすぐによこせ」

                ちなみに、goo の国語辞書にも取り込まれて?います。

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward
                だって、rshは.rhosts書いたりする点でsshと似たり寄ったりだもん。

              • Re:他のOSの影響は? (スコア:0)

                by Anonymous Coward

                そもそも、そのターゲット(被害者)が誰かという事がわかれば、その人がアクセスしそうなサーバなんてわかるし。

                それは話の飛躍というものですが、しかし便利なUNIXツールはセ

    • Re:他のOSの影響は? (スコア:0)

      by Anonymous Coward
      i386における未知の脆弱性の可能性がないって言い切るわけでは
      ありませんけども、単に侵入者が準備した侵入ツールなどが
      i386環境用で、Alphaの環境を侵入者が持っていないから用意
      できなかっただけなのでは?

      そりゃ、既知の脆弱性をつかれるよりは、未知の脆弱性のほうが
      責任としては小さくなりますが。

  • screen? (スコア:3, 興味深い)

    by visha (779) on 2003年11月29日 0時41分 (#443310) 日記

    たまたま見つけた [ryukoku.ac.jp]んですが、これって関係ないかなぁ... Debianだとutmpにsetgidされていて、rootにsetuidされているわけじゃないんですが(pkgsrcだとrootにsetuidされてる)。

  • lindowsCD (スコア:1, フレームのもと)

    by winnie (17074) on 2003年11月29日 12時37分 (#443579)
    は、本件が将来Bug Fixされたとしても
    サクッとroot権限取られちゃう状態でUpdateされないままなんだよね・・・
    恐ろしい。

    • Re:lindowsCD (スコア:0)

      by Anonymous Coward
      そこらへんはKnoppixとかの焼付け系ディストリビューション全部に当てはまる事で。CDブートで書き換え不可能だから安心~とか日和ってるとroot取られて迷惑マシンに成り下がったりする。
      例えばApacheにlocal user権限奪取可能な脆弱性が見つかり、今回のLinux Kernelの脆弱性がそのまま残った状態だったとしたら。ぽん、ぽんでroot。

      CDディストリビューションを売る、な

  • 困ったものだ (スコア:0)

    by Anonymous Coward on 2003年11月29日 0時13分 (#443294)
    サーバがいまだに使えないのは痛いけど
    これを機会にセキュアなDebianになれば
    ユーザとしては喜ばしい限りです。

    Debianの中の人ガンガレーー!

  • kernel oops-ing ? (スコア:0)

    by Anonymous Coward on 2003年11月29日 10時26分 (#443537)
    今回の件がどのようにして検出されたのか、たれこみにあるリンク [debian.org]をみると、
    On November 20 it was noticed that master was kernel oops-ing lots.
    とあります。このoopsというのはなんなのでしょうか? Debianにもoopsというpackageがあるようなのですが、今はサーバが閉じていて確認できません。

    • Re:kernel oops-ing ? (スコア:3, 興味深い)

      by alp (1425) on 2003年11月29日 11時00分 (#443549) ホームページ 日記
      Panic より程度の軽い、回復可能なカーネルエラーを発見すると Oops というメッセージがコンソールとか syslog に吐かれます。例えば driver/char あたりで "Oops" で grep してみてください。もちろんここだけじゃないけど。oops パッケージは、そいつの解析支援ツール。

      ついでに、i386 の未知の脆弱性、は多分間違い。クラッカの手近に Alpha なマシンがなかったので、Exploit を作成できなかった可能性の方がはるかに高い。

      シェア
      親コメント

      • Re:kernel oops-ing ? (スコア:5, 参考になる)

        by alp (1425) on 2003年11月29日 12時04分 (#443570) ホームページ 日記
        ついでに補足しておくと、現在 supervisor にならずに突けてシステムを倒せるエラッタは、Intel と AMD では出ていないと思います。ないとは言いませんが。最近の C6 には 非公開の裏口があるようです (昨年の Microprocessor Forum で Chief Architect の Gren Henry さんが公言。私なら内容がはっきりするまで Internet Server には使いません)。むしろこの辺は RISC チップの方が怪しくて、例えば某チップでは、通常ユーザから某非公開命令を実行した場合ごにょごにょとか。
        シェア
        親コメント

    • Re:kernel oops-ing ? (スコア:0)

      by Anonymous Coward
      oopsは直訳すると「およよ」。
      パニックになるほどではないが、どうも正常でないときのエラー。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア