Tatort: Server

Fedora-Projekt gibt Details zum Servereinbruch bekannt

Fedora-Projekt gibt Details zum Servereinbruch bekannt

Marcel Hilzinger
31.03.2009 Im August 2008 bemerkte das Fedora-Team Unstimmigkeiten auf dem Server. Jetzt hat Paul W. Frields einen detaillierten Bericht zum Einbruch veröffentlicht.

Der Bericht von Frields auf der Fedora-Announce-Liste liest sich wie ein kleiner Krimi. Demnach bemerkte zunächst ein Systemadministrator, dass ein Cron-Job seine Arbeit nicht ordnungsgemäß verrichtet hatte. Als die Administratoren dem Problem auf den Grund gehen wollten, bemerkten Sie in den Logdateien, dass sich die Paketzusammenstellung auf dem Server verändert hatte. Da keiner der Admins davon wusste, kam man in Kürze drauf, dass ein Einbrecher die Änderungen vorgenommen hatte. Das Projekt informierte daraufhin die Community und nahm die Server kurzfristig vom Netz.

Nun ist auch klar, wie der Schelm in die Serverstruktur einbrechen konnte: Er benutzte dazu keine Hackertools, sondern meldete sich einfach über eine Kopie eines SSH-Schlüssels, der nicht per Passwort geschützt war, am Server an. Der Schlüssel gehörte einem Fedora-Adminstrator und laut Log-Einträgen hat der Einbrecher auch das Benutzerpasswort dieses Nutzers geknackt oder gekannt. Wie der Eindringling an den SSH-Schlüssel kam, bleibt allerdings offen.

Auf einem der kompromittierten Rechner lag auch der Paketsignierungsschlüssel des Fedora-Projekts. Der Einbrecher erstellte modifizierte Versionen der zwei Pakete openssh und rpm und versuchte über diese Pakete an Passwörter von Benutzern und an das Passwort für den Paketsignierungsschlüssel zu gelangen. Hätte dies geklappt, hätte der Einbrecher modifizierte Pakete in das Reposystem einschleusen können, laut Bericht kam er jedoch nicht dazu, da das Projekt die veränderten Pakete bemerkte, bevor jemand den Server zum Paketsignieren benutzte.

Um dennoch jegliches Risiko auszuschließen, hat sich das Fedora-Projekt dann entschlossen, einen neuen Paketsignierungsschlüssel zu erstellen. Zudem setzte das Projekt innerhalb einer Woche die kompette Server-Infrastruktur neu auf und ließ für alle Admins neue SSH-Schlüssel erstellen. Im Unterschied zu früher müssen diese mit einer Passphrase geschützt sein. Frields weist zudem darauf hin, dass sich im Hauptrepo oder auf Spiegelservern zu keiner Zeit komprommitierte Pakete befanden und bedankt sich beim Sicherheitsteam von Red Hat für die tatkräftige Unterstützung.

Chronik des Einbruchs:

2008-08-12 01:00:00 - Last packaging signing process from a Fedora admin.  Key would have been on host temporarily up until this time.
2008-08-12 07:49:05 - Standard Fedora 'pkgconfig' package installed by the intruder.  This package is required to build an 'openssh' package.  Intruder proceeds to build a  modified 'openssh' package.
2008-08-12 08:10:46 - modified 'openssh' package installed by intruder.
2008-08-12 17:46:50 - Standard Fedora 'gettext' package installed by intruder.  This package is required to build an 'rpm' package.
2008-08-12 20:18:36 - Standard Fedora 'mc' package installed by intruder, possibly for convenience of stealth.
2008-08-12 21:33:59 - Bacula backup started (scheduled job)
2008-08-12 22:01:54 - Bacula backup Ended
2008-08-12 22:31:51 - modified 'rpm' package installed (along with standard Fedora package dependencies for 'rpm').
2008-08-12 22:51:00 - Cron job failed, notified admins.
2008-08-12 22:53:00 - Fedora Infrastructure admins first noticed and started poking around at why RPM had changed.
2008-08-12 23:11:00 - Infrastructure team lead is notified and more prodding begins.
2008-08-12 23:38:00 - Infrastructure team members gather for discussions on dedicated, private IRC channel and conference call.
2008-08-13 01:50:00 - It becomes more clear that a script is not at fault.  LVM snapshot taken.
2008-08-13 04:00:14 - Bacula backup (during the intrusion) restored to secure location
2008-08-13 04:04:14 - Discovery of an RPM in /root/.ssh/ provides proof of malicious intent.
2008-08-13 04:05:00 - Red Hat security team notified.
2008-08-13 04:46:00 - Compromised host prohibited from routing out or in.  All machines on its network are preventing access from it. Outbound connections logged.
2008-08-13 05:16:00 - Fedora Project Leader notified.
2008-08-13 06:13:00 - Host state saved (Xen guest). We have a running copy of the host as it was without a reboot.
2008-08-13 06:14:00 - Users who have accessed the machine during the intrusion advised to change their passwords and SSH keys.
2008-08-13 10:13:00 - Work continues in concert with Red Hat security team members. Preliminary announcement prepared
2008-08-14 17:36:00 - All passwords and SSH keys disabled.
2008-08-14 23:15:13 - Preliminary announcement to fedora-announce-list, 1+19:11 after initial determination of malicious event.
2008-08-15 02:47:00 - All administrator access forced to shell access only for partial re-enabling of account system.
2008-08-15 12:00:00 - (approximate) Fedora's package build system, koji, patched to revoke all access.
2008-08-15 13:11:00 - Last package build routine allowed to complete before shutdown. Comprehensive verification of the build system database contents begins, comparing against known source for malicious content.
2008-08-16 15:30:03 - Update announcement to fedora-announce-list, 3+11:26 after initial determination of malicious event.
2008-08-17 22:34:00 - Members of sysadmin-web group allowed back on app servers.
2008-08-18 04:06:31 - Primary content verification of build system and CVS completed.
2008-08-18 18:06:00 - CVS admins allowed back on servers, and handle additional verification for hosted projects.
2008-08-19 02:07:45 - Update announcement to fedora-announce-list, 5+22:03 after initial determination of malicious event.
2008-08-19 02:37:00 - Hosted project verification completed, and Fedora Hosted back online.
2008-08-19 20:19:00 - Anonymous access via cvspserver allowed.
2008-08-20 02:53:00 - Writable access to cvs1 reactivated.
2008-08-20 18:35:00 - Koji build system officially open and building again.
2008-08-22 12:00:02 - Update announcement to fedora-announce-list, 9+07:56 after initial determination of malicious event.
2008-09-19 02:41:29 - Update announcement to fedora-announce-list, 37+22:37 after initial determination of malicious event. Investigation and issue resolution continues. 
2009-03-30 14:00:00 - Final report to fedora-announce-list, 229+9:56 after initial determination of malicious event.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.