Tatort: Server

Fedora-Projekt gibt Details zum Servereinbruch bekannt

Fedora-Projekt gibt Details zum Servereinbruch bekannt

Marcel Hilzinger
31.03.2009 Im August 2008 bemerkte das Fedora-Team Unstimmigkeiten auf dem Server. Jetzt hat Paul W. Frields einen detaillierten Bericht zum Einbruch veröffentlicht.

Der Bericht von Frields auf der Fedora-Announce-Liste liest sich wie ein kleiner Krimi. Demnach bemerkte zunächst ein Systemadministrator, dass ein Cron-Job seine Arbeit nicht ordnungsgemäß verrichtet hatte. Als die Administratoren dem Problem auf den Grund gehen wollten, bemerkten Sie in den Logdateien, dass sich die Paketzusammenstellung auf dem Server verändert hatte. Da keiner der Admins davon wusste, kam man in Kürze drauf, dass ein Einbrecher die Änderungen vorgenommen hatte. Das Projekt informierte daraufhin die Community und nahm die Server kurzfristig vom Netz.

Nun ist auch klar, wie der Schelm in die Serverstruktur einbrechen konnte: Er benutzte dazu keine Hackertools, sondern meldete sich einfach über eine Kopie eines SSH-Schlüssels, der nicht per Passwort geschützt war, am Server an. Der Schlüssel gehörte einem Fedora-Adminstrator und laut Log-Einträgen hat der Einbrecher auch das Benutzerpasswort dieses Nutzers geknackt oder gekannt. Wie der Eindringling an den SSH-Schlüssel kam, bleibt allerdings offen.

Auf einem der kompromittierten Rechner lag auch der Paketsignierungsschlüssel des Fedora-Projekts. Der Einbrecher erstellte modifizierte Versionen der zwei Pakete openssh und rpm und versuchte über diese Pakete an Passwörter von Benutzern und an das Passwort für den Paketsignierungsschlüssel zu gelangen. Hätte dies geklappt, hätte der Einbrecher modifizierte Pakete in das Reposystem einschleusen können, laut Bericht kam er jedoch nicht dazu, da das Projekt die veränderten Pakete bemerkte, bevor jemand den Server zum Paketsignieren benutzte.

Um dennoch jegliches Risiko auszuschließen, hat sich das Fedora-Projekt dann entschlossen, einen neuen Paketsignierungsschlüssel zu erstellen. Zudem setzte das Projekt innerhalb einer Woche die kompette Server-Infrastruktur neu auf und ließ für alle Admins neue SSH-Schlüssel erstellen. Im Unterschied zu früher müssen diese mit einer Passphrase geschützt sein. Frields weist zudem darauf hin, dass sich im Hauptrepo oder auf Spiegelservern zu keiner Zeit komprommitierte Pakete befanden und bedankt sich beim Sicherheitsteam von Red Hat für die tatkräftige Unterstützung.

Chronik des Einbruchs:

2008-08-12 01:00:00 - Last packaging signing process from a Fedora admin.  Key would have been on host temporarily up until this time.
2008-08-12 07:49:05 - Standard Fedora 'pkgconfig' package installed by the intruder.  This package is required to build an 'openssh' package.  Intruder proceeds to build a  modified 'openssh' package.
2008-08-12 08:10:46 - modified 'openssh' package installed by intruder.
2008-08-12 17:46:50 - Standard Fedora 'gettext' package installed by intruder.  This package is required to build an 'rpm' package.
2008-08-12 20:18:36 - Standard Fedora 'mc' package installed by intruder, possibly for convenience of stealth.
2008-08-12 21:33:59 - Bacula backup started (scheduled job)
2008-08-12 22:01:54 - Bacula backup Ended
2008-08-12 22:31:51 - modified 'rpm' package installed (along with standard Fedora package dependencies for 'rpm').
2008-08-12 22:51:00 - Cron job failed, notified admins.
2008-08-12 22:53:00 - Fedora Infrastructure admins first noticed and started poking around at why RPM had changed.
2008-08-12 23:11:00 - Infrastructure team lead is notified and more prodding begins.
2008-08-12 23:38:00 - Infrastructure team members gather for discussions on dedicated, private IRC channel and conference call.
2008-08-13 01:50:00 - It becomes more clear that a script is not at fault.  LVM snapshot taken.
2008-08-13 04:00:14 - Bacula backup (during the intrusion) restored to secure location
2008-08-13 04:04:14 - Discovery of an RPM in /root/.ssh/ provides proof of malicious intent.
2008-08-13 04:05:00 - Red Hat security team notified.
2008-08-13 04:46:00 - Compromised host prohibited from routing out or in.  All machines on its network are preventing access from it. Outbound connections logged.
2008-08-13 05:16:00 - Fedora Project Leader notified.
2008-08-13 06:13:00 - Host state saved (Xen guest). We have a running copy of the host as it was without a reboot.
2008-08-13 06:14:00 - Users who have accessed the machine during the intrusion advised to change their passwords and SSH keys.
2008-08-13 10:13:00 - Work continues in concert with Red Hat security team members. Preliminary announcement prepared
2008-08-14 17:36:00 - All passwords and SSH keys disabled.
2008-08-14 23:15:13 - Preliminary announcement to fedora-announce-list, 1+19:11 after initial determination of malicious event.
2008-08-15 02:47:00 - All administrator access forced to shell access only for partial re-enabling of account system.
2008-08-15 12:00:00 - (approximate) Fedora's package build system, koji, patched to revoke all access.
2008-08-15 13:11:00 - Last package build routine allowed to complete before shutdown. Comprehensive verification of the build system database contents begins, comparing against known source for malicious content.
2008-08-16 15:30:03 - Update announcement to fedora-announce-list, 3+11:26 after initial determination of malicious event.
2008-08-17 22:34:00 - Members of sysadmin-web group allowed back on app servers.
2008-08-18 04:06:31 - Primary content verification of build system and CVS completed.
2008-08-18 18:06:00 - CVS admins allowed back on servers, and handle additional verification for hosted projects.
2008-08-19 02:07:45 - Update announcement to fedora-announce-list, 5+22:03 after initial determination of malicious event.
2008-08-19 02:37:00 - Hosted project verification completed, and Fedora Hosted back online.
2008-08-19 20:19:00 - Anonymous access via cvspserver allowed.
2008-08-20 02:53:00 - Writable access to cvs1 reactivated.
2008-08-20 18:35:00 - Koji build system officially open and building again.
2008-08-22 12:00:02 - Update announcement to fedora-announce-list, 9+07:56 after initial determination of malicious event.
2008-09-19 02:41:29 - Update announcement to fedora-announce-list, 37+22:37 after initial determination of malicious event. Investigation and issue resolution continues. 
2009-03-30 14:00:00 - Final report to fedora-announce-list, 229+9:56 after initial determination of malicious event.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...