Fragen? Antworten! Siehe auch: Alternativlos
Das sieht alles aus wie ein Standard-Rootkit, und das kam rein über einen legitimen Account eines Benutzers auf der Maschine, dem sein Rack-Server aufgehackt wurde. Offenbar wussten die Angreifer nicht, was sie da wertvolles aufgemacht hatten, jedenfalls haben sie nichts groß verändert außer halt sich da ins System einzunisten und das ssh zu ersetzen und so.
Die Linux-Kernel selbst sind nicht betroffen, und können auch gar nicht groß betroffen sein, weil die aus Linus' Privatsystem kommen, nicht von dort. git ist ein verteiles Versionierungssystem und da liegt nicht auf dieser Kiste auch "der git-Server", über den man die Kernelsourcen kompromittieren könnte. Und selbst wenn, dann benutzt git kryptographische Prüfsummen, das würde sofort auffallen, wenn da jemand was in der Versionsvergangenheit manipulieren will. Es gibt natürlich trotzdem noch ein paar offene Fragen, und sicherheitshalber haben sie doch alle in letzter Zeit veränderten oder hochgeladenen Tarballs nochmal überprüft. Aber akute Angst muss wohl keiner haben.
Es zeigt aber natürlich trotzdem, dass nicht mal die Linux-Kernel-Leute vor sowas gefeit sind. So schlimm ist der Stand der Computer-Security. Seufz.
Oh, eines noch: der Useraccount hatte keinen Superuser-Zugriff. Das Rootkit schon. Es gibt also noch mindestens einen Exploit für local privilege escalation unter Linux unter x86-64. Gut, das wird jetzt niemanden überraschen, der sich mit der Materie auskennt, aber es ist natürlich schon beunruhigend. Auf der anderen Seite wird das jetzt vielleicht eine Audit-Hetzjagd lostreten, bei der dann der und einige andere Fehler gefunden werden.