kernel.orgへのハッキング、17日間rootkitが潜伏?
Linuxカーネルを管理するkernel.orgがハッキングされました。複数のサーバーのroot権限が取られ、システムが改ざんされました。rootkitは遅くとも8月12日から仕込まれていたようで、17日間検出されずに潜伏していたとのことです。
kernel.org では下記のようなことが起きたと発表されています。
- 侵入者はHeraサーバーへのroot権限を得た。方法は不明。
- OpenSSHのサーバーとクライアントが変更された。
- トロイの木馬を起動するファイルがシステムに追加されていた。
- ユーザー操作のログが記録されていただけでなく、Exploitコードも仕込まれた。
- トロイの木馬はXnest /dev/memのエラーメッセージが原因で発見した。
今後は調査を行うとともに、kernel.orgのすべてを再インストールするとのことです。
また、Linuxカーネル内の各ファイルはハッシュ値を計算して安全を確認するそうです。基本的にはハッシュ値は公開されているので、古いバージョンのものをこっそり改ざんすることはほぼ不可能でしょう。
The Registerの報道内容とはちょっとだけ異なっていますね。kernel.orgの発表だと、侵入されたのはHeraだけ?The RegisterではOdin1もと。