LINUX.ORG.RU
 
ins3y3d

Бэкдор в FTP-сервере vsftpd


0

2

Крис Эванс (Chris Evans), автор "самого быстрого и защищенного" FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности


1 2 3 4
[#]  
splinter

Это вам не шуточки, пошел проверять версию.

***** ()
[#]  
splinter 
manager@skip-1:~$ vsftpd -v
vsftpd: version 2.3.0

Все таки старый конь борозды не портит.

***** ()
[#] Ответ на: комментарий от splinter 04.07.2011 14:47:33  

Я всегда говорил что пуре лучше защищен ( и легче и фичастее )

* ()
[#]  
luke

решето!

** ()
[#]  
x0r

> Very Secure FTPD

очень иронично

** ()
[#]  
overmind88

Хорошо, что я давно перешёл на pure-ftpd

***** ()
[#]  
alikhantara

у меня старая версия =)
rpm -q vsftpd vsftpd-2.0.5-16.el5_6.1

* ()
[#]  

> сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой

Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

*** ()
[#] Ответ на: комментарий от alikhantara 04.07.2011 15:19:59  

>у меня старая версия =)

:) /fxd

anonymous ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:25:11  
ESTAF

vsftpd -v[br] vsftpd: version 2.3.4

yum update vsftpd[br] Загружены модули: presto, refresh-packagekit[br] Подготовка к обновлению[br] Нет пакетов, отмеченных для обновления

Russian Fedora 13 )

** ()
[#]  
cipher

Эпичный логин, автор - молодец.

* ()
[#]  

Открытый код, безопастность, ага.

()
[#]  

кто нибудь уже крикнул ;"Решето!" не?

()
[#] Ответ на: комментарий от sl4mmer 04.07.2011 15:40:47  
pylin

да, у него с отцом проблемы, смотри тред внимательно

** ()
[#] Ответ на: комментарий от dm1024 04.07.2011 15:23:04  

> Самый защищенный сервер, че. Серьезные разработчики, внушающие доверие.

Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

anonymous ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:44:58  

те когда тебя через эту дверь поимеют то тебе будет легче что
это дыра в инфраструктуре ? ;)

* ()
[#]  

Чудесно. Федорный .spec подпись не проверяет. Хотя мог бы и очень легко. И вот так у нас всё.

*** ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:44:58  

>Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

+1

*** ()
[#]  
init_

proFTPd наше фсио!

* ()
[#]  

Очень интересно, у меня на Gentoo именно эта версия, но в исходника этого кода нет.

Другой источник?

anonymous ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:54:40  
mpp5

Не, там просто в другом месте бэкдор ;)

()
[#] Ответ на: комментарий от mx__ 04.07.2011 15:47:57  

> те когда тебя через эту дверь поимеют то тебе будет легче что это дыра в инфраструктуре ? ;)

Ну так это могла наверное быть и проблема с хостингом? Помню, я как-то долго убеждал одного хостера обновить ядро на сервере, на что получал ответы, что из контейнеров OpenVZ затруднительно использовать уязвимости ядра, поэтому можно не беспокоиться. Но потом всё-таки обновили, а то уже собирался менять хостинг. Может и там было что-то такое, и админы придерживались политики "не трогай то, что работает" и в смысле обновлений системы?

*** ()
[#]  
fero

>Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)"
Весело

** ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:54:40  
octy

Можешь проверить, grep "2.3.4.tar.gz" /usr/portage/net-ftp/vsftpd/Manifest, sha256 не совпадает с тем что из новости для «плохого» архива. Видимо на зеркалах лежат неизменённые исходники.

** ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:44:58  

> Причём тут сервер то? Дыра была в инфраструктуре, а не в коде сервера.

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

*** ()
[#]  
liberte

Интересно, в Gentoo хэши для версии без бэкдора?

DIST vsftpd-2.3.4.tar.gz 187043
RMD160 4097b495b5b03833e18b1639931939c3176e498b
SHA1 b774cc6b4c50e20f4fe9ca7f6aa74169ce7fe5ea
SHA256 b466edf96437afa2b2bea6981d4ab8b0204b83ca0a2ac94bef6b62b42cc71a5a
* ()
[#] Ответ на: комментарий от splinter 04.07.2011 14:45:42  

попробовал. у меня 2.3.4. Не работает - порт не открывает

*** ()
[#] Ответ на: комментарий от dm1024 04.07.2011 16:14:26  

Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе? После того, как взломали бы стопицот систем?

()
[#] Ответ на: комментарий от Pinkbyte 04.07.2011 16:20:15  

> попробовал. у меня 2.3.4. Не работает - порт не открывает

Давай мы попробуем, говори IP-адрес.

*** ()
[#] Ответ на: комментарий от dm1024 04.07.2011 16:14:26  
liberte
>>-----Цитата---->>

Аа, т.е. str.c в исходниках самого безопасного сервера - это не код сервера, а, как вы выражаетесь, инфраструктура. Понятно. Это все меняет, да.

<<-----Цитата----<<

Если подпись у кода с бэкдором не совпадает, то это действительно инфраструктура. Сверка подписи перед компиляцией бинарника или добавление хэша архива в репозиторий, основанный на исходном коде — задача дистрибутива.

* ()
[#]  
Alsvartr

vsftpd -v
vsftpd: version 2.3.2

Debian stable FTW.

*** ()
[#] Ответ на: комментарий от novell 04.07.2011 16:21:58  

> Открытость кода позволила быстро обнаружить уязвимость. А как скоро она обнаружилась бы в закрытой (проприетарной) программе?

На операстов давите?

*** ()
[#]  
pevzi

Да уж, иронично.

**** ()
[#]  

Если разрешён только анонимус (как довольно часто и используют vsftpd), фича работает?

Кстати, ну ждёт оно подключений на 6200 порту, и что дальше-то?

()
[#]  

А вообще, теперь vsftpd готов для десктопа, раз уж поломать его почти так же просто, как mswindows.

()
[#] Ответ на: комментарий от Pinkbyte 04.07.2011 16:20:15  
Fletch

аналогично 

[root@helix fletch]# vsftpd -v
vsftpd: version 2.3.4
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]# netstat -tlnp | grep 6200
[root@helix fletch]#
Естественно, параллельно в браузере пытаюсь залогиниться смайликом.

* ()
[#] Ответ на: комментарий от anonymous 04.07.2011 15:54:40  
xorik

В генте цифровая подпись проверяется какбы

***** ()
[#]  
pevzi

Интересно, успел кто-нибудь от этого пострадать или нет?

**** ()
[#]  

> Крис Эванс (Chris Evans)

Он в "Сотовом" не снимался часом?

anonymous ()
[#]  

а всего лишь надо делать всё по правилам, например DMZ за отдельным роутером и chroot. А вообще странно, что сделано именно так (другой порт, никакого оповещения), в дистрибутивы эта версия попадала как-нибудь ?

** ()
[#]  

iptables -A INPUT -p tcp -m tcp --dport ftp -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable

Внимание, вопрос - меня коснётся эта дыра? :)

anonymous ()
[#]  
livedock

Хорошо что нашли. Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО . Дальше еще не раз услышим о подобном .

()
[#]  
flareguner

Сначала proftpd, теперь vsftpd! Они идиоты чтоли?

()
[#] Ответ на: комментарий от livedock 04.07.2011 17:25:36  
flareguner

> Если хакеры уже подбираются к программам на основе открытого кода это свидетельствует о популярности СПО

Просто убейся.

()
[#] Ответ на: комментарий от anonymous 04.07.2011 17:15:07  

если ещё добавишь 

iptables -P INPUT DROP
то нет.

** ()
[#] Ответ на: комментарий от init_ 04.07.2011 15:51:56  
flareguner

Сделал меня смеяться. С ним уже то же самое было.

()
[#]  
flareguner

За такое надо отрывать яйца разрабам и тем, кто отвечает за инфраструктуру, вне зависимости от чего либо.

()
[#] Ответ на: комментарий от kid_lester 04.07.2011 16:44:27  
ded_mopozzz2

> А вообще, теперь vsftpd готов для десктопа, раз уж поломать его почти так же просто, как mswindows.

С бекдором всё что угодно легко поломать.

()
[#]  
Black_Shadow 
$ eix vsftpd
[I] net-ftp/vsftpd
     Available versions:  2.2.2 ~2.3.2 2.3.2-r1 2.3.4 {caps pam selinux ssl tcpd xinetd}
     Installed versions:  2.3.4(11:58:39 16.03.2011)(pam ssl tcpd xinetd -caps -selinux)
     Homepage:            http://vsftpd.beasts.org/
     Description:         Very Secure FTP Daemon written with speed, size and security in mind

Мдя...

*** ()
[#] Ответ на: комментарий от Black_Shadow 04.07.2011 17:38:03  
flareguner

гентоо на сервере не нужно.

()
1 2 3 4
Безопасность