debian exploit攻击者身份与典型案例
总体说明 “debian exploit”并非单一事件或同一名攻击者,而是对影响 debian 或其衍生系统的各类漏洞利用的统称。不同时间、不同漏洞的利用者各不相同,有的会被公开署名披露,有的仅以网名出现,更多则在事件报告中无法确认身份。
典型案例与已知信息
2003 年 debian 官方服务器入侵事件:攻击者先利用窃取的开发者账号登录 klecker.debian.org,通过 http 获取本地内核木马并以本地权限提升安装 root-kit(suckit);随后用同一账号入侵 master 并再次提权,继而尝试入侵 murphy 并通过已控的 master 权限绕行;次日又入侵 gluck 并安装 root-kit。官方通报未披露攻击者真实身份,仅说明系“入侵者/攻击者”。该事件与内核漏洞 can-2003-0961 相关。
cve-2016-1240(debian 系 tomcat 本地提权):漏洞发现与利用代码作者为安全研究员 dawid golunski(网名/个人站点 legalhackers.com)。该利用针对 debian/ubuntu 上 tomcat 打包的日志文件权限问题,可从 tomcat 低权限提升至 root。
cve-2016-1247(debian/ubuntu 上 nginx 本地提权):同样由 dawid golunski 公开。成因是 nginx 在 debian 系列中新日志目录的不安全权限,导致本地 www-data 可提权至 root。
cve-2022-0543(debian 系 redis lua 沙盒逃逸 rce):由巴西研究员 reginaldo silva 于 2022-03-08 披露。该问题源于 debian 打包环境对 redis lua 沙盒的修改,导致可逃逸并在受影响系统上执行任意代码;影响范围限定在 debian 及其衍生版。
如何确认某次攻击的攻击者
