openSUSE Build Server wurde gehackt – Pakete wurden manipuliert und Trojaner eingeschleust

Von Sebastian Siebert | Veröffentlicht: 01. April 2011 | 10.755 x gelesen

[2. UPDATE]

April, April! ;-)

Nicht gerade wenige sind auf diese Meldung reingefallen. :-) Das Skript wurde 164 Mal heruntergeladen. Nach meiner Analyse waren es mehr Firmen, die das Skript heruntergeladen haben. :-D

Besonders die tschechische openSUSE-Seite hatte die Meldung sehr sehr schnell adaptiert. Natürlich war die Aufregung im Lande sehr groß gewesen.

Nicht zuletzt war auch die tschechische SUSE Linux s.r.o. ziemlich verwirrt und konnte beobachten, dass später SUSE Linux GmbH ebenfalls das Skript mehrmals runtergeladen haben. Herrlich! ;-)

Bei einem Forum war man auch nicht so ganz sicher, ob es denn nun stimmte. http://www.linux-forum.de/aprilscherz-2004876.html

Auch in Twitter wurde die Meldung von tux_news verbreitet, wodurch auch ein Andrang auf diese Seite entstand.

Wer von euch ist darauf reingefallen? ;-)
[/2. UPDATE]

[UPDATE]
Ich habe die Paketliste via Email vom openSUSE-Vorstand erhalten. Leider ist die Liste sehr groß, um diese hier zu veröffentlichen. Daher habe ich ein Skript geschrieben, dass die Paketliste mit den betroffenen Paketen enthält und mit den installierten Paketen abgleicht. Ich warne schon mal vorne weg, dass es womöglich einige Pakete betrifft.

Download: get-affected-packages.sh

Das Skript wird wie folgt ausgeführt:

sh ./get-affected-packages.sh

[/UPDATE]

Heute Nacht wurde bekannt, dass in den openSUSE Build Server eingebrochen wurde und einige Pakete in den Repositories manipuliert wurden. Zudem wurden auch mehrere SSH-Schlüssel für die Signierung der RPM-Pakete entwendet. Seit dem es bekannt wurde, ist der Server http://downloads.opensuse.org/repositories/ abgeschaltet worden, um von einem größeren Schaden abzuwenden. Der openSUSE-Vorstand rät die Repos und die Pakete zu diesen Repos zu löschen bzw. zu ersetzen. Aufgefallen ist die ganze Sache, als man festgestellt hat, dass im Paket „timezone-2011d“ ein Trojaner enthält, das über ein Update-Repo eingeschleust wurde, der auf dem befallenen System den Inhalt vom Verzeichnis /home/* an einen Server in China mit der IP 123.125.71.28 übermittelt und ggfs. auf Abruf die Daten in beide Richtungen (Upload/Download) überträgt. Momentan werden die einzelnen Repos durchgesichtet und die Änderungen rückgängig gemacht. Demnächst veröffentlicht der openSUSE-Vorstand eine Liste mit den betroffenen Paketen, dass ich an dieser Stelle veröffentlichen werde. Sobald mir die Liste vorliegt, werde ich so schnell wie möglich ein Skript schreiben, dass die betroffenen Pakete auflistet, um entsprechende Maßnahmen einleiten zu können.

Auf meinem System wurde auch das Paket „timezone-2011d“ installiert und habe es sofort gelöscht wie auch sämtliche Repositories deaktiviert. Ich werde auf dieser Seite euch auf dem Laufenden halten, welche Repositories manipuliert wurden und vor allem welche Pakete noch betroffen sind. Ein Alptraum! :evil:

Dieser Beitrag wurde in openSUSE veröffentlicht und getaggt , . Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

13 Kommentare

  1. Am 01. April 2011 um 10:07 Uhr veröffentlicht | Permalink

    Hey, der war gut. :)

  2. Am 01. April 2011 um 10:08 Uhr veröffentlicht | Permalink

    Aprilscherz???

  3. Am 01. April 2011 um 10:18 Uhr veröffentlicht | Permalink

    April, April ;)

    123.125.71.28 ist doch meine IP! :D

  4. Am 01. April 2011 um 13:58 Uhr veröffentlicht | Permalink

    Nicht schlecht……, gar nicht schlecht.

    Kompliment

    Gruß Hennes

    • Am 01. April 2011 um 14:16 Uhr veröffentlicht | Permalink

      Stümmt! ;)

      • Am 01. April 2011 um 15:34 Uhr veröffentlicht | Permalink

        Jedes Jahr dat selbe ;-)

  5. Am 01. April 2011 um 15:20 Uhr veröffentlicht | Permalink

    hehe,
    habs geglaubt bis zum schluss..**
    gruß mantra

  6. Am 01. April 2011 um 18:12 Uhr veröffentlicht | Permalink

    wir haben jetzt aber nicht schon wieder 1.April, oder ? 8-)
    Grüße
    Thorsten

  7. Am 01. April 2011 um 22:40 Uhr veröffentlicht | Permalink

    Hi,

    mir ist‘ s aufgefallen bei der Adresse: download → s ← opensuse.org das hier der erste April die Inspiration des Artikels war und kein Tippfehler ;)
    Trotzdem hab ich mir das Script geladen, schon allein aus Interesse was ein gelangweilter Programmierer da rein schreibt :)

    Glückwunsch zum Geleisteten April Scherz, war sehr gelungen und äußerst einfallsreich! Bekommt 10 Punkte von mir …. ;)

    • Sebastian Siebert
      Am 01. April 2011 um 23:00 Uhr veröffentlicht | Permalink

      Hi,

      jupp, bei der Adresse hätte man stutzig werden müssen. ;-) In Tschechien läuft die Meldung immer noch rum. Ich bin gespannt, wenn denen es auffällt, dass es ein Scherz war. :-D

      Gruß

      Sebastian

      • Am 01. April 2011 um 23:11 Uhr veröffentlicht | Permalink

        Was mich doch stutzig macht ist, das keiner auf die Idee kommt mal die Server direkt zu Testen, bei openSUSE auf der Mailingliste zu schauen oder ganz einfach mal einen Blick auf den Kalender zu riskieren …. :)

        • Sebastian Siebert
          Am 01. April 2011 um 23:22 Uhr veröffentlicht | Permalink

          Ja, da kann man sich manchmal wundern. ;-) Dieser Tag erinnert einen, dass man eine Meldung egal ob in den Nachrichten, Zeitungen oder im Blog nicht immer 100% glauben sollte und sich immer hinterfragen muss, ob es stimmt. Auch ein bisschen Recherche und ein gesundes Misstrauen ist in diesem Fall angebracht. :-)

          • Am 01. April 2011 um 23:28 Uhr veröffentlicht | Permalink

            Nichtsdestotrotz war deiner der beste, vor allem aber der einfallsreichste und Lustigste Aprilscherz der in diesem Jahr durch die IT-Landschaft ging. ;)

2 Trackbacks