[Linux-ivv4] Fwd: [ZIVCERT#03-179] [DFN-CERT#58119] Root-Einbruch auf FTP-Server
des JOIN-Teams
Heinz-Hermann Adam
adamh@nwz.uni-muenster.de
Tue, 1 Jul 2003 12:27:20 +0200
Anfang der weitergeleiteten E-Mail:
> Von: Rainer Perske <rainer.perske@uni-muenster.de>
> Datum: Di, 1. Jul 2003 12:06:25 Europe/Berlin
> An: security@uni-muenster.de
> Cc: schild@uni-muenster.de, held@uni-muenster.de, =
bosse@uni-muenster.de
> Betreff: [ZIVCERT#03-179] [DFN-CERT#58119] Root-Einbruch auf=20
> FTP-Server des JOIN-Teams
>
> -----BEGIN PGP SIGNED MESSAGE-----
>
> Liebe Kolleginnen und Kollegen,
>
> leider muss ich Sie dar=FCber informieren, dass Unbefugte auf den =
Server
> FTP6 eingedrungen sind und root-Rechte erlangt haben. Das Problem =
wurde
> gestern nachmittag entdeckt, der Server ist vom Netz genommen.
>
> Dieser Server dient als FTP- und NFS-Server des IPv6-Projektes JOIN.
> Er wird von vielen Leuten als lokaler Spiegelserver f=FCr umfangreiche
> Software, darunter beispielsweise SuSE-, RedHat- und andere Linux-
> Distributionen benutzt.
>
> Der Einbruch scheint am 03.06.2003 fr=FChmorgens erfolgt zu sein.
> Es sieht derzeit alles danach aus, als ob die Einbrecher nur einen=20
> IRC-Roboter
> installiert und diesen mit einem Rootkit maskiert haben,
> ohne weiteren Schaden anzurichten. Das allein w=E4re noch kein Grund,
> Sie =FCber diesen Verteiler zu alarmieren.
>
> Auch wenn es derzeit keine Anzeichen daf=FCr gibt, besteht die=20
> M=F6glichkeit,
> dass es zeitweise trojanisierte Linux-Distributionen oder andere=20
> Software
> auf dem Server gegeben hat. Das hei=DFt, alle diejenigen Systeme, die =
in
> den letzten vier Wochen von ftp6.uni-muenster.de aus installiert oder
> aktualisiert worden sind, m=FCssen als (mit geringer, aber real=20
> vorhandener
> Wahrscheinlichkeit) potenziell trojanisiert betrachtet werden. Wir=20
> halten
> es f=FCr notwendig, Sie auf diese M=F6glichkeit hinzuweisen.
>
> Bitte informieren Sie alle diejenigen Rechnerbetreuer aus Ihrem=20
> Bereich,
> die m=F6glicherweise in den letzten vier Wochen Software von diesem=20
> Server
> installiert haben. Je nach Sensitivit=E4t der entsprechenden Systeme=20=
> k=F6nnen
> erh=F6hte Aufmerksamkeit (im Normalfall), intensive Kontrolle oder gar
> Neuinstallation mit Daten aus zuverl=E4ssiger Quelle angebracht sein.
>
> Ich betone noch einmal: Es besteht die M=F6glichkeit, dass Software =
auf=20
> dem
> Server modifiziert wurde, es gibt aber *keine* Anzeichen daf=FCr, dass=20=
> dies
> tats=E4chlich passiert ist.
>
> Mit freundlichen Gr=FC=DFen
> - --
> Rainer Perske, Zentrum f=FCr Informationsverarbeitung, Universit=E4t=20=
> M=FCnster
> end
> Lesetipp:=20
> <http://www.textkritik.de/schriftundcharakter/sundc008tofu.htm>
> Das ZIV warnt: Outlook Express ist gef=E4hrlich. Nutzen Sie =
Alternativen.
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.2 (AIX)
>
> iQDVAwUBPwFdIs9UbnbjB8C5AQE8lwX+N8xwi+nFa1I+eURzM472HAmwRKlz7ebJ
> 7Ne3LLmeyTJfE35XhH7G3DSk46lAp+TwhXMBTSJenZtErqkyPtz2kA6Nx/iAsgwx
> ErubTuYGpS/SwBpyftd9gNCv0C0GjMZYogdiwAEG5SoVNGBA5HaP9IIUAn6q8Q5i
> uJjhsn5APAzMe+UsZKkyn9pX4+O6Pd+2M4FicYFl+yxbfqiZZs6tsCcFJgomYxhX
> e1/KjC0Eutzij15CVxdeshhgICbmQCQz
> =3DlaDH
> -----END PGP SIGNATURE-----
>
>
--
Heinz-Hermann Adam (adamh@nwz.uni-muenster.de)
Universitaet Muenster c/o Institut fuer Festkoerpertheorie
Wilhelm-Klemm-Str. 10 D-48149 Muenster
Tel.: +49 251 83-3 90 40 Fax: +49 251 83-3 36 69
Web: www.uni-muenster.de/IVVNWZ/People/adamh
"The average computer user can handle 1.01 operating systems."