From: Teimuraz Abashidze <tgasoft@gmail.com>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: [Comm] Бекдор в vsftpd?
Date: Mon, 4 Jul 2011 16:47:48 +0400
Message-ID: <CAEFkYhipcgpqpAiLddu8qzOGUXWfEmQ2Xn7ADoAD_0v_Tn1BYA@mail.gmail.com> (raw)
Отсюда: http://www.opennet.ru/opennews/art.shtml?num=31082
Крис Эванс (Chris Evans), известный эксперт по компьютерной
безопасности и автор сверхзащищенного FTP-сервера vsftpd, опубликовал
уведомление об обнаружении вредоносного кода в исходных текстах
vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта.
После инцидента сайт проекта был перемещен со старого хостинга в
инфраструктуру Google App Engine.
Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет
собой классический бэкдор, запускающий shell на TCP-порту 6200 при
наличии в имени пользователя смайлика ":)". Код бэкдора не был запутан
и легко поддается анализу (изменения составляют около десятка строк).
Удивление вызывают непродуманные действия совершивших атаку, которые
не предусмотрели в бэкдоре механизма для отправки уведомления о
возможности проникновения. Непонятно, как злоумышленники пытались
выявить пораженные бэкдором хосты. Средства оповещения и запутывание
кода являются непременными атрибутами современных бэкдоров. Все это
позволяет сделать вывод, что поражение vsftpd скорее хулиганская
выходка, чем целенаправленная атака.
Автор vsftpd настоятельно рекомендует проверять цифровую подпись для
всех распространяемых архивов с кодом. В частности, при выполнении
"gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается
явное предупреждение о нарушении цифровой подписи ("gpg: BAD
signature..." вместо "gpg: Good signature..."). Пока не ясно как долго
указанный архив распространялся с бэкдором и каким образом
злоумышленникам удалось взломать аккаунт на хостинге проекта (судя по
всему vsftpd размещался на shared-хостинге, поддержка которого
осуществлялась сторонней компанией).
--
Best regards,
Teimuraz Abashidze
--------------------------------------------
Linux user #140208
---Visit my home page:
http://forum.tbilicity.com - Тбилисский форум
http://raindi.ge/taichi - Тайцзицзюань в Тбилиси
http://picasaweb.google.com/tgasoft/ - Мои фото
http://teimuraz1962.livejournal.com - Я в ЖЖ
next reply other threads:[~2011-07-04 12:47 UTC|newest]
Thread overview: 3+ messages / expand[flat|nested] mbox.gz Atom feed top
2011-07-04 12:47 Teimuraz Abashidze [this message]
2011-07-06 15:38 ` Michael Shigorin
2011-07-08 8:29 ` Teimuraz Abashidze
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAEFkYhipcgpqpAiLddu8qzOGUXWfEmQ2Xn7ADoAD_0v_Tn1BYA@mail.gmail.com \
--to=tgasoft@gmail.com \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git