[debian-users:38899] Re: more details on the recent compromise of debian.org machines

[Tadashi Oh-Ya <toy@xxxxxxxxxxxxx>]

おおやと申します。

From: KISE Hiroshi <fuyuneko@xxxxxxxxxxxx>
Subject: [debian-users:38898] Re: more details on the recent compromise of debian.org machines
Date: Fri, 28 Nov 2003 11:00:09 +0900

> http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-200311/msg00012.html
> 
訳出をしてみましたが...
誤訳が大量にあると思いますので、訂正など指摘いただけますと
幸いです。
いろいろあって途中までしか訳せていません。まことに中途半端で
申しわけないです。

-----------------------------------------------------------------
Hi,
やあ、

*NB* bear in mind that:
*注意* 下記に留意のこと:

  a) the information on the break-in in comes from compromised machines
     and thus has to be taken with appropriate skepticism.
  a) 侵入についての情報は、compromised machinesから得られています。
     それゆえ、それらの情報は適切な懐疑を持って扱われるべきです。

  b) the investigation is still ongoing - as I was writing this draft
     further information came to light which may invalidate a lot of
     it.  [Or not - as it turns out].
  b) 調査はいまなお進行中です。こうして私がこのdraftを書いている最中にも
     このdraftの内容の多くを覆すかもしれない更なる情報が明るみに出てきて
     います。[あるいは覆さないかもしれません。それらが明るみに出ても。]

                              Detection
                              ---------
                              発見

On November 20 it was noticed that master was kernel oops-ing
lots. While investigating this it was discovered that murphy was
showing the exact same oops, which was an overly suspicious
coincidence.  Also klecker, murphy and gluck have aide installed to
monitor filesystem changes and at around the same time it started
warning that /sbin/init had been replaced and that the mtime and ctime
timestamps for /usr/lib/locale/en_US had changed.
11月20日に、masterがkernel oopsを大量に出力していることがわかりました。
masterの調査中にmurphyがまったく同じoopsを出力していることが発見され
ました。それは非常に疑わしい一致でした。
その上さらに、kleckerとmurphyとgluckには、ファイルシステムの変更を
監視するために aide(Advanced Intrusion DetectionEnvironment パッケージ
のことか？)をインストールしてあり、同じ時期からaideは /sbin/init が
置換されていることと、/usr/lib/locale/en_USのためのmtimeとctimeの
タイムスタンプが変更されていることについて警告を出していました。

Investigation revealed the cause for both these things to be the
suckit root kit (see the &quot;Suckit&quot; appendix for more info).
調査により、これらの現象は suckit root kit 原因であることが判明し
ました。(Suckitについての更なる情報はappendixを参照のこと)

                            What happened?
                            --------------
                            なにが起きたか？

On Wednesday 19th November (2003), at approximately 5pm GMT, a sniffed
password was used to access an (unprivileged) account on
klecker.debian.org.  Somehow they got root on klecker and installed
suckit.  The same account was then used to log into master and gain
root (and install suckit) there too.  They then tried to get to murphy
with the same account.  This failed because murphy is a restricted box
that only a small subset of developers can log into.  They then used
their root access on master to access to an administrative account
used for backup purposes and used that to gain access to Murphy.  They
got root on murphy and installed Suckit there too.  The next day they
used a password sniffed on master to login into gluck, got root there
and installed suckit.
2003年11月19日(水)、だいたいGMTで午後5時ごろ、盗聴されたパスワードが
klecker.debian.org 上の(非特権な)アカウントにアクセスするために使用され
ました。どうにかして侵入者はklecker上のroot権限を奪い、suckitをインス
トールしました。それから同じアカウントでmasterにログインして、同様に
rootを奪い、suckitをインストールしました。それから、侵入者はmurphyへの
アクセスを同じアカウントで得ようとしました。しかし、murphyは開発者全員
ではなく、少数がログインできるように制限されたマシンだったため、この
試みは失敗しました。そこで、侵入者はmaster上でのrootアクセスを使い、
バックアップのために使われる特権アカウントにアクセスし、murphyへのアク
セスを奪いました。そしてmurphy上でroot権限を奪い、suckitをインストール
しました。翌日になって侵入者はmaster上で盗聴したパスワードを使用して
gluckへログインし、rootを奪いsuckitをインストールしました。

See the &quot;Time-line&quot; appendix for more details on times.
時系列についての詳細は Time-line appendixを参照のこと。

                               Response
                               --------
                               対応

Gluck was powered down and an image has been made of it's disks for
forensic analysis.
gluckは電源を落とし、そのディスクはforensic解析をするためにイメージ
化されました。

Since we didn't have direct physical access to klecker it's Internet
connection was shut down and disk images were made via serial console
to a local machine on a firewalled net connection.
我々はkleckerへの直接の物理的アクセスを持っていなかったため、klecker
については、インターネットへの接続を切断し、ディスクイメージをファイ
アウォール内のネットワークにおいて、シリアル端末からローカルマシンに
作成しました。

master and murphy were kept running for a short while in order to make
an announcement of the compromise, after which they were also taken
off-line and imaged.
masterとmurphyは、compromiseのお知らせをするために、しばらく運用を継続
し、その後オフラインにしてディスクイメージを作成しました。

                               Cleanup
                               -------
                               後始末

After a thorough cleanup and reinstall of modified files the non-US and
security archives were verified by looking at mirror logs for changes and
comparing MD5 checksums of the files on Klecker and those on three
different trusted mirrors.
後始末をしてから変更されたファイルを再インストールした後で、non-USと
securityのアーカイブが確認されました。この作業は、kleckerと、信頼できる
三個所のミラーのログから変更点を探すことと、MD5チェックサムを比較するこ
とで行なわれました。

Gluck, Master and Murphy were wiped and reinstalled from CD.  data and
services are in the process of being restored.
gluckとmasterとmurphyは新規の状態からCDを使用して再インストールされました。
データと各種サービスは、現在復旧されつつあります。

All machines and data were checked for devices outside of /dev, suid
executables, writable files, etc. and all suspicious files were
removed.  Services (and their scripts/programs) are being compared to
known-good sources and sanity checked before being re-enabled.
すべてのマシンとデータについて、/devの外にデバイスがあるかどうか、
suidされた実行可能ファイルがあるかどうか、書き込み可能なファイルがあ
るかどうか、などがチェックされました。また、疑わしファイルがすべて削除
されました。

Since we now knew we had compromised accounts and sniffers on our
hands we had to assume that that an unknown number of accounts were
now compromised, so all accounts were locked, passwords invalidated
and ssh authorised keys removed.
我々の中に、compromised accountが存在していたことと、またsnifferが
稼働していたことから、我々は未知数のアカウントがcompromisedされている
と仮定しなければなりません。そこで、すべてのアカウントをロックし、
すべてのパスワードを無効とし、すべてのssh認証鍵を削除しました。

                        How could this happen?
                        ----------------------
                        どのようにして起きたか？

All the compromised machines were running recent kernels[1] and were
up-to-date with almost all security updates[2].
すべてのcompromised machineでは新しいカーネル[1]が走っており、また
ほぼ最新のセキュリティアップデート[2]が適用されていました。

However there was two problems.
しかしながら、2つの問題が存在しました。

(1) The kernels running on the machines in question didn't all get a
    ptrace fixed kernel as fast one might have liked.  Master, Klecker
    and Murphy got new kernels in May but Gluck for various reasons
    didn't get upgraded till August (although I believe it had
    /proc/sys/kernel/modprobe fixed to at least block the most common
    exploit before that).
(1) 問題の各マシンで運用されていたカーネルは、必ずしも好ましい速度であ
    るようなptraceがfixされたカーネルではありませんでした。masterと
    kleckerとmurphy は5月に新しいカーネルにしてありますが、gluckは様々
    な理由により8月までアップグレードされていませんでした。(しかし、
    私はそれが/proc/sys/kernel/modprobeをfixしたと信じています。それに
    より、カーネルアップグレード以前にほとんどの一般的なexploitを少なく
    とも阻止しました)

(2) Master had a copy it's old harddrive still lying around by
    accident.  Unfortunately it had a lot of old, unpatched suid
    binaries on it.
(2) 事件当時、masterは自身のコピーをその時まだ接続されていた古い
    ハードディスクドライブ内に持っていました。不幸なことに、多くの
    古いパッチされていないsuidバイナリがその中に存在していました。

Although these could have been the attack vector, I don't believe they
were.  (2) seems unlikely simply because master wasn't, AFAWK, the
first host compromised.  Although it's possible an attacker with local
access to gluck got root through (1), it seems unlikely they'd sit on
that for &lt;n&gt; months and then use it on several machines only to
comeback and rootkit several debian.org machines and at least one
(that we know of) other unrelated system at the same time (and which
didn't have an extended ptrace vulnerability exposure.)
しかし、これらが攻撃を誘発したかというと、私はそう思っていません。
我々が知る限り、masterはcompromiseされた最初のマシンでは無いので、
(2)は単純に原因ではなさそうに見えます。

[ここまで]
-----------------------------------------------------------------