Троян в SENDMAIL'e

0

0

CERT.org утверждает, что некоторые копии исходных кодов пакета Sendmail модифицированы злоумышленником, и содержат Трояна.

Следующие файлы были модифицированы.

sendmail.8.12.6.tar.sendmail.8.12.6.tar. gz Z

Эти файлы появились на сервере FTP <ftp.sendmail.org> приблизительно сентября 28, 2002.

>>> Подробности

←	Сравнение стоимости владения системами на Линукс и Сан Солярис.

Xbox Linux Mandrake 9 available

→

НАУЧИ КОМПЬЮТЕР ВАРИТЬ КОФЕ

управление электрическими цепями с помощью компьютера
лучший подарок для техногика; только открытые программы
http://www.unicontrollers.com/products/unc01x

[#]

Re: Троян в SENDMAIL'e

Да будет флейм! :-)

А скоко этих троянов в IIS, в других коммерческих софтинах?
И ведь пока сами авторы троянов не сдадут, хер их найдешь.
Вот сила ОпенСурса.

anonymous (09.10.2002 10:17:55)

[#]

Re: Троян в SENDMAIL'e

Флейма не будет. FTP-сервер сендмыла был взломан и в архив с сырцами был вложен троян.

То же самое может произойти с любым проектом. Интересна ситуация складывается... Сперва SSH, теперь сендмыл... Кто следующий?

anonymous (09.10.2002 10:36:52)

[#] Ответ на: Re: Троян в SENDMAIL'e от anonymous 09.10.2002 10:17:55

Re: Re: Троян в SENDMAIL'e

Ну-ка расскажите нам, сколько троянов в сорцах IE? Или хотя бы в бинарнаках, которые я тащу с microsoft.com. Дыры - да, но трояны - это уже слишком. Что я такого не припомню.

anonymous (09.10.2002 10:41:25)

[#]

Re: Троян в SENDMAIL'e

а чем уж так сильно отличается дыра специально оставленная от трояна

anonymous (09.10.2002 10:58:22)

[#]

Re: Троян в SENDMAIL'e

Sorry za translit, no, IMHO, eto vyzyvaet podozrenija, kto-to (ne budem tykat' pal'zem) hochet skomprometirovat' OpenS. komu interesno eto naruku? :))

kreat0r

anonymous (09.10.2002 11:43:39)

[#] Ответ на: Re: Троян в SENDMAIL'e от anonymous 09.10.2002 10:58:22

Re: Re: Троян в SENDMAIL'e

> а чем уж так сильно отличается дыра специально оставленная от трояна

Специально оставленая -- ничем. Более того, она лучше трояна, так как ее очень непросто обнаружить. Ведь какой-нибудь int overflow менее заметен чем подвешивание шелла на порт.

grange

(09.10.2002 12:02:08)

[#]

Re: Троян в SENDMAIL'e

anonymous (*) (2002-10-09 10:41:25.498):

>Ну-ка расскажите нам, сколько троянов в сорцах IE? Или хотя бы в
>бинарнаках, которые я тащу с microsoft.com. Дыры - да, но трояны -
>это уже слишком. Что я такого не припомню.

Ну если только ты в MS не работаешь, ты о троянах в IE узнаешь только когда их сдадут.
Чем занимается бинарь доподлинно выяснить чаще невозможно, или крайне сложно.

Можешь дать свою правую руку на отсечение, что твой IE 23 февраля 2010 года при включенном момеде, наличии файла eee.htm на ftp://ie6:myuserdunkel@ftp.somecompany.tw/folder1/folder2/ и установленном фиксе Q345666 не откроет шелл с 12.00 до 14.00 GMT?

Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы.

anonymous (09.10.2002 12:30:55)

[#]

Re: Троян в SENDMAIL'e

Уж сколько раз твердили миру - собирай пакеты, пользуясь fakeroot!

Dselect

(09.10.2002 13:36:14)

[#]

Re: Троян в SENDMAIL'e

>Уж сколько раз твердили миру - собирай пакеты, пользуясь fakeroot!

А что это даст в данном случае? Ну, собрал ты пакет обычным юзером с правами на запись в /usr/src/rpm/build и ../sourcses ../, сомпиляв его вместе с трояном. Рутом установил, запустил - троян работает...

Shrike

(09.10.2002 14:01:40)

[#]

Re: Троян в SENDMAIL'e

>> Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы. пиздеть ты можешь и только. никто не в остоянии просмотреть ВСЕ исходники redhat'а, или сказать что все бинарники ставятся именно из тех исходников что идут в комплекте.

anonymous (09.10.2002 14:14:41)

[#]

Re: Троян в SENDMAIL'e

Похоже, кто-то очень хочет повсеместного перехода на PGP-signed source packages :) Пора, вообще-то.

anonymous (09.10.2002 14:42:48)

[#]

Re: Троян в SENDMAIL'e

Кому там не хватало троянов в IE, чем бага с %0 не катит? Вполне себе троян, эффектно и функционально. Почти римоут шелл, по крайней мере, римоут экзекьюшн, что ничуть не хуже.

pazhitnov

(09.10.2002 15:34:07)

[#]

Re: Троян в SENDMAIL'e

Никогда не мешает проверить целостность дистрибутива при помощи md5, даже скачав его с официально фтпишника.

используйте нормальную систему портов, к-рая это делает :)

это действительно хорошее напоминание всем...

Spizard

(09.10.2002 15:42:33)

[#]

Re: Троян в SENDMAIL'e

2 Shrike:

Вы внимательно новость читали?

"It is important to understand that the compromise is to the system that is

used to build the Sendmail software and NOT to the systems that run the

Sendmail daemon."

> Ну, собрал ты пакет обычным юзером с правами на запись в /usr/src/rpm/build

Собраю пакеты юзером dummy, который не прописан в /etc/sudoers, не имеет права

вообще лезть в сетку

( iptables -A OUTPUT --uid-owner=10000 -j DROP ) и писать может только в

свой /home/dummy (я тоже могу туда писать), да еще и с locked password.

dselect@pc7235~$ cd /home/dummy

dselect@pc7235 /home/dummy$apt-get source libcln2

Reading Package Lists... Done

Building Dependency Tree... Done

Need to get 2049kB of source archives.

Get:1 ftp://ftp.debian.org sid/main cln 1.1.4-3 (dsc) [655B]

Get:2 ftp://ftp.debian.org sid/main cln 1.1.4-3 (tar) [2042kB]

Get:3 ftp://ftp.debian.org sid/main cln 1.1.4-3 (diff) [6191B]

Fetched 2049kB in 19s (104kB/s)

dpkg-source: extracting cln in cln-1.1.4

dselect@pc7235 /home/dummy$ sudo su dummy

dummy@pc7235:~$ cd cln-1.1.4 ;dpkg-buildpackage

И никаких /usr/src/rpm! :)

Dselect

(09.10.2002 16:11:01)

[#]

Re: Троян в SENDMAIL'e

> используйте нормальную систему портов, к-рая это делает :)

i.e. используйте *BSD :)

З.Ы. вот щас прыщавых флеймеров набежит ;)

Cailean

(09.10.2002 16:11:50)

[#]

Re: Троян в SENDMAIL'e

Нормальные люди давно юзают цифровую подпись. Например www.kernel.org

anonymous (09.10.2002 16:12:25)

[#]

Re: Троян в SENDMAIL'e

Cailean, чем прыщи выводите? Скромнее будьте, дружише

anonymous (09.10.2002 16:35:06)

[#]

Re: Троян в SENDMAIL'e

Ппора повсеместно переходить на репозитарии с подписью.
Все пакеты должны подписываться, репозитарий также дролжен быть с подписью.
Все это проблема и головная боль команд, претендующих на звание дистросоздателей.
В альтлинуксе давно уже все подписывают, вплоть до писем в рассылку, теперь понятно, почему.

AVL2

(09.10.2002 16:41:14)

[#]

Re: Троян в SENDMAIL'e

2 Cailean:

> используйте нормальную систему портов, к-рая это делает :)

i.e. использйте Debian и apt-get.

Про то, кто и куда побежал/побежит, я промолчу.

<offtopic>

Хотел я попробовать, что за зверь эта самая FreeBSD.

Почитал FreeBSD handbook, скачал дискетки, отвел место,

ядро [linux'-овое] перекомпилил ( что disklabel читать можно было ).

Гружусь с дискеток и вижу [на второй консоли]

rl0: can't map ports/memory

О чем в соответсвующем руководстве просто сказано "fatal error" без

дальнейших справок.

Хотя списке поддерживаемого железа Realtek 8139/8139C вроде бы есть,

и по FAQ'-ам про нее ничего особенного нет [как это обычно бывает про всякие

кривые железки/драйвера к ним].

Не подскажут [сбежавшиеся изо всех щелей] *BSD гуру, как с этим бороться?

[а то орать suxx/rulezz все мастера, а что по делу сказать - так сразу

утихают]

</offtopic>

Dselect

(09.10.2002 17:10:28)

[#]

Re: Троян в SENDMAIL'e

U debiana net podpisei paketov, U RH, MD i SuSE est' - pgp + md5

anonymous (09.10.2002 20:06:18)

[#]

Re: Троян в SENDMAIL'e

sorry: ......................... gpg + md5 :)

anonymous (09.10.2002 20:08:32)

[#]

Re: Троян в SENDMAIL'e

у дебиана есть подписи пакетов.

anonymous (09.10.2002 21:34:47)

[#]

Re: Троян в SENDMAIL'e

Тут был ехидный вопрос "где трояны в коммерческом софте?"
Пожалуйста: Windows XP - самый крупный в мире троян. Причём особо не скрывающийся. Почитайте, что они в лицензионном соглашении пишут. Поставьте её, не забыв прикрутить ZoneAlarm. Выйдите в интернет и наблюдайте...

hobbit

(09.10.2002 22:05:09)

[#]

Re: Троян в SENDMAIL'e

хотелось бы насчет подписанных пакетов в линуксе узнать - где хранятся эти подписи и что именно они гарантируют - 1.целостность данных при копировании или еще и 2.защиту от таких подстав? то бишь, в последнем случае md5 не должна находится на том же фтп что и исходники. все что помню по этому вопросу с 6-й шапки - что гарантируется только пункт 1.

qrot

(09.10.2002 22:06:08)

[#]

Re: Троян в SENDMAIL'e

>>Не можешь? А я могу дать обе руки и голову, прочитав сорцы мозиллы А не треснет одно, а то и два места исходники такого размера прочитать? ИМХО, правильно - нужно переходить на пакеты с подписью. А вообще - действительно показано одно из слабых мест софта с открытыми исходниками.

anonymous (09.10.2002 22:25:20)

[#]

Re: Троян в SENDMAIL'e

Все эти MD5 хороши до тех пор, пока кто-нибудь не взломает вебсервер. А то ведь и MD5 можно заменить без труда. А т.к. в среднем дистрибе LINUX тысяч 5 пакетов, которые идут тысяч с 5 разных сайтов, то было бы желание, а трояна засунуть можно. Все равно на каждый пакет security assessments и code review никто не делает.

anonymous (09.10.2002 23:23:11)

[#]

Re: Троян в SENDMAIL'e

2Dselect

Для решения проблемы с Realtek совсем не обязательно искать *BSD гуру, тем более на LOR. Достаточно сделать поиск в google по фразе "rl0: can't map ports/memory" и почитать рекомендации людей либо из freebsd-hardware mailling list, либо из ru.unix.bsd (смотря что больше нравится)

anonymous (10.10.2002 1:06:08)

[#]

Re: Троян в SENDMAIL'e

Да, наверное трудно заменить тот же setup.exe , при взломанном сервере?

anonymous (10.10.2002 10:09:48)

[#]

Re: Троян в SENDMAIL'e

А я пользую "chattr" на критичные файлы, и здесть ломай/не ломай, попробуй файл заменить (в chroot конечно...)

anonymous (10.10.2002 10:39:58)

[#] Ответ на: Re: Троян в SENDMAIL'e от Dselect 09.10.2002 17:10:28

Re: Re: Троян в SENDMAIL'e

To Dselect,

>Хотя списке поддерживаемого железа Realtek 8139/8139C вроде бы есть, >и по FAQ'-ам про нее ничего особенного нет [как это обычно бывает >про всякие кривые железки/драйвера к ним].

RTFS

from /sys/pci/if_rl.c:

* The RealTek 8139 PCI NIC redefines the meaning of 'low end.' This is * probably the worst PCI ethernet controller ever made, with the possible * exception of the FEAST chip made by SMC.

Ну НЕ-ЛЮ-БИТ её (плату) Bill Paul, который драйверов для сетевушек написал немало.

</offtopic>

anonymous (10.10.2002 12:09:14)

[#]

Re: Троян в SENDMAIL'e

2 anonymous (*) (2002-10-09 23:23:11.87)

> Все эти MD5 хороши до тех пор, пока кто-нибудь не взломает вебсервер. А то

> ведь и MD5 можно заменить без труда.

Надо подменить (в случае с Debian) слишком много файлов - всякие

Release, Release.gpg, Contents-<архитектура>.gz, Packages.gz.

Хотя, без сомнения, это вполне возможно.

2 anonymous (*) (2002-10-10 01:06:08.835)

> Для решения проблемы с Realtek совсем не обязательно искать *BSD гуру

А я их не ищу [тем более здесь], просто хотелось, чтоб крики вроде

"*BSD rulezz!!!" подзатихли. Когда у такого рода "гуру" что-нибудь по делу

спросишь они обычно умолкают, как и в данном случае. А поисковиком

пользоваться я и без Вас умею и вопросы задаю только тогда, когда не смог

найти ответ в FAQ'-ах, man'-ах и т.д.

2 anonymous (*) (2002-10-10 12:09:14.362)

> RTFS

> from /sys/pci/if_rl.c:

Спасибо. Теперь все понял. Однако чтоб почитать этот самый /sys/pci/if_rl.c ,

надо сначала установить систему [по сети, поскольку другого способа нет].

2 anonymous (*) (2002-10-09 22:25:20.784):

> А вообще - действительно показано одно из слабых мест софта с открытыми

> исходниками.

При чем здесь открытые исходники? Что, нельзя взломать архив [который под теми

же *BSD или SunOS], где хранится коммерческий софт?

2 all:

Странные какие-то все эти трояны. Никто не пытается встроить чего-нибудь

в самого демона (что было бы логично - он же по определению работает от

root'-a) и подменить gpg и md5 подписи, а только встраивают какую-то мерзость,

которая пытается что-то сотворить во время компилляции [ хотя почти

наверняка ничего не выйдет ]... Как-то не понятно, кто такой ерундой страдает?

Dselect

(10.10.2002 14:08:42)

[#]

Re: Троян в SENDMAIL'e

ne znau kak tam u debian.. :)) U RPM - md5 + gpg podpis'. gpg public key from RH or MD or SuSE you get with official distro and it is automatically installed in your root's public key ring, :) also this gpg signature can be found somewhere onsite.

anonymous (10.10.2002 15:47:44)

[#] Ответ на: Re: Троян в SENDMAIL'e от Dselect 09.10.2002 17:10:28

Re: Re: Троян в SENDMAIL'e

на оффтопик: отключи в BIOS`e PNP OS Installed - c Realtek поможет

anonymous (10.10.2002 16:00:46)

[#]

Re: Троян в SENDMAIL'e

Dselect: хочешь /sys/pci/if_rl.c без установки системы? ftp://ftp.freebsd.org/pub/FreeBSD/FreeBSD-stable/src/sys/pci/if_rl.c аналогично с заменой stable на current.

А клонов realtek'а масса, кривых из них - столько же, а следить за ними - лучше ну его нафиг IMO... Покупайте FXP... ;) И не тут надо спрашивать, а хотя бы в ru.unix.bsd. Никто не обязан все знать, особенно про таких странных зверей (извини, я вот ничего кроме FXP (Intel EtherExpress100) в последнее время не признаю, ну разве что Tulip'ы немного можно пользовать)

patologoanatom

anonymous (10.10.2002 19:00:23)

[#] Ответ на: Re: Троян в SENDMAIL'e от Dselect 09.10.2002 17:10:28

Re: Re: Троян в SENDMAIL'e

> rl0: can't map ports/memory

Извините милейший - а _что_ у вас к конфиге кэрнела нарисовано ??? неужто: device rl #???? а про такого типа записи слыхали device rl port NxNNN irq N iomem NxNNNNN # ну совсем не на своем месте висит

___ Good luck

anonymous (10.10.2002 23:57:08)

[#] Ответ на: Re: Re: Троян в SENDMAIL'e от anonymous 09.10.2002 10:41:25

Re: Re: Re: Троян в SENDMAIL'e

> Или хотя бы в бинарнаках, которые я тащу с microsoft.com
> Дыры - да, но трояны - это уже слишком. Что я такого не припомню.
http://zdnet.com.com/2100-11-519927.html
есть ещё.

mumpster

(11.10.2002 12:33:06)

[#]

Re: Троян в SENDMAIL'e

2 mumpster: Чудо в перьях. Ты хоть текст-то по своему линку почитай!

anonymous (12.10.2002 6:48:15)

←	Сравнение стоимости владения системами на Линукс и Сан Солярис.

Безопасность

Xbox Linux Mandrake 9 available

→