openSUSE Build Server wurde gehackt – Pakete wurden manipuliert und Trojaner eingeschleust

[2. UPDATE]

April, April!

Nicht gerade wenige sind auf diese Meldung reingefallen. Das Skript wurde 164 Mal heruntergeladen. Nach meiner Analyse waren es mehr Firmen, die das Skript heruntergeladen haben.

Besonders die tschechische openSUSE-Seite hatte die Meldung sehr sehr schnell adaptiert. Natürlich war die Aufregung im Lande sehr groß gewesen.

Nicht zuletzt war auch die tschechische SUSE Linux s.r.o. ziemlich verwirrt und konnte beobachten, dass später SUSE Linux GmbH ebenfalls das Skript mehrmals runtergeladen haben. Herrlich!

Bei einem Forum war man auch nicht so ganz sicher, ob es denn nun stimmte. http://www.linux-forum.de/aprilscherz-2004876.html

Auch in Twitter wurde die Meldung von tux_news verbreitet, wodurch auch ein Andrang auf diese Seite entstand.

Wer von euch ist darauf reingefallen?
[/2. UPDATE]

[UPDATE]
Ich habe die Paketliste via Email vom openSUSE-Vorstand erhalten. Leider ist die Liste sehr groß, um diese hier zu veröffentlichen. Daher habe ich ein Skript geschrieben, dass die Paketliste mit den betroffenen Paketen enthält und mit den installierten Paketen abgleicht. Ich warne schon mal vorne weg, dass es womöglich einige Pakete betrifft.

Download: get-affected-packages.sh

Das Skript wird wie folgt ausgeführt:

sh ./get-affected-packages.sh

[/UPDATE]

Heute Nacht wurde bekannt, dass in den openSUSE Build Server eingebrochen wurde und einige Pakete in den Repositories manipuliert wurden. Zudem wurden auch mehrere SSH-Schlüssel für die Signierung der RPM-Pakete entwendet. Seit dem es bekannt wurde, ist der Server http://downloads.opensuse.org/repositories/ abgeschaltet worden, um von einem größeren Schaden abzuwenden. Der openSUSE-Vorstand rät die Repos und die Pakete zu diesen Repos zu löschen bzw. zu ersetzen. Aufgefallen ist die ganze Sache, als man festgestellt hat, dass im Paket „timezone-2011d“ ein Trojaner enthält, das über ein Update-Repo eingeschleust wurde, der auf dem befallenen System den Inhalt vom Verzeichnis /home/* an einen Server in China mit der IP 123.125.71.28 übermittelt und ggfs. auf Abruf die Daten in beide Richtungen (Upload/Download) überträgt. Momentan werden die einzelnen Repos durchgesichtet und die Änderungen rückgängig gemacht. Demnächst veröffentlicht der openSUSE-Vorstand eine Liste mit den betroffenen Paketen, dass ich an dieser Stelle veröffentlichen werde. Sobald mir die Liste vorliegt, werde ich so schnell wie möglich ein Skript schreiben, dass die betroffenen Pakete auflistet, um entsprechende Maßnahmen einleiten zu können.

Auf meinem System wurde auch das Paket „timezone-2011d“ installiert und habe es sofort gelöscht wie auch sämtliche Repositories deaktiviert. Ich werde auf dieser Seite euch auf dem Laufenden halten, welche Repositories manipuliert wurden und vor allem welche Pakete noch betroffen sind. Ein Alptraum!

15 thoughts on “openSUSE Build Server wurde gehackt – Pakete wurden manipuliert und Trojaner eingeschleust”

Hey, der war gut.

Aprilscherz???

April, April

123.125.71.28 ist doch meine IP!

Pingback: Aprilscherz? - Linux: Linux-Forum

Nicht schlecht……, gar nicht schlecht.

Kompliment

Gruß Hennes

Lisufa sagte am 01. April 2011 um 14:16 :

Stümmt!
- open_assistant sagte am 01. April 2011 um 15:34 :
  
  Jedes Jahr dat selbe

hehe,
habs geglaubt bis zum schluss..**
gruß mantra

wir haben jetzt aber nicht schon wieder 1.April, oder ?
Grüße
Thorsten

Pingback: Linux Blog » Blog Archive » Repozitář openSUSE Build Server hackován

Hi,

mir ist‘ s aufgefallen bei der Adresse: download → s ← opensuse.org das hier der erste April die Inspiration des Artikels war und kein Tippfehler
Trotzdem hab ich mir das Script geladen, schon allein aus Interesse was ein gelangweilter Programmierer da rein schreibt

Glückwunsch zum Geleisteten April Scherz, war sehr gelungen und äußerst einfallsreich! Bekommt 10 Punkte von mir ….

Sebastian Siebert sagte am 01. April 2011 um 23:00 :

Hi,

jupp, bei der Adresse hätte man stutzig werden müssen. In Tschechien läuft die Meldung immer noch rum. Ich bin gespannt, wenn denen es auffällt, dass es ein Scherz war.

Gruß

Sebastian
- Lisufa sagte am 01. April 2011 um 23:11 :
  
  Was mich doch stutzig macht ist, das keiner auf die Idee kommt mal die Server direkt zu Testen, bei openSUSE auf der Mailingliste zu schauen oder ganz einfach mal einen Blick auf den Kalender zu riskieren ….
  - Sebastian Siebert sagte am 01. April 2011 um 23:22 :
    
    Ja, da kann man sich manchmal wundern. Dieser Tag erinnert einen, dass man eine Meldung egal ob in den Nachrichten, Zeitungen oder im Blog nicht immer 100% glauben sollte und sich immer hinterfragen muss, ob es stimmt. Auch ein bisschen Recherche und ein gesundes Misstrauen ist in diesem Fall angebracht.
    - Lisufa sagte am 01. April 2011 um 23:28 :
      
      Nichtsdestotrotz war deiner der beste, vor allem aber der einfallsreichste und Lustigste Aprilscherz der in diesem Jahr durch die IT-Landschaft ging.

Die Kommentarfunktion ist geschlossen.