[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian Investigation Report after Server Compromises 訳(1)

 やまね%風邪ひいてるし poは小休止中、です。

 Subject: Debian Investigation Report after Server Compromises

The Debian Project                                http://www.debian.org/
Debian Investigation Report                             press@debian.org
December 2nd, 2003

Debian プロジェクト                               http://www.debian.org/
Debian 調査レポート                                     press@debian.org

Debian Investigation Report after Server Compromises

Debian によるサーバ侵入後の調査レポート

The Debian administration team and security experts are finally able
to pinpoint the method used to break-in into four project machines.
However, the person who did this has not yet been uncovered.

Debian 管理チームとセキュリティ専門家達はついに4台のプロジェクトマシン

The package archives were not altered by the intruder.


The Debian administration and security teams have checked these
archives (security, us, non-us) quite early on in the investigation
and re-installation process.  That's why the project was able to open
up the security archive again and confirm that the stable update
(3.0r2) wasn't compromised.

Debian 管理チームとセキュリティチームはこれらのアーカイブ (security, us, 
non-us) をきわめて早期に調査と再インストール作業のためにチェックを行い
ました。このため、セキュリティアーカイブを再公開し、安定版の更新 (3.0r2) 

If the project had anticipated to get compromised at the same time the
stable update was implemented, the involved people would have
postponed it.  However, the updated packages were already installed in
the stable archive and mirror servers at the time the break-ins were
discovered, so it wasn't possible to hold it back anymore.

もし、安定版の更新がされたのと同じ時に侵入されたと Debian プロジェクト
にて予想していた場合、関係者は (リリースを) 延期していたでしょう。しか

Several methods based on different control data were used to verify
the packages and to ensure that the archives weren't altered by the


 . externally stored lists of MD5 sums accumulated over the past weeks
   on not compromised machines
 . digitally signed .changes files from external debian-devel-changes
   archives on not compromised machines
 . digitally signed .changes files on the respective archive servers
 . externally stored mirror log files

・外部の侵入されていないマシンに過去数週間分蓄積されていた MD5 sum の
・侵入されていない複数のマシンから取得した外部の debian-devel-changes 
 アーカイブ群から取得したデジタル署名済の .changes ファイル
・各アーカイブサーバにあったデジタル署名済の .changes ファイル



Below is the timeline of discovery and recovery of the compromised
machines.  All times are in UTC.  Some times are only estimates since
our conversation did not contain exact timestamps.


   Sep 28  01:33  Linus Torvalds releases 2.6.0-test6 with do_brk() fix
   Oct 02  05:18  Marcello Tosatti applies do_brk() boundary check
   Nov 19  17:00  Attacker logs into klecker with sniffed password
   Nov 19  17:08  Root-kit installed on klecker
   Nov 19  17:20  Attacker logs into master with same sniffed password
   Nov 19  17:47  Root-kit installed on master
   Nov 19  18:30  Attacker logs into murphy with service account from master
   Nov 19  18:35  Root-kit installed on murphy
   Nov 19  19:25  Oopses on murphy start
   Nov 20  05:38  Oopses on master start
   Nov 20  20:00  Discovery of Oopses on master and murphy
   Nov 20  20:54  Root-kit installed on gluck
   Nov 20  22:00  Confirmation that debian.org was compromised
   Nov 21  00:00  Deactivation of all accounts
   Nov 21  00:34  Shut down security.debian.org
   Nov 21  04:00  Shut down gluck (www, cvs, people, ddtp)
   Nov 21  08:30  Point www.debian.org to www.de.debian.org
   Nov 21  10:45  Public announcement
   Nov 21  16:47  Developer information updated
   Nov 21  17:10  Shut down murphy (lists)
   Nov 22  02:41  security.debian.org is back online
   Nov 25  07:40  lists.debian.org is back online
   Nov 28  22:39  Linux 2.4.23 released

   Sep 28  01:33  Linus Torvalds が 2.6.0-test6 を do_brk() の修正と共にリリース
   Oct 02  05:18  Marcello Tosatti do_brk() 戻り値チェックを適用
   Nov 19  17:00  攻撃者が盗聴したパスワードを利用し klecker にログイン
   Nov 19  17:08  Root-kit が klecker にインストールされる
   Nov 19  17:20  攻撃者が盗聴したパスワードを利用し master にログイン
   Nov 19  17:47  master に rootkit が インストールされる
   Nov 19  18:30  攻撃者が master から取得したサービスアカウントを利用して murphy にログイン
   Nov 19  18:35  murphy に rootkit が インストールされる
   Nov 19  19:25  murphy にて Oops メッセージが始まる
   Nov 20  05:38  master にて Oops メッセージが始まる
   Nov 20  20:00  master と murphy の Oops メッセージを発見
   Nov 20  20:54  gluck に rootkit をインストールされる
   Nov 20  22:00  debian.org に侵入があった事実を承認
   Nov 21  00:00  全てのアカウントを停止
   Nov 21  00:34  security.debian.org を停止
   Nov 21  04:00  gluck (www, cvs, people, ddtp,debian.org) を停止
   Nov 21  08:30  www.debian.org が www.de.debian.org を指すように変更
   Nov 21  10:45  公式発表
   Nov 21  16:47  開発者情報が更新される
   Nov 21  17:10  murphy を停止 (lists.debian.org)
   Nov 22  02:41  security.debian.org  がオンラインに
   Nov 25  07:40  lists.debian.org がオンラインに
   Nov 28  22:39  Linux 2.4.23 がリリースされる


 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp