Die für die Betreuung und Wartung des Debian-Linuxprojekts zuständigen Entwickler haben heute eine detaillierte Stellungnahme zu dem kürzlichen erfolgten Einbruch in die Debian-Server abgegeben: Über ein mitprotokolliertes Passwort haben sich die Angreifer Zugang zu den Servern verschafft und Rootkits installiert.

James Troup, einer der Administratoren der Debian-Server, berichtet in einer Mail, dass am 20. November erstmals Ungereimtheiten auftraten: Sowohl der Server für das Bug-Tracking-System (master) als auch der Server für die Mailinglisten (murphy) wiesen Fehler im Kernel auf. Zeitgleich zeigten Sicherheitsmechanismen auf den Web- und CVS-Servern klecker und gluck an, dass /sbin/init ausgetauscht worden war und dass sich einige Timestamps verändert hatten.

Laut Troup sind die Angreifer bereits am 19. November über das gesniffte Passwort in klecker und master eingedrungen. Mit einem derzeit noch unbekannten lokalen Exploit haben sich die Angreifer dann Root-Rechte auf den Servern verschafft und das Rootkit Suckit installiert (siehe auch Heimliche Hintertüren). Der Mailinglisten-Server murphy lässt nur einen eingeschränkten Benutzerkreis in das System; das gesniffte Passwort nutzte den Eindringlingen hier nichts. Sie haben kurzerhand über den Master-Server einen Account für murphy erstellt und konnten dort dann ebenfalls das Rootkit installieren. Einen Tag später verschafften sich die Angreifer Root-Rechte auf klecker.

Nachdem die Entwickler den Einbruch festgestellt haben, wurden gluck und klecker umgehend heruntergefahren beziehungweise vom Netz getrennt. murphy und master blieben noch ein paar Stunden in Betrieb, um den Einbruch bekanntzugeben, und wurden dann auch heruntergefahren. Die Server gluck, master und murphy wurden nach Sichern der Festplatten für eine forensische Analyse dann gelöscht und neu von CD installiert. Die Software-Archive der betroffenen Server wurden mit Trusted Mirrors abgeglichen, wiesen aber keine Manipulation auf. Da die Maintainer davon ausgehen mussten, dass die Angreifer alle Zugangsdaten auf den betroffenen Rechnern ausgelesen haben, wurden alle Nutzeraccounts gesperrt und die SSH-Autorisierungsschlüssel gelöscht.

Troup geht derzeit davon aus, dass der Einbruch durch gesniffte Passwörter von Debian-Entwicklern gelingen konnte. Unklar ist zur Zeit noch, über welchen Weg sich die Angreifer lokale Root-Rechte verschafft haben, Troup glaubt, dass ein bisher unbekannter Local-Root-Exploit im Umlauf sein könnte. Bis das eindeutig geklärt ist, wolle man die Zugänge für die Entwickler noch gesperrt lassen. (pab/c't)