The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.12.2010 19:02  Взлом сервера проекта ProFTPD привел ко внедрению бэкдора

Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Интегрированный в код сервера бэкдор позволял получить shell-доступ к системе с правами суперпользователя, после ввода FTP-команды "HELP ACIDBITCHEZ". При запуске, модифицированный сервер отправлял уведомление на определенный IP в Саудовской Аравии, давая знать о готовности принять команды злоумышленников.

Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта - в версии 1.3.3c была исправлена опасная уязвимость, важность которой была недооценена разработчиками. Бэкдор был внедрен 28 ноября в 20:00 (UTC), а обнаружен только вечером первого декабря.

Проверить уязвимость своего сервера, можно при помощи следующей последовательности команд:



   $ telnet 1.2.3.4 21
   Trying 1.2.3.4...
   Connected to 1.2.3.4
   Escape character is '^]'.
   220 ProFTPD 1.3.3c Server (ProFTPD Default Installation) [1.2.3.4]
    
   HELP ACIDBITCHEZ
 
   id ;
 
   uid=0(root) gid=0(root) groups=0(root),65534(nogroup)

Дополнение: появилась информация, что взлом мог быть совершен через новую (zero-day) уязвимость в модуле ProFTPD, используемом для аутентификации на SQL-сервере. Исправление для данной уязвимости пока не выпущено.

  1. Главная ссылка к новости (http://sourceforge.net/mailarc...)
  2. OpenNews: Вышел ProFTPD 1.3.3c с исправлением уязвимости
  3. OpenNews: Доступен релиз ProFTPD 1.3.2 с устранением уязвимости
  4. OpenNews: Обновление ProFTPD 1.3.1
  5. OpenNews: Удаленное выполнение кода в ProFTPD mod_tls
  6. Безнадежные с точки зрения безопасности программы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: proftpd, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, bootforce, 19:32, 02/12/2010 [ответить] [смотреть все]
  • –14 +/
    Ну вот и пришел опенсурс к успеху, известности и популярности Дыры посыпались о... весь текст скрыт [показать]
     
     
  • 2.5, Maris, 19:45, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Может я конечно ошибаюс, но ProFTPD сравнително давно и известен и популярен.
     
     
  • 3.20, deadless, 21:58, 02/12/2010 [^] [ответить] [смотреть все]  
  • +6 +/
    Вот именно сравнительно давно известен как дырявое корыто. везде стоит только vsftpd и ничего другого.
     
     
  • 4.47, Hety, 14:19, 03/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    1 С тех пор, как появился vsftpd ничего другого использовать нет возможности ... весь текст скрыт [показать]
     
     
  • 5.57, Анон, 08:09, 04/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Совесть побоку, главное чтобы инфа конторы не уплыла в неизвестном направлении.
     
  • 2.11, Аноним, 20:49, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Вообще-то он всю дорогу дырявый
     
  • 2.13, Аноним, 21:22, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Пришел Проприетарные FTP сервера вообще нигде не используются - FTP всю жизнь р... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, User294, 22:24, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Хоть вам бы и хотелось обосрать опенсорц, но правда жизни немного не такая И со... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Konstantin, 08:11, 03/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Правда жизни в том, что 5 дней распространялись сорцы с трояном Такое тоже рань... весь текст скрыт [показать]
     
     
  • 4.39, anonymous, 09:54, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Да было такое Попытки в мохнатых 1990-х подменить архивы tcpwrapper Вовремя за... весь текст скрыт [показать]
     
  • 4.45, Аноним, 13:32, 03/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот Вы меня проприетарщики поражаете Неужели Вы верите что до Microsoft жизни н... весь текст скрыт [показать]
     
  • 4.50, User294, 14:44, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Да, было А что в этом такого принципиально невозможного ... весь текст скрыт [показать]
     
  • 4.55, Аноним, 21:22, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Проприетарщина с троянами и вирусами распространялась годами...
     
     
  • 5.59, Michael Shigorin, 17:35, 04/12/2010 [^] [ответить] [смотреть все]  
  • +/
    В том числе и на официальных болванках не раз и не два ЕМНИП Microsoft Ireland... весь текст скрыт [показать]
     
  • 3.44, bootforce, 13:14, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    зачем мне его обсирать, если это мой хлеб я просто слежу за тенденциями, которы... весь текст скрыт [показать]
     
     
  • 4.52, User294, 19:18, 03/12/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Не знаю А в чем фокус - заявить посыпались дыры хотя у proftpd проблемы с сек... весь текст скрыт [показать]
     
     
  • 5.60, bootforce, 17:57, 04/12/2010 [^] [ответить] [смотреть все]  
  • +/
    ну я вообще про опенсурс написал же, а не про профтпд конкретно
     
  • 2.58, К.О., 16:08, 04/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    С IIS все равно не сравнится.
     
  • 1.2, botman, 19:33, 02/12/2010 [ответить] [смотреть все]  
  • +1 +/
    Юные читатели журналов "Хакер" атакуют?
     
     
  • 2.6, Аноним, 19:57, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Ага, разбежался они только с т в коментах А эти ACIDBITCHES перед этим как ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, ххх, 17:41, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    в ядре чего ... весь текст скрыт [показать]
     
  • 3.53, User294, 21:07, 03/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Еще, судя по всему, те же кислотные сучки вбросили и бэкдор в Unreal IRCD http ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 19:41, 02/12/2010 [ответить] [смотреть все]  
  • +19 +/
    "Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта ProFTPD."

    Сапожники блин, насмешили :-D

     
  • 1.8, Анон, 20:22, 02/12/2010 [ответить] [смотреть все]  
  • +1 +/
    Что зачастили со взломом opensource'а. Хотя не opensource итого чаще ломают.
    От последнего обзаца улыбнуло: ProFTPD несвоевременно обновили ProFTPD.:))
     
     
  • 2.56, PereresusNeVlezaetBuggy, 02:19, 04/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так это ресурс сей вроде бы в первую очередь про опенсорс пишет, не А о дырк... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 20:32, 02/12/2010 [ответить] [смотреть все]  
  • +/
    ProFTPD всегда был дырой
     
  • 1.16, вывуыф, 21:26, 02/12/2010 [ответить] [смотреть все]  
  • +1 +/
    я собирал из портов фряхи профтп как раз где-то 28-29 ноября 1.3.3с тарбол в distfiles, чексуммы в норме, уязвимости нет, видимо не с официального сервера качалось, повезло)
     
     
  • 2.28, Аноним, 00:24, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    1 3 3с в портах от 4-го числа ноября http www freshports org ftp proftpd , ... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Аноним, 21:34, 02/12/2010 [ответить] [смотреть все]  
  • +2 +/
    Это какими надо быть разгильдями чтобы про дыру трезвонить везде всему интернету... весь текст скрыт [показать]
     
     
  • 2.21, deadless, 22:03, 02/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    потому что пишут клоуны, им бы Тео прочитал бы лекцию часов эдак на 5 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Иван, 09:47, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    А вы сами сразу обновляете ПО Сразу после выхода новой версии патча Тогда наве... весь текст скрыт [показать]
     
     
  • 4.42, splat_pack, 11:24, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    я укаждое утро открываю почту и вижу там отчет о том какой варез требуецо обновн... весь текст скрыт [показать]
     
     
  • 5.54, User294, 21:11, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    А если лень читать - то уж хотя-бы пакетный манагер то пнуть можно, это ж просто... весь текст скрыт [показать]
     
  • 1.24, Аноним, 23:22, 02/12/2010 [ответить] [смотреть все]  
  • +2 +/
    Они похоже исходники пересобрали, а сервер забыли перезапустить или их еще раз с... весь текст скрыт [показать]
     
     
  • 2.33, Аноним, 07:39, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Только что прбовал :)  убрали
     
  • 1.25, anonymous_peer, 23:42, 02/12/2010 [ответить] [смотреть все]  
  • –4 +/
    1 Взломали сервер проекта, чтобы подменить архив с исходными текстами программы... весь текст скрыт [показать]
     
     
  • 2.27, zazik, 00:09, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Насчёт множества я бы не говорил, у множества, я надеюсь, vsftpd или нечто подоб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, anonymous_peer, 02:55, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Ну, у одного множества 8212 ProFTPD, у другого 8212 vsftpd Про большинств... весь текст скрыт [показать]
     
  • 2.32, szh, 03:12, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Трололо, на серверах Линукса десятки процентов уже на протяжении 8 лет, обрати н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Аноним, 10:40, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    А зачем десяткам процентов линуксов на серверах файрфокс, хорг, опеноффис, все... весь текст скрыт [показать]
     
     
  • 4.43, szh, 12:18, 03/12/2010 [^] [ответить] [смотреть все]  
  • +/
    десяткам процентов на серверах на прямую не нужны Мы тут ProFTPD обсуждаем, а н... весь текст скрыт [показать]
     
  • 2.48, Клыкастый, 14:22, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    вы прямо слово как инопланетянин взломы были, есть и будут отличие в том, что ... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (6)

  • 1.26, zazik, 00:08, 03/12/2010 [ответить] [смотреть все]  
  • +4 +/
    Не судьба им была vsftpd поставить. Теперь расплачиваются.
     
     
  • 2.35, аноним_, 09:09, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Круто позабавил, настроение с утра поднял
     
  • 2.30, Кир, 02:09, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Дооо, Апач -- такой совершенно никому не известный сервер, и сплошь дырявый, ну ... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, тоже Аноним, 14:06, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Я вам больше скажу весь софт - одна большая дыра Совершенно безглючных програм... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, bircoph, 09:20, 03/12/2010 [ответить] [смотреть все]  
  • +/
    > Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD

    Замечу, не какого-то там проекта, а ProFTPD, из-за несвоевременного обновления ни чего-то там, а ProFTPD! Да они должны были первыми обновиться. Epic FAIL.

    /me продолжает довольно использовать vsftpd.

     
  • 1.37, Амнезинус, 09:46, 03/12/2010 [ответить] [смотреть все]  
  • +1 +/
    >ACIDBITCHEZ

    хм, это те самые ребята, которые под видом тестового эксплоита парили троян? :)

     
     
  • 2.40, Амнезинус, 09:58, 03/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://www.opennet.ru/opennews/art.shtml?num=27979 вот этот
     
  • 1.62, Любящий мыслить, 20:16, 07/12/2010 [ответить] [смотреть все]  
  • +/
    А у меня постоянно тырят инфу с vsftpd. Сначала воруют у юзеров пароли, а потом с фтп скачивают. Было даже финальный релиз какого то проекта стырили вместе с дистрибутивом визуальной студии.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList