Atacado un servidor de Gentoo

Archivado
Parace que no sólo Debian sufre los ataques de desaprensivos "juankers" que no saben que otra cosa hacer que poner zancadillas a servidores libres.

Esta vez uno de los servidores de rsync.gentoo.org que hacía las rotaciones de mirrors ha sido comprometido por un exploit remoto. No obstante el server llevaba un IDS (que no se lo que es) y un comprobador de integridad de los datos, y las revelaciones de los primeros analisis forenses (no hablamos de médicos :Ð ) indican que el arbol del portage que almacenaba no se a visto en absoluto afectado. Al parecer los atacantes se han limitado a instalar un rootkit y a borrar sus huellas.

De momento el server (que por cierto no pertenecía a la infraestructura de Gentoo, sino a uno de sus esponsores) a sido apartado de las rotaciones en espera de que los analisis forenses terminen de determinar que es lo que pasó.

No obstante, recomiendan hacer un "emerge rsync" para actualizar el arbol del portage por si acaso.

Más info aquí
Un IDS es un Intrusion Detection System. (por ejemplo snort)

Por otro lado, rsync.gentoo.org es un servidor MUY importante en la infraestructura de Gentoo. Pues todos los mirrors han de sincronizar con él, si ponen un ebuild troyanizado pues la podemos joder mucho...

En fin, que en principio detectaron las anomalías una hora después del ataque y parece que no le(s) había dado tiempo a hacer nada...

Salu2.Ferdy
1 respuesta
Archivado
Volver a Software libre