Бэкдор в FTP-сервере vsftpd

0

2

Крис Эванс (Chris Evans), автор «самого быстрого и защищенного» FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности

Ссылка

←	900 патентов касающихся Android и Chrome перейдут к Miсrosoft и Apple

Вышел gbrainy 2.00

→

← 1 2 3 4 →

Ответ на: комментарий от anton_jugatsu 05.07.11 22:06:39 MSK

если есть ftp сервер в условиях хостинга с клиентами, выходящими через NAT, то есть надо включать пассивный режим ftp, то жестко порты закрывать не будут на сервере
и клиенты попросят доступ обеспечить :-)

x97Rang ★★★
(05.07.11 23:58:58 MSK)

Ответ на: комментарий от x97Rang 05.07.11 23:58:58 MSK

Как раз для этого и придумали хелперы

modprobe -l '*ftp*'
/lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_ftp.ko
/lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_tftp.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/nf_nat_ftp.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/nf_nat_tftp.ko

Для любых режимов: пассивный, активный, standalone сервер, клиенты за натом и т.д.

anton_jugatsu ★★★★
(06.07.11 00:05:11 MSK)

Ответ на: комментарий от anton_jugatsu 06.07.11 00:05:11 MSK

не отрицаю, но

# nmap -p 6200 -sA ftp.kernel.org

Starting Nmap 5.00 ( http://nmap.org ) at 2011-07-06 02:49 YEKST
Warning: Hostname ftp.kernel.org resolves to 4 IPs. Using 130.239.17.5.
Interesting ports on pub4.kernel.org (130.239.17.5):
PORT STATE SERVICE
6200/tcp unfiltered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.98 seconds
# nmap -p 6200 -sA ftp.freebsd.org

Starting Nmap 5.00 ( http://nmap.org ) at 2011-07-06 02:49 YEKST
Warning: Hostname ftp.freebsd.org resolves to 3 IPs. Using 204.152.184.73.
Interesting ports on freebsd.isc.org (204.152.184.73):
PORT STATE SERVICE
6200/tcp unfiltered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.90 seconds

x97Rang ★★★
(06.07.11 00:52:48 MSK)

Ответ на: комментарий от x97Rang 06.07.11 00:52:48 MSK

$ sudo nmap -p 6200 -sA ftp.kernel.org
Starting Nmap 5.21 ( http://nmap.org ) at 2011-07-06 01:39 MSD
Nmap scan report for ftp.kernel.org (149.20.20.133)
Host is up (0.29s latency).
Hostname ftp.kernel.org resolves to 4 IPs. Only scanned 149.20.20.133
rDNS record for 149.20.20.133: pub1.kernel.org
PORT     STATE    SERVICE
6200/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 3.87 seconds
$ sudo nmap -p 6200 -sA ftp.freebsd.org

Starting Nmap 5.21 ( http://nmap.org ) at 2011-07-06 01:39 MSD
Nmap scan report for ftp.freebsd.org (87.51.34.132)
Host is up (0.067s latency).
Hostname ftp.freebsd.org resolves to 3 IPs. Only scanned 87.51.34.132
rDNS record for 87.51.34.132: ftp.beastie.tdk.net
PORT     STATE    SERVICE
6200/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds

OH SHI~^W^WКак повезёт. :)

anonymous
(06.07.11 01:42:44 MSK)

Ссылка

Ответ на: комментарий от solardiz 05.07.11 11:21:53 MSK

А помочь Крису с хостингом? Если он хочет больше времени прилагать к разработке кода, то может стоит кому-то другому (очень надёжному) взять на себя хостинг? Всего-то надо git, пару списков рассылки, форум, ФТП, ну и простенькую веб страничку интегрирующую всё предыдущие...

sdh
(06.07.11 05:13:58 MSK)

Ответ на: комментарий от mx__ 05.07.11 13:21:38 MSK

> Это было всего лишь предупреждение а уж как вы на его реагируйте это уже ваша проблема.

Поскольку лично для меня не-безопасность хостинга vsftpd (не самого vsftpd!) новостью не явилась, я не вижу причин для какой-либо моей/нашей реакции на произошедшее (кроме того что я уточнил сколько времени раздавался подмененный архив, чтобы сбавить шум/панику).

Что касается vsftpd vs. pure-ftpd - я считаю, что это отлично, что у нас есть целых два достойных FTP сервера. (Это гораздо лучше, чем в середине 1990-х, когда достойного по нынешним меркам качества не было ни одного.) К авторам обоих я отношусь с уважением. Кстати, об авторе pure-ftpd слышал еще и до этого проекта, благодаря его участию на демо-сцене.

Сейчас посмотрел http://download.pureftpd.org/pub/pure-ftpd/releases/ - подписей нету. Напишу Frank'у.

solardiz ★
(06.07.11 06:15:48 MSK)

Ссылка

Ответ на: комментарий от sdh 06.07.11 05:13:58 MSK

> А помочь Крису с хостингом?

Я подумывал, но, учитывая что у Chris'а уже есть сравнительно хороший и логичный вариант, а у нас нет времени, мы сейчас сами не предлагаемся. Также, нам самим требуются переделки своей исторически-сложившейся инфраструктуры, в том числе для безопасности. Может быть, если/когда мы их осуществим, мы и станем активно предлагать хостинг подобным проектам.

Кстати, кажется, списков рассылки у vsftpd сейчас вообще нет. Пожалуй, их я предложу захостить, вместе с веб-архивами. Спасибо за идею.

solardiz ★
(06.07.11 06:33:21 MSK)

Ссылка

Ответ на: комментарий от anonymous 04.07.11 17:15:07 MSK

iptables -A INPUT -p tcp -m tcp --dport ftp -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport ftp-data -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable

Внимание, вопрос - меня коснётся эта дыра? :)

подгрузи conntrack ftp модули. имхо, злоумышленник запросит на 21 порту для data открыть 6200 порт =)))

fr_butch ★
(06.07.11 08:37:14 MSK)

Ссылка

Ответ на: комментарий от wintrolls 05.07.11 19:33:35 MSK

Угу, видел. И что? Этот бэкдор работает только если в системе есть пользователь ":)" (Вы много таких встречали?). Тогда да, если зайти под этим логином можно получить шелл на порту 6200.

Вывод - кто-то таким образом показал небезопасность хостера.

qwe ★★★
(06.07.11 09:03:29 MSK)

Ссылка

И что?

На одном из зеркал кто-то подменил исходник и вписал в него троян. Может это был админ зеркала, а может кто-то похакал это зеркало. И все. В исходниках трояна нет, vsftpd как был среди самых надежных, так и остался.

Новость - провокация, большинство комментаторов, ну, скажем так, либо не читали новость либо думали не головой.

Если я щас скачаю исходники ядра, впишу туда троян и выложу на своем зеркале, то, ВНЕЗАПНО, ядро в этом не виновато.

anonymous
(08.07.11 08:47:29 MSK)

Ссылка

Все грамотные одмины (и точно суся) закрывают неиспользуемые портянки. Но то что нет данных как подменили архив - вот загадка. На что тогда логи? А вообще хостеры поменяли небось.

Интересно в будущем сделают все данные и действия с ними шифруемыми? Мощностя то возрастуть.

anonymous
(10.07.11 23:30:06 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 →

←	900 патентов касающихся Android и Chrome перейдут к Miсrosoft и Apple

Безопасность

Вышел gbrainy 2.00

→

Похожие темы