Троян в поставке OpenSSH

Re: Троян в поставке OpenSSH

2Ogr&Co
Вот как работает метод поиска троянов по сорсу.
Closed-source продуктами вообще пользоваться не безопасно.

Re: Троян в поставке OpenSSH

Мне кажеться это в очередной раз прикалываються OpenBSDшники - и это реально простой тест blowfishа. хотя всякое бывает ... :)

lg (01.08.2002 17:50:23)

Re: Троян в поставке OpenSSH

ну этот openssh в жопу, я пожалуй на родной ssh перейду6 который с www.ssh.org

Re: Троян в поставке OpenSSH

А как вообще такое может быть? Взломали сервак и положили свои сырцы? или падла живет в проекте?

Re: Троян в поставке OpenSSH

Это шутка что ли такая ?

Re: Троян в поставке OpenSSH

www.ssh.org пересылает на www.ssh.com - а насколько я понимаю там коммерческий платный продукт и нету бесплатной версии...

Re: Троян в поставке OpenSSH

Ну, приконнектился он к 203.62.158.32:6667. Дальше что? Собираю-то я пакет как простой юзер...

varg (01.08.2002 18:37:40)

Re: Троян в поставке OpenSSH

ftp://ftp.ssh.com/pub/ssh/

ssh бесплатен для некомерческого использования

Re: Троян в поставке OpenSSH

Да действительно - информация с Buqtraq http://online.securityfocus.com/archive/1/285490/2002-07-29/2002-08-04/0

Re: Троян в поставке OpenSSH

А я из RPM ставил - он(троян) будет работать или нет ?

Re: Троян в поставке OpenSSH

       Вот как работает метод поиска троянов по сорсу. 
       Closed-source продуктами вообще пользоваться не безопасно.

а с чего вы решили, что найдено было по сорсу... судя по всему народ 
запустив сие заметил, что оно полезло куда-то коннектиться и 
файрволл им протрубил... потом они уже в сорцы полезли...
и судя по тому, что только один из перцев сие увидил и обнаружил, то
если бы у него не стоял файрволл, то сия засада еще бы долго торчала
в коде

PTO (01.08.2002 18:47:41)

Re: Троян в поставке OpenSSH

Может я чего не понял,
но в самом начале статьи написано:
"В поставке OpenSSH 3.4p1 с ftp.openbsd.org был обнаружен троян".
В статье то же: http://online.securityfocus.com/archive/1/285490/2002-07-29/2002-08-04/0

Причем тут народец из openssh.org ?
Притензии к freebsd/openbsd.org.

Re: Re: Троян в поставке OpenSSH

> Причем тут народец из openssh.org ? Притензии к freebsd/openbsd.org.

OpenSSH - разработка команды OpenBSD.

maxcom (01.08.2002 19:12:18)

Re: Re: Троян в поставке OpenSSH

В самом письме ссылочка есть
http://www.mavetju.org/weblog/weblog.php
Найдено по ошибке при попытке собрать порт FreeBSD,
собственно простая проверка подписи.
Кстати интересно почему подпись не подменили?

rathamahata (01.08.2002 19:19:57)

Re: Троян в поставке OpenSSH

да -) прикольно ваще -)

unReal (01.08.2002 19:24:43)

Re: Троян в поставке OpenSSH

2rathamahata (*) (2002-08-01 19:19:57.013):

> Кстати интересно почему подпись не подменили?

Каким образом? Подпись лежит в портах.

badger (01.08.2002 19:35:21)

Re: Троян в поставке OpenSSH

Сорс тащится из инета а файл подписи уже есть локально в портах (идет в поставке)?

Re: Троян в поставке OpenSSH

Нет, как-раз MD5-хеш лежит в портах - смотрите /usr/ports/что-либо/программа

GLUK (01.08.2002 19:54:26)

Re: Троян в поставке OpenSSH

И при установке порта в FreeBSD make проверяет контрольную сумму. При несовпадении контрольных сумм он вылетает с ошибкой.
Вывод - Порты FreeBSD рулят!
А на прикол OpenSSH.Org это не похоже - те еще-бы контрольную сумму поменяли в портах. Недавно такое-же было и с IRSSI, где злоумышленник исправил только .tar.gz и не поправил контрольную сумму.

С уважением,
Юшкин Сергей Викторович

GLUK (01.08.2002 19:59:22)

Re: Троян в поставке OpenSSH

Если троян не опасен, то имхо ОпенБСД, сделало "тренеровку" админам, чтоб мд5 проверяли на каждом пакете без исключения. ;-)

logIN (01.08.2002 20:06:33)

Re: Троян в поставке OpenSSH

2GLUK: а до этого была история с трояном в исходниках какого-то ftpd (не помню уже какого и боюсь соврать)... Вообщем это регулярно происходит, только вспоминать об этом не любят... Зато если у одной лбимой фирмы такое случится - годами перемывать косточки готовы...:)

Irsi (01.08.2002 20:06:46)

Re: Троян в поставке OpenSSH

Вышел openssh security advisory так что это не шутка ;) а суровая реальность.

Re: Троян в поставке OpenSSH

"ато если у одной лбимой фирмы такое случится - годами перемывать косточки готовы...:)
Irsi (*) (2002-08-01 20:06:46.387)"

Если это случается у какого-нибудь фтпд или вот как сейчас то это проказы хакеров, а если такое случится у фирмы офтопика то это будет политика фирмы заведомая.

Re: Троян в поставке OpenSSH

Вот здесь все подробно изложено: http://slashdot.org/comments.pl?sid=37188&cid=3991288

Пакет подменили и команда OpenBSD об этом не знала. Причем обнаружение (причем очень быстрое --- в течение 6 часов) этой ошибки пользователем стало возможным целиком и полностью потому, что исходные коды открыты. Это понятно из описания процесса обнаружения.

А вот что касается `порты рулят':

"The C code is not that smart. It tries once per hour to connect to port 6667 on the machine 203.62.158.32 which is web.snsonline.net and waits for commands from the person or persons who 0wn3d the machine. Does it get an M, it sleeps for another hour. Does it get an A, it will abort. Does it get an M, it will spawn a shell. Some people will build it "normal" privileges and install it as root: they will get a shell with "normal" privileges. Other people will build it with "root" privileges and the shell will have "root" privileges."

и ниже:

"The building of a port (under FreeBSD at least) is done as root with all its privileges. This is a wrong approach."

В правильно сконфигурированной системе пакеты собираются при помощи fakeroot от простого пользователя. root только устанавливает.

Re: Троян в поставке OpenSSH

Вывод, трояна заметили исключительно по тому что он куда-то ломился (каждый час), а не потому что смотрели исходники. Вывод - и тут опенсоурс в пролете.

Ogr (01.08.2002 20:43:27)

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-01 20:34:18.74): интересно, почему мне при установке из портов рутовые права треба только при make install?
Не читайте /. господа, не надо... Гонят там, постоянно. Желтая пресса это...
И про исходники чушь - Org здесь прав, только благодоря фаерволу и заметили...

Irsi (01.08.2002 20:55:26)

Re: Троян в поставке OpenSSH

На www.openbsd.org теперь вместо гордой надписи - столько то лет без дырки красуется другая: "One remote hole in the default install, in nearly 6 years!"

Круто :-))

Re: Троян в поставке OpenSSH

Ну это они думают что "one". Если их сервер работает на openbsd, то после такого трояна там их может быть и не one. Если б я был тем хакером, я бы их насовал в каждый второй пакет.

Re: Троян в поставке OpenSSH

FreeBSD 4.6.1-RC2 успел выйти и вышел бы уже давно релиз, но всё резко затормозилось... Теперь релиз заморожен и под таким номером скорее всего не выйдет. Решили сразу делать 4.6.2

Re: Троян в поставке OpenSSH

2Ogr

Asshole, read the original slashdot post. They noticed checksum mismatch, not the activity on the firewall. Can you read at all ? Stop FUD.

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-01 21:57:46.227): Nope. They noticed an activity on the firewall, and only after that they checked the MD5 checksum. But even if you are right, it did not make any impact to my point - Open Source has nothing to do in this discovery.

Ogr (01.08.2002 22:20:37)

Re: Троян в поставке OpenSSH

2Ogr The post clearly describes how they figured there was a troyan. The first step was cheking the checksum. Then comparing diffs with the original version etc. Anyway. OpenSSH being OSS helped to issue the patch in six hours after the troyaned tarball was put out. Compare with recent threats of HP to DMCA the hell out of the guy who published a Tru64 exploit a couple of days ago. HP knew about the hole for a while before its description was published but didn't do anything to fix it. ( http://news.com.com/2100-1023-947325.html )

Re: Троян в поставке OpenSSH

2 anonymous (*) (2002-08-01 21:44:05.325)
Сервер который сломали был под SunOS 4.1 (они хостятся у когото с толстым каналом)

Skor78 (01.08.2002 23:15:47)

Re: Троян в поставке OpenSSH

Огр, и тот анонимус с английским - это вообще то, русский сайт, хорош на вражеском разговаривать.

Re: Троян в поставке OpenSSH

Не знаю как FreeBSD 4.6.2, ядро в CVS ветке 4.6-RELEASE уже давным давно стало 4.6.1, а на сегодняшний день уже 4.6.1-p6

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-01 22:52:00.449): "The post clearly describes how they figured there was a troyan"
It does not matter how they found the trojan. Even MD5 has nothing to do with source availability. Just imagine for a second that a hacker replaced the checksum. Nobody will ever noticed the trojan existance.
"OpenSSH being OSS helped to issue the patch in six hours after the troyaned tarball was put out"
The source availability actually was the reason the trojan made in the package in the first place. The funniest part of this story is the binaries are not affected at all only source code carries the trojan.
"Compare with recent threats of HP to DMCA the hell out of the guy who published a Tru64 exploit a couple of days ago. HP knew about the hole for a while before its description was published but didn't do anything to fix it."
So? Remember there is a big difference between letting know about a flaw and explain how to exploit that flaw. But again these two cases are completely unrelated and I stumble to understand why you ever mentioned it.
2anonymous (*) (2002-08-01 23:35:23.644): "Огр, и тот анонимус с английским - это вообще то, русский сайт, хорош на вражеском разговаривать."
Мне почему-то помнится, что в правилах фидо на эту тему даже есть пунктик, который звучит примерно так: "Отвечать на письмо нужно в той же кодировке и языке, на котором было опубликовано исходное сообщение. Можно отвечать используя другую кодировку и язык, только если вы абсолютно уверены, что тот человек вас поймет"

Ogr (02.08.2002 1:04:40)

Re: Троян в поставке OpenSSH

Огр, да можешь, конечно, отвечать как угодно, это твое право. Можешь даже матом начать ругаться, как другие это делают. Особый язык, знаешь ли.

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 02:30:02.843): "Можешь даже матом начать ругаться, как другие это делают. Особый язык, знаешь ли."
Не с матом это не ко мне.
Просто коротко: "заражены" были исходники, а не бинарники. Т.е. если пользовать бинарники проблемым бы будет :)))

Ogr (02.08.2002 2:47:29)

Re: Троян в поставке OpenSSH

А W2K при условии что правильно настроена секьюрити даже не стала бы ставить неподписаный бинарник.

Re: Re: Троян в поставке OpenSSH

Я уже давно перешел на SSH от OpenBSD и проблем с тех пор небыло.

Re: Троян в поставке OpenSSH

Надесь всем очевидно что качать в ближайшее время что угодно с openbsd.org с целью установки - весьма небезопасное занятие. Интересно куда еще им там насовали троянов?

"Only one trojan horse in default install in nearly 6 years" ;)

green (02.08.2002 9:19:20)

Re: Троян в поставке OpenSSH

>"Only one trojan horse in default install in nearly 6 years" ;)

дык больше и не надо :)

Re: Троян в поставке OpenSSH

Переходите на SSH 3.2.0

Dimok (02.08.2002 10:16:48)

Re: Re: Троян в поставке OpenSSH

>They noticed an activity on the firewall,

Опять ты облажался, воинствующий чайник (в народе - ламер), и в который раз уже. Вот с чего все началось:

------------------------------------------------ Easy euh? It went well, except for the second step:

===> Extracting for openssh-portable-3.4p1_7 >> Checksum mismatch for openssh-3.4p1.tar.gz. Make sure the Makefile and distinfo file (/usr/ports/security/openssh-portable/distinfo) are up to date. If you are absolutely sure you want to override this check, type "make NO_CHECKSUM=yes [other args]". *** Error code 1

Euh... I didn't remember seeing a change in the FreeBSD ports regarding this. And I didn't see an announcement for it from the people from OpenSSH... ------------------------------------------------

изменения были обнаружены во время попытки сборки пакета.

(Огр сопит и нервно курит в сторонке)

Re: Re: Троян в поставке OpenSSH

Если действительно под SunOS 4.1 то все ясно. Оно как бы
unsupported уже совсем давно. И сколько там дырок - одному
черту известно.

Ice (02.08.2002 11:52:30)

Re: Троян в поставке OpenSSH

Скомпрометирован дистрибутив OpenSSH Вчера в информационной рассылке по безопасности FreeBSD, появилось [http: //docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security] сообщение о том, что самая последняя сборка OpenSSH, находившаяся на FTP сайте OpenBSD.org в своем составе содержит код трояна. Скомпрометированная сборка OpenSSH находилась по адресу: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz Однако следует полагать, что она также могла оказать и на зеркалах этого сайта. Код трояна выполняется только в момент инсталляции. При этом он пытается установить соединение с хостом, имеющим адрес 203.62.158.32 по 6667 порту. Данный адрес принадлежит скомпрометированному хосту. В случае если соединение все-таки удалось установить, то злоумышленник мог повторно инсталлировать на атакуемый хост трояна либо попытаться получить над ним управление. Однако владельцы промежуточного хоста, использовавшегося для атаки были немедленно проинформированы и предприняли все необходимые действия по недопущения использования их хоста в целях атаки. После тщательной проверки всех находившихся на FTP сайте дистрибутивов код трояна так же был выявлен в версиях 3.2.2р1 и 3.4. Скомпрометированные пакеты были немедленно исправлены. Если все-таки был инсталлирована скомпрометированная сборка OpenSSH, то настоятельно рекомендуется перезагрузить хост, удалить потенциально опасную службу. Загрузить проверенный дистрибутив и заново его инсталлировать.

nick

Re: Троян в поставке OpenSSH

Мне однажды аналогичная зараза попала на САН:
eggdrop - IRC bot.
Подменял ttymon.
Нашел также, мониторя сеть и прибил.

svs (02.08.2002 12:48:40)

Re: Троян в поставке OpenSSH

А разве надпись "One remote hole in the default install, in nearly 6 years!" появилась после трояна? Имхо раньше, из-за проблем с секюрностью в версиях Ossh 2.9-3.3 (из-за чего всем предлагалось срочно апдейтиться)

Re: Троян в поставке OpenSSH

2Ogr:
> Просто коротко: "заражены" были исходники, а не бинарники. Т.е. если пользовать бинарники проблемым бы будет :)))

То-то у меня drweb на почтовом сервере без передышки пашет... Все пользователи Windows ставят свои системы исключительно из бинарников, после чего успешно одаривают друг друга троянами и прочей гадостью.

А троян в пакете от OpenBSD был обнаружен по хешу MD5, подделать который невозможно (ну, как минимум, крайне затруднительно :-). Практически все современные дистрибутивы использую хеши и цифровые подписи для идентификации пакетов. Поэтому при грамотном администрировании системы заразить ее через инсталлируемый бинарный пакет или при сборке оного очень трудно. Чего нельзя сказать о Windows, на которую хочешь-не хочешь, а приходится ставить неподписанные бинарники, например, с новыми драйверами. Которые вполне могут быть затроянены, да не чторонним хакерами, а и самими производителями (неважно, с какими целями). И обнаружить это при отсутствии исходников почти невозможно (файрволл опускаем, троян может эффективно маскироваться).

Re: Троян в поставке OpenSSH

2anonymous (*) (2002-08-02 16:02:35.296): учат вас, учат, а вы все одно твердите - исходники да исходники. каков процент ошибок, найденных пользователями в исходниках, от общего числа ошибок? да нулевой ИМХО. я что то ни разу не видел сообщения - "Вася Пупкин в исходниках такого то пакета нашел ошибку!"

qrot (02.08.2002 16:32:04)