De beheerders van de kernelsite onderzoeken de vergaande inbraak nog, maar menen dat het gevaar beperkt is. “We geloven op dit moment dat de repositories voor broncode niet zijn geraakt", aldus de melding op kernel.org. Die eigenlijke broncode voor Linux wordt namelijk via het gedistribueerde ontwikkelsysteem git vergeleken met de code in de repositories van individuele Linux-ontwikkelaars.

Deze aanname dat de broncode nog veilig is, wordt nu middels onderzoek geverifeerd. Daarnaast nemen de beheerders stappen om de beveiling van de hele kernel.org-infrastructuur te verbeteren. Daarvoor worden de servers helemaal offline gehaald om die - na een back-up voor het onderzoek - volledig opnieuw te installeren. De autoriteiten in de Verenigde Staten en Europa zijn ingelicht en werken mee aan het onderzoek.

2 weken vrij spel

De inbraak is in augustus gepleegd en op 28 augustus ontdekt, aldus de melding op de homepage. Een maandag verstuurde e-mail aan Linux-developers bevat meer details. De inbraak is voor of op 12 augustus gepleegd, meldt hoofdbeheerder John 'Warthog9' Hawley in die mail. De inbrekers hebben dus ruim twee weken lang vrij spel gehad.

Ze hebben SSH-bestanden (zowel OpenSSH-server als -clients) gewijzigd, die vervolgens live hebben gedraaid, melden de beheerders. Die besmette bestanden zijn verwijderd, en vervangen door schone kopieën.

Activiteiten van gebruikers zijn gelogd door de inbrekers. Volgens nieuwssite The Hacker News zijn de inloggegevens van 448 accounts gecompromitteerd. Kernel.org heeft in totaal 448 gebruikers, meldt de open source-site zelf.

Ontdekt door foutmelding

Verder is er een Trojan toegevoegd aan de opstart-scripts voor het systeem. Die malware is ontdekt door een foutmelding van Xnest, terwijl dat X Window System Server niet eens was geïnstalleerd. Die foutmelding is ook opgedoken op andere systemen. “Het is onduidelijk of systemen die dat bericht vertonen verdacht zijn, gekraakt zijn, of niet. Als developers dit zien, en je hebt Xnest niet geïnstalleerd, onderzoek het alsjeblieft."

“Het lijkt erop dat 3.1-rc2 de exploit injectie heeft geblokkeerd", schrijven de kernel-org-beheerder over release candidate 2 (rc2) van Linux-versie 3.1. “We weten niet of dit de bedoeling was of een bijeffect van een bugfix of een verandering." Volgens The Hacker News zijn de kernel.org-systemen gehackt met een standaard rootkit genaamd Phalanx, die eerder al is ingezet om Linux-systemen aan te vallen.

Update:

Verduidelijkt dat er geen malware lijkt te zijn geïnjecteerd in de Linux-broncode (in repositories), maar wel in de kernel.org-website zelf.