パスワードを忘れた? アカウント作成
6999 story

GentooとFSFのサーバにも侵入事件が発生 138

ストーリー by Oliver
実害なくてよかった 部門より

Henrich 曰く、 "先日の Debian サーバへの侵入事件も記憶に新しいところだが、なんと今度は Gentoo Linux のサーバ (rsync.gentoo.orgの1つ)がremote exploitにより侵入されるという事態がが報告されている。(GLSA: rsync.gentoo.org rotation server compromised (200312-01))
なお、このサーバはオフィシャルのGentooサーバではなくスポンサーより寄付されたものであり、Gentooでは関知しない幾つかのサービスが動作していた。回の事件はこのスポンサーが起動していたサービスが問題となったようだ。前回の Debian 同様に rootkit が埋め込まれ、現在も解析が行われている。
幸いにして今回も利用者への影響はない (Portage tree への侵入は確認されていない) という話だが、侵入された後に20ユーザが rsyncサーバとの同期を行っていたらしい。利用者はemerge syncとして別のrsync.gentoo.orgサーバから同期を取るように推奨されている。"

GenntooだけでなくFree Software FoundationのSourceforge風サービスであるSavannahもクラッカーにやられたようだ。FSFの告知によると、約一ヶ月前からptyスニッファを備えるsuckIT rootkitがインストールされていたそうだ。Savannahは現在ダウンしており、週末までには新ハードウェアへの再インストール作業を終わらせる予定だそうだ。また、完全なタイムラインを含む生々しいDebianサーバ不正侵入事件の調査報告も公開されいて、未知の脅威に晒された時の冷静で的確な対処の例として参考になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Henrich (121) on 2003年12月04日 11時19分 (#447665)
    元タレコミの中の人です。
    腹痛で眠れない中、ボーっとしながらたれ込んだので、どっかが間違ってるかもしれません。見つけたら指摘よろしくです。(でも、Daniel Robbins さんも相当慌ててたのでしょうか、アナウンスに誤字があったりしますね。(それを真似てタレコミにも誤字を加えた…わけではなく、単なるミスです(汗)

    で、FSFですが。
    うーむ、正直お粗末なような…前回もそうですが、一月以上の間、気付いていないというのは如何なものでしょうね。gentoo、Debianはその日のうちにアラート上がってたりするわけで、体制にそもそも問題があるように思います。(どっかでFSFはポリシーでshellアクセスを許している…というような記述を見たような記憶があるのですが、もしもそうだとしたら、今回のLinux kernelの脆弱性のようなものから守るの大変そう。どうするんでしょうね、これから。)
    • by Anonymous Coward on 2003年12月04日 12時54分 (#447750)
      >で、FSFですが。
      >うーむ、正直お粗末なような…前回もそうですが、一月以上の間、気>>付いていないというのは如何なものでしょうね。
      snip
      >どっかでFSFはポリシーでshellアクセスを許している…というような>記述を見たような記憶があるのですが、もしもそうだとしたら、今回
      >のLinux kernelの脆弱性のようなものから守るの大変そう。どうする>んでしょうね、これから。)
      >

      このあたりの精神がいまだに生きているんじゃないんですか?
      リチャード・M・ストールマン スウェーデン王立工科大学講演 RMS Lecture at KTH (Kungliga Tekniska Hogskolan)
      http://www.gnu.org/philosophy/stallman-kth.ja.html

      ぼくがプログラミングをはじめたのは 1969 年のことで、ニューヨークの IBM 研究所でのことだった。そのあと、コンピュータ科学の学部がある学校があって、まあここはほかと似たりよったり。何をすべきか決める教授たちがいて、だれが何を使っていいか決める連中がいて。ほとんどの人には端末が不足してたんだけれど、教授たちはほとんどみんなオフィスの中に専用端末を持ってて、これは資源の無駄なんだけれど、連中の姿勢からすればまあありがちなことだよね。

       MIT の人工知能研に遊びにいったら、そういうのとは爽快なくらいにちがった精神があったんだ。たとえば、そこでの端末はみんなのものだと思われてた。だから自分のオフィスに鍵をかけるような教授は、ドアがぶち破られるというつらい目にあうわけ。ある教授のオフィスのドアをぶち破るのに使った、でっかい鉄のかたまりが載った台車をホントにみせてもらったよ。その頃は端末はほんとに少なくて、システム全部にディスプレイ端末 5 つくらいかな、だからそのうち 1 台がしまい込まれてると、ものすごい損害だったわけ。

       その後の数年、ぼくはその考え方に刺激を受けて、何度も天井をのりこえたり床下を這ったりして、みんなが使いたいマシンのある部屋の鍵を開けてきた。そして通常は、ドアに鍵をかけるような身勝手なまねはしなさんな、というメモをおいてった。ドアに鍵をかけるような人は、基本的には自分のことしかかんがえてないんだ。もちろんその人たちにもそれなりの理由はあるだろう。何か盗まれそうなものがあってそれに鍵をかけときたいとか。でも同じ部屋にある別のものがしまいこまれちゃうと、ほかの人に影響が出るってことは気にもしなかったんだ。これが起きる度に必ずいえることだけど、それで一回はぼくも指摘したんだけど、別の解決策はあるんだ。鍵をかけるかどうかってのはかれらの勝手じゃないんだ。心配なものをしまっとく場所はほかにもあるし、デスクに鍵をかけることだってできる。でも要するに、みんなそんなことをわざわざ考えようとはしないんだよね。「この部屋はおれのだ、鍵をかけるのもおれの勝手、ほかの連中クソ食らえ」と思ってる。そしてこれぞまさに、持ってはいけない精神なんだってことは教え込む必要がある。

      中略

      あと、AI 研になかったものといえば、ファイル保護。コンピュータにはセキュリティはまったくなかった。そしてこれはきわめて意識的に選んだ道だった。 Incompatible Timesharing System (ITS) を書いたハッカーたちは、ファイル保護なんてものは身勝手なシステム管理者が、ほかのみんなに権力を行使するために使うもんだって思ってた。ハッカーたちは、そんな権力を行使されるのはまっぴらだったから、その手の機能は実装しなかった。結果として、システムのどこかがこわれたら、いつも自分でなおせた。いらいらしながらじっとすわってなきゃならないなんてことは絶対許せないよね、こっちはどこがおかしいかずばりわかってて、それなのにだれかが、自分を信用してないからそれをさせないと決めてるなんて。あきらめて家に帰って、朝にだれかがきてシステムをなおしてくれるのを待つなんて、しなくていいじゃない。何をしなきゃいけないのか、自分にはその人の10倍もよくわかってるってのに。

      親コメント
  • しかし (スコア:2, 興味深い)

    by take0m (4948) on 2003年12月04日 10時00分 (#447606) 日記
    最近増えましたね。

    そろそろMSへの攻撃も飽きてきたのかな。MSの対応も大人になってきたし、慣れてきた感もあるので。先人クラッカーと同じことしてもあまり騒がれませんしね。攻撃するなら、サーバの方が派手だし、そうなると普及率が高まったApache系やLinuxを攻めるようになるんでしょうか。

    あるいはUNIX系のOSの方が堅牢と思われていますから、そちらを落とした方が満足度が高いのですかね。
    • by one-one (17888) on 2003年12月04日 13時38分 (#447803) 日記

      結構前に 「Crackerの大会みたいのが開催か?」みたいな話があってその時に Windows Server やIIS をCrackしても簡単すぎてみんなできるからポイント低いよ, HP-UX(だったかな?)がポイント高いよ. なんてニュースを見たんですが Windows Serverへのアタックはもう飽きてきたのかもしれませんね

      DebianやGentooへアタックかけたやつらが Script Kiddyなレベルではなさそうだし

      親コメント
  • rsync の本家から こんな勧告 [samba.org] でてます。まさにサービスのど真ん中が抜かれたんじゃないでしょうか。

    #またアップデートの大騒ぎが始まるんだろうなぁ。まぁ、普通のサイトは rsync なんて動かしていないでしょうけど。

  • 実害なくてよかった (スコア:1, フレームのもと)

    by Anonymous Coward on 2003年12月04日 8時53分 (#447561)
    Windowsのセキュリティ関連ストーリーの部門名とはえらい違いですね。
    恥ずかしくないですか?
    • by annoymouse coward (11178) on 2003年12月04日 9時48分 (#447597) 日記
      > Windowsのセキュリティ関連ストーリーの部門名とはえらい違いですね

        /. には、
      windowsのセキュリティホールは対岸の火事なんだけど
      linuxに関する穴が見つかると他人事ではなくなる
      ユーザが多いのです。それだけの事です。

      たとえば、タレコミ中の"remote exploit"を見て、脊髄反射的に
      先日サーバのカーネルを2.4.23にあげたのにまた全部アップデート作業かよ!と思った人は少なくないはず。

      #自分の管理しているサーバには、実害なくてよかった、よかった
      #と一安心中なのでID
      親コメント
      • Re:実害なくてよかった (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2003年12月04日 12時53分 (#447749)
        なんで不思議なのかが逆に不思議。
        まさに伽藍とバザールの違いってなだけでしょ。

        Windowsには責任者がいて、しかも金銭がからんでる。
        Linuxにはいわゆる責任者はいないし、金取ってるわけじゃな
        いし、おまけに "The Linux" というべき実体がない。
                
        だから、ユーザとしてはWindowsに問題があったら
        「ふざけんな!金返せ!」だけど、Linuxに問題があっても
        「もっとがんばれよ」か、せいぜい「まだまだだな」ってな
        もんだよね。
        見世物小屋と大道芸の違いといってもいいんじゃない?だめ?

        ただより高いものはない、ってのもあるけどね。
        「自由」、とはコストそのものなのさ。
        親コメント
        • Slashdotは? (スコア:1, 興味深い)

          by Anonymous Coward on 2003年12月04日 16時43分 (#447957)
           
          ひとつ聞きたいんだけど。
          いえ誰にということもなくね。

          Slashdot(JP)は伽藍なの?バザールなの?
           
           
          親コメント
      • by Anonymous Coward on 2003年12月04日 10時33分 (#447629)
        > windowsのセキュリティホールは対岸の火事なんだけど
        > linuxに関する穴が見つかると他人事ではなくなる
        > ユーザが多いのです。それだけの事です。

        それなら、Linuxカーネルに脆弱性が見つかったとか、Linuxの
        どこぞのサーバが不正侵入を受けたというトピックへの投稿は
        滅多なことでは3ケタを超えないのに、それがWindowsだったら
        軽く3桁の投稿数になるのはどうしてでしょう?
        普通は逆じゃないですか?

        脆弱性発覚や不正侵入の話題じゃなくても、銀行や公的機関で
        Linux導入決定より、Windows導入決定のほうが投稿数が多いのも
        明らかですよね。

        対岸の火事なら気にすることはないから話題にもしないですが、
        他人事じゃない話題なら大騒ぎするものでしょ?

        個人的にはあまり良い傾向とは思えないんですけど、実質的に
        Linuxやオープンソース関連の雑談よりも、MSの悪口を言って
        喜ぶという目的で/.Jにアクセスしてる人が多すぎるってこと
        なんじゃないでしょうか。
        親コメント
        • Re:実害なくてよかった (スコア:2, すばらしい洞察)

          by reo (4042) on 2003年12月04日 11時03分 (#447654) 日記
          > それなら、Linuxカーネルに脆弱性が見つかったとか、Linuxの
          > どこぞのサーバが不正侵入を受けたというトピックへの投稿は
          > 滅多なことでは3ケタを超えないのに、それがWindowsだったら
          > 軽く3桁の投稿数になるのはどうしてでしょう?
          > 普通は逆じゃないですか?

          Windowsで3桁超える投稿数になる記事で交わされる議論の内容をよくごらんになれば、3桁を超える理由が分かる筈です。個人的S/N比というものを算出してみて、他の記事と比較してみるのも参考になるかもしれません。

          --
          Hiroki (REO) Kashiwazaki
          親コメント
        • 以下は僕個人のスタンスであって全体でというわけではありませんが

          それなら、Linuxカーネルに脆弱性が見つかったとか、Linuxの
          どこぞのサーバが不正侵入を受けたというトピックへの投稿は
          滅多なことでは3ケタを超えないのに、それがWindowsだったら
          軽く3桁の投稿数になるのはどうしてでしょう?
          普通は逆じゃないですか?

          アップデートの作業で忙しかったりするとかそういうことは考えられませんか?
          UNiX系システムの場合なまじ強力な分侵入されると後が痛いですしね.

          脆弱性発覚や不正侵入の話題じゃなくても、銀行や公的機関で
          Linux導入決定より、Windows導入決定のほうが投稿数が多いのも
          明らかですよね。

          Windows Serverを使うことに対して妥当と思わないだけでしょう. 賛成よりも反対の方がどうしても議論が熱くなります(そして同じ議論の繰り返し…)
          逆にLinuxを導入するなら『ま, いいんじゃないの』で済ましてしまう. もちろん興味はありますが

          対岸の火事なら気にすることはないから話題にもしないですが、
          他人事じゃない話題なら大騒ぎするものでしょ?

          例えば MS-Blaster, Slammerなど 自分のマシンが感染被害にあわなくてもnetworkそのものが被害にあって困ることもあります.
          直接的な被害という意味では対岸の火事なのですが 火事の被害はないにしても2次災害が多くあるわけですから関心がないというわけでもないんじゃないですか?

          最近のLinuxやGNU, FSFにしてもpackageとかを公開しているとこもあるわけですから2次災害的なものもあるんじゃないかと思いますが 一応そこら辺についてはアナウンスされているので 「良かった 良かった」だけで終ることもあるわけで

          それと数の比較ですが最も攻撃を受けているのがLinux [srad.jp]のトピックの元ネタと同様serverとして使うのとclientとして使うのとでは意味合いが違いますので あまり気にするようなことでもないと思います

          親コメント
        • > 個人的にはあまり良い傾向とは思えないんですけど、実質的に
          > Linuxやオープンソース関連の雑談よりも、MSの悪口を言って
          > 喜ぶという目的で/.Jにアクセスしてる人が多すぎるってこと
          > なんじゃないでしょうか。

          ここはそういうのが目的じゃないんですか?
          少なくとも編集者の面々は黙認してますしね。
          • 確かにな。
            OSDNがバックだから、
            Linuxやオープンソースがらみの悪評は困るからな。
            今回の一件もM$の陰謀だ、俺達は被害者だと騒ぐんだろ、
            どうせ。

            モデレートは荒らしでお願いします。
            今から言っておく。
        • >それなら、Linuxカーネルに脆弱性が見つかったとか、Linuxの
          >どこぞのサーバが不正侵入を受けたというトピックへの投稿は
          >滅多なことでは3ケタを超えないのに、それがWindowsだったら
          >軽く3桁の投稿数になるのはどうしてでしょう?
          >普通は逆じゃないですか?

          あなたはなんだか、slashdot.jpに書き込む人たちを一まとめの個体だと
          見て
        • Windowsの被害は「またMSか」と言いたくなるほど繰り返されてるからあんな反応になるんであって、
          Linuxの被害もあと数十回ぐらい繰り返されれば「またLinuxか」という感じでWindowsの場合と同じような反応になる。
          sendmailの話とかも結構荒れるがあれもちょくちょくセキュリティホールが出てたし。
      • Windowsは対岸の火事、Linuxは人事じゃない、とのことですが、そういうわけでもないでしょう。
        Windowsでの被害はほとんどパッチを当ててない、基本的な対策をとってないなどの、はっきり言えばアホとしかいいようがない被害ばかりである
        • Re:実害なくてよかった (スコア:2, すばらしい洞察)

          by Ying (4319) on 2003年12月04日 16時42分 (#447953)
          えーと、それはつまりWindowsはリリースされたパッチを適切に適用し、基本的な対策をとっていれば安全だが、Linuxは管理者が万全を尽くしていてもなお危険である、という主張ですね? :-)

          というのは冗談にしても、Debianの一件に関する報告を見た限りdo_brk()の危険性が不特定多数の人間が気づける状態になってからfixがリリースされるまで2ヶ月近くかかっているように読めるのですが、それって結構問題があるんじゃないですかね。

          親コメント
          • 冗談には反応しません、面倒なので。

            というのは冗談にしても、Debianの一件に関する報告を見た限りdo_brk()の危険 性が不特定多数の人間が気づける状態になってからfixがリリースされるまで2ヶ 月近くかかっているように読めるのですが、それって結構問題があるんじゃない ですかね。

            これは読み違いじゃないですかね。 この前の記事 [srad.jp] のタレコミ文には、

            バグ自体は9月に発見・修正されたが、これまでは悪用が可能とは思われていなかった。

            と、書いてあります。

            親コメント
        • Re:実害なくてよかった (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2003年12月04日 10時55分 (#447647)
          >> Gentooでは関知しない幾つかのサービスが動作していた。

          > FSFもGentooもDebianも万全の体制を整えた上での被害

          どこがやねん。
          親コメント
        • > Windowsでの被害はほとんどパッチを当ててない、基本的な
          > 対策をとってないなどの、はっきり言えばアホとしかいいようが
          > ない被害

          がMicrosoftのサーバで起きた記憶って無いんですが、何かごっちゃにしてません?
          クライアントサイドの話かデベロッパーサイドの話かはっきりさせた方がいいよ。
        • >Windowsでの被害はほとんどパッチを当ててない、基本的な対策を
          >とってないなどの、はっきり言えばアホとしかいいようがない被害
          >ばかりであるのに対し、FSFもGentooもDebianも万全の体制を整えた
          >上での被害である事が大きな違いなのです。

          FSFのこの手の不祥事 [internet.com]
    • Re:実害なくてよかった (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年12月04日 10時22分 (#447621)
      確かにえらい違い。

      不正侵入されたことは実害とは言えないのか?
      親コメント
      • マカもひどいと思ったが、ここで擁護している奴等もひどいね。
        MSは好きじゃないが、駄目なものを駄目だといえるだけ、
        Win使いの方がまだマシのような。
    • 心配しなくてもマイクロソフトがlinuxの評判を下げてくれます。
      セキュリティ川柳 [microsoft.com]に、
      オープンソースソフトウェアなどではソースサーバーに潜んでいることもある。要するに、信頼できる提供元から入手した製品以外は、被害をこうむるリスクがあることを、事実として理解して欲しいと師匠は思う。

      とありました。

      #おふざけみたいなページにもこういうことを書くとは、流石だな
      --
      1を聞いて0を知れ!
      親コメント
    • 確かにえらい違いだとは思うが、
      何を恥じさせたいのか分からない。
    • じゃあ、あなたの考えによる適切な部門名は?
  • Gentooが関知しないサービスが動いていたとはいかがなものか。

    #という私はGentooユーザー。

    ちょうどgentoo-sources-2.4.20-r9をダウンロードしようと思っていたときに件の記事を見つけたので結構悩んでしまった。
    --
    ---- 末は社長か懲戒免職 なかむらまさよし
  • by spiral3 (15650) on 2003年12月04日 12時01分 (#447700)
    ドメイン登録サイトが乗っ取り被害
    http://www.zdnet.co.jp/enterprise/0312/04/epn02.html
  • by Anonymous Coward on 2003年12月04日 13時37分 (#447802)
    問題発覚後、すべてが公開されるOSを私は信じる。

    #公開しないOSを支持しているひと、ごめんなさい。
  • by Anonymous Coward on 2003年12月04日 9時29分 (#447583)
    対応がのんびりしてませんか? 前回の FTP の件もその後どうなったのか
    よく分からないけど、発見までの時間が長いし、だいじょぶなのか、おい
    とちょっと心配になりますね。

    # いっそ Debian チームにサーバ管理してもらった方が、、、
    # とか思わないでもない。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...