格林威治时间礼拜四,11月19日下午5时左右,入侵者使用一个窃取到的密码登陆到klecker服务器(.debian.org)所在的开发 人员帐号上 (普通权限帐号),接着通过HTTP取回一个本地内核木马程序并使用该程序获得root权限,然后安装了root -kit程序。入侵者然后使用同一帐号和密码进入master服务器并用同样手段获得root权限并安装了SuckIT root-kit。入侵者又使用同一帐号和密码企图进入murphy主机,操作失败。murphy主机有帐号限制,只运行列表服务器并且只有少数开发人员 才能登陆。此法无效,该攻击者使用在master系统的root权限访问了管理帐号,该管理帐号用作文件备份和访问murphy主机。入侵者得逞,也在 murphy主机安装了root-kit.
次日,攻击者使用从master服务器上窃取的帐号密码登陆gluck服务器,获得root权限后再次安装了木马程序SuckIT root-kit。
/sbin/init 被覆盖的确切日期和时间和root-kit被安装的确切时间均通过分析一一得知。分析人员同时也发现一可执行文件,该文件用来获取服务器root访问权.安全专家则发现,该木马程序利用了Linux内核的漏洞。
一个brk系统呼叫的整数溢出被利用并覆盖内核存储器(改变page保护点),攻击者由此获得内核存储器空间的控制权并可以改变存储器中的参数数值。
尽管这一内核漏洞已于9月份被Andrew Morton发现并在10月以来发布的内核版本中进行了少量修复。但是由于安全意识的疏忽并没有人意识到该漏洞的严重性。所以,没有任何Linux发行商 对此提出任何安全建议。导致黑客发现并利用该漏洞攻击了debian服务器。至此,通用缺陷和漏洞计划指定该安全问题代号为CAN-2003-0961。
Linux 2.2.x 没有此缺陷,因为通道检查已经在此之