The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор

04.07.2011 15:07

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор сверхзащищенного FTP-сервера vsftpd, опубликовал уведомление об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine (Крис является сотрудником Google).

Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет собой классический бэкдор, запускающий shell на TCP-порту 6200 при указании в имени пользователя смайлика ":)". Код бэкдора не был запутан и легко поддается анализу (изменения составляют около десятка строк). Удивление вызывают непродуманные действия совершивших атаку, которые не предусмотрели в бэкдоре механизма для отправки уведомления о возможности проникновения. Непонятно, как злоумышленники пытались выявить пораженные бэкдором хосты. Средства оповещения и запутывание кода являются непременными атрибутами современных бэкдоров. Все это позволяет сделать вывод, что поражение vsftpd скорее хулиганская выходка, чем целенаправленная атака.

Автор vsftpd настоятельно рекомендует проверять цифровую подпись для всех распространяемых архивов с кодом. В частности, при выполнении "gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается явное предупреждение о нарушении цифровой подписи ("gpg: BAD signature..." вместо "gpg: Good signature..."). Пока не ясно каким образом злоумышленникам удалось взломать аккаунт на хостинге проекта (судя по всему vsftpd размещался на shared-хостинге, поддержка которого осуществлялась сторонней компанией).

Дополнение: Согласно анализу содержимого архива, работа над бэкдором была закончена около 2011-06-30 14:15 UTC, т.е. распространяться с официального сайта проекта он мог около 3-4 дней.

  1. Главная ссылка к новости (http://scarybeastsecurity.blog...)
  2. OpenNews: В трёх популярных плагинах к WordPress обнаружен троянский код
  3. OpenNews: Для Android создано новое вредоносное ПО Plankton. Поражено 10 приложений из Android Market
  4. OpenNews: Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP
  5. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  6. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD (дополнено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/31082-vsftpd
Ключевые слова: vsftpd, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (123) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, indig0z (?), 15:30, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Very, Very Secure FTP =)
     
     
  • 2.87, Аноним123321 (ok), 03:44, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "gpg: BAD signature..." -- какбы намекает нам на то что чам vsftp не поражён

    малоли кто там мог что подменить на download-серверах.... ды даже ваш провайдер может подменить вам некоторые сервера

     

  • 1.4, Аноним (-), 15:37, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    EPIC FAIL
     
     
  • 2.86, solardiz (ok), 03:41, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А по-моему это отличный пример того, что подписи GPG detached signatures на up... большой текст свёрнут, показать
     
     
  • 3.88, solardiz (ok), 08:48, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мое предположение - 1-3 дня.

    По анализу архива, возможно до 3-4 дней: http://www.openwall.com/lists/oss-security/2011/07/05/6

     
  • 2.100, anonymous (??), 14:20, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > EPIC FAIL

    да: для всех, кто не проверяет подписи.

     

  • 1.7, Denisiuk (ok), 15:46, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    в конце окажется, что взломали FTP хостинга, а FTP сервер там был не VS. и разработчики: НУ! О ЧЕМ МЫ  ГОВОРИЛИ??!!!
     
  • 1.11, Аноним (-), 16:07, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это такая скрытая реклама: "Не будет нас, будет как снами!" ))
     
  • 1.12, Аноним (-), 16:09, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Жаль, для таких проектов нужно иметь собственный сервер в стойке ДЦ или надежный хостинг от крупных компаний. А не винить потом хостинг.
     
     
  • 2.15, PavelR (??), 16:25, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты много спонсорской помощи проекту оказал?
    Там кнопка PayPal (было бы желание) слева на сайте есть...
     
  • 2.17, Джон (?), 16:31, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Нда. При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов можно легко проверить что чексуммы не совпадают... Линукс такой линукс... Толи дело freebsd - оно даже не подумает ставить софт, если md5 и sha сорцов не будут оригинальными, которые автор порта вписал в порт в день его создания.
     
     
  • 3.18, koblin (ok), 16:36, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    vsftpd имеет такое же отношение к Linux как и к FreeBSD..
     
     
  • 4.19, nikll (ok), 16:46, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" (кому как нравится) в этом плане.
     
     
  • 5.21, koblin (ok), 16:49, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
    > (кому как нравится) в этом плане.

    Во-первых, в любом линуксовом дистрибутиве есть проверка подписей пакетов. Во-вторых, тут речь идет о распространении исходников программы безотносительно какого-либо дистрибутива или платфоры.

     
  • 5.22, Миксер (?), 16:50, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
    > (кому как нравится) в этом плане.

    Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

     
     
  • 6.33, Аноним (-), 18:09, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    При чём тут исходники, ты их каждый раз на бэкдоры проверяешь перед установкой, что ли? Речь о том, что проверка контрольной суммы (не важно чего, исходников или бинарников) — штука полезная.
     
  • 6.63, Аноним (-), 23:57, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

    И много трушные перцы сорцев перечитали? И как, в вашем, трушном - версия с сплойтом или без? Вы хотя-бы знаете это? :)

     
     
  • 7.95, Mike Lee (?), 12:17, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну я в gentoo проверил сорцы сразу же. ибо пользую vsftpd на продакшене. а sha256 и md5 само проверяется так же как и в хваленой бзде.
     
  • 6.105, Michael Shigorin (ok), 20:21, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

    Ребят, тут рядом про openssh в "последней серверной фре".  Почитайте, а потом продолжайте говорить штампами... если захочется.

     
     
  • 7.109, universite (ok), 23:21, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Толсто.
    Была устаревшая, пятилетней давности, 4-тая ветка.
     
     
  • 8.110, Аноним (-), 00:18, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У бздельников всегда так Попробуйте тоньше Факта наличия дыры это не отменяет... текст свёрнут, показать
     
     
  • 9.114, universite (ok), 00:44, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    То бишь не найден Как найдете - опубликуйте свои исследования Баги есть везд... большой текст свёрнут, показать
     
     
  • 10.126, anonymous (??), 09:40, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а в чём проблема я не понимаю у бздюшников, что ли, принято патчить чем попало... текст свёрнут, показать
     
  • 7.138, nagual (ok), 13:03, 07/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.
    > Ребят, тут рядом про openssh в "последней серверной фре".  Почитайте, а
    > потом продолжайте говорить штампами... если захочется.

    Вообщето 4 версия фри как бы не последняя ... хотя для линуксоидов все может быть :-))

     
     
  • 8.142, Michael Shigorin (ok), 14:26, 07/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я-то знаю, потому и цитата в кавычки забрана Просто труъ -- это не характе... текст свёрнут, показать
     
  • 5.31, Аноним (-), 17:58, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
    > (кому как нравится) в этом плане.

    По современным меркам - уже нет, как тут справедливо заметили, контрольные суммы считаются только при явном указании от мейнтейнера. В отличие от более продуманного линукса, в котором нужно сильно попотеть, чтобы отключить чексуммы :-)

     
     
  • 6.43, жопка3 (?), 21:50, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу же за это скушает
     
     
  • 7.90, nikll (ok), 10:17, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу
    > же за это скушает

    +1 еще ни разу не встречал порты без чексумм, причем там сразу три проверки идет md5 sha256 и размер в байтах, левый архив сорцов не пройдет, фря просто начнет ругатся и откажется ставить этот порт (хотя при желании можно снести файл distinfo и поставить с левого архива, если сииильно хочется то можно и в ногу выстрелить)

    центос просто выводит сообщение о несответствиях чексуммы (среди прочего вывода) и устанавливает (yum -y т.к. палец давить на [y] устанет пока на каждый глупый вопрос ответишь)

     
     
  • 8.99, Аноним (-), 13:42, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О, нормально так А если вам ногу сломать - я тогда наверняка порву вас на стоме... текст свёрнут, показать
     
  • 8.102, anonymous (??), 14:24, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а нормальным людям достаточно gpg 8230 ... текст свёрнут, показать
     
     
  • 9.111, Аноним (-), 00:20, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, пересчитать контрольные суммы - элементарно А вот подогнать цифрову... текст свёрнут, показать
     
  • 6.136, Аноним (-), 21:11, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В отличие от более продуманного линукса, в котором нужно сильно попотеть, чтобы отключить чексуммы :-)

    Для ССЗБ в генте есть FEATURES="digest"

     
  • 5.52, Клыкастый (ok), 22:29, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    при установке из портежей также проверяются чексуммы. проблема не в линуксе. проблема в механизме установки софта. далее вопрос: а если бы взломщики поправили чексуммы?
     
  • 4.20, Лоловой (?), 16:48, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > vsftpd имеет такое же отношение к Linux как и к FreeBSD..

    Да, это так. Но все они, безусловно, имеют отношение к опенсорцу, о котором и речь. И если на фряхе есть защита от такого косяка, то, как удалось выяснить, на fedora 13 нету - там запросто системный инсталер проинсталил софт из пакета с явно битыми чексуммами. Вот вам и лол.

     
     
  • 5.24, koblin (ok), 16:52, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Много где, помимо фряхи, есть такая защита. Непонятно с какой целю ее вытащили из чулана в этом топике.
     
     
  • 6.32, szh (ok), 18:01, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает про подписи в rpm и в deb.
     
     
  • 7.79, Аноним (-), 01:12, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает
    > про подписи в rpm и в deb.

    А потом они еще удивляются когда окружающие считают что бред про freebsd однозначно детектирует школоло.

     
  • 5.26, Alen (??), 17:04, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не знаю про федору, но на ней точно свет клином не сошелся! Попробуй в генте что ни будь установить с различающимися контрольными суммами исходников ибилдов патчей, да хоть файла с инфрмацией о пакете :)
     
     
  • 6.39, коксюзер (?), 19:59, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не знаю про федору, но на ней точно свет клином не
    > сошелся! Попробуй в генте что ни будь установить с различающимися контрольными
    > суммами исходников ибилдов патчей, да хоть файла с инфрмацией о пакете
    > :)

    В генте исходники не подписываются (либо немногочисленные подписи не проверяются автоматически), как и все другие файлы дерева. Если взломщик получил доступ к ебилдам, он и дайджест поправит. Более того, для модификации файлов eclass'ов не нужно даже дайджест менять, поскольку он для eclass'ов не считается. Вот вам и гента. Единственный, сколько-нибудь надёжный способ удостоверить целостность и аутентичность файлов дерева portage - получаеть его снэпшотами через emerge-webrsync с включённой и настроенной фичей webrsync-gpg.

    -- Пользователь Hardened Gentoo

     
     
  • 7.44, вш9 (?), 21:51, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В debian тоже не обязательно иметь хэши в пакете. Пакет ставится и без нихы
     
     
  • 8.65, Аноним (-), 00:00, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Там не только хеш, но и полноценная цифровая подпись Без нее конечно можно пост... текст свёрнут, показать
     
  • 7.45, Alen (??), 21:56, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Где это, уважаемый, я говорил про подписанные исходники?
    Я вообще считаю что абсолютной защиты не существует!
    Однако в данном случае (внесение изменений в уже выложенную версию)
    безопасности генты вполне хватило бы для защиты системы от установки
    попатченной версии.
     
     
  • 8.77, Аноним (-), 01:09, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мечтать не вредно - они уже отгружали UnrealIRCD с сплойтом от Acid Bitches На ... текст свёрнут, показать
     
  • 7.75, Аноним (-), 01:07, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > -- Пользователь Hardened Gentoo

    paxuser, перелогинься.

     
     
  • 8.96, коксюзер (?), 13:06, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А смысл И так ясно, что это я ... текст свёрнут, показать
     
  • 7.119, wechat (?), 02:48, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >-- Пользователь Hardened Gentoo

    Спасибо.

     
  • 6.40, Анон9 (?), 20:02, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Имхо, метадата там генерится на основе скачаных сорцов самим мантейнером. Откуда он скачал этот сорец,  если в ебилде стоит mirror, известно только самому мантейнеру.
     
     
  • 7.78, Аноним (-), 01:11, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > самому мантейнеру.

    Примеры того к чему это ведет - тут: http://www.opennet.ru/opennews/art.shtml?num=26945

     
  • 3.28, t (??), 17:24, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    md5 уже не проверяется, и контрольные суммы не создаются.
    если только мейнтейнер порта явно не перечислит asc-файлы в distinfo.
     
  • 3.29, Аноним (-), 17:56, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов
    > можно легко проверить что чексуммы не совпадают... Линукс такой линукс... Толи
    > дело freebsd - оно даже не подумает ставить софт, если md5
    > и sha сорцов не будут оригинальными, которые автор порта вписал в
    > порт в день его создания.

    Фанатики фрибсд такие фанатики... О линуксе знают только понаслышке, да.
    FYI: в любом нормальном линуксовом дистре для всех пакетов считаются хеши, которые, в свою очередь, подписываются ключами репозитария. Пакетный менеджер (например, rpm), без указания кучи параметров типа (--force --nomd5 --nodigest --nosignature), никогда не поставит битый пакет.

     
     
  • 4.34, Отсутствуют данные в поле Name (?), 18:25, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем  deb?
     
     
  • 5.73, Аноним (-), 01:02, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы,
    > что rpm лучше, чем  deb?

    В указанном случае они однофигственны: оба проверяют чексуммы и подписи.

     
  • 5.120, wechat (?), 02:51, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем  deb?

    Нет.

     
  • 4.42, nagual (ok), 20:24, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так все таки как оно в бинари пролезло ? и как давно ?
     
     
  • 5.64, Аноним (-), 23:57, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Так все таки как оно в бинари пролезло ? и как давно ?

    Где Вы нашли "бинари"? В новости речь идёт о пакете с _исходным кодом_ для которого даже чексумма не сошлась.

     
  • 3.35, анонимомус (?), 18:26, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сгенерить md5 и sha - легко, потом откуда берутся эти хеши, с сайта, который взломали, или со скаченного файла с того же самого сайта? Хеши в основном для проверки, что файл не изменился/не сломался по дороге.

    В арче в pkgbuild'ах тоже прописаны md5, когда хочется собрать пакет с новой версией, обычно скачиваются новые исходники и генерятся хеши.

    Другое дело цифровая подпись, ее без приватного ключа не сгенерить.

     
  • 3.50, Eugene.Shiyanov (?), 22:20, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.
     
     
  • 4.51, Eugene.Shiyanov (?), 22:24, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то я стормозил :) выше об этом уже сказали :)
     
  • 4.72, Аноним (-), 00:59, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.

    Мы уже увидели как гентусятники раздали Unreal IRCD. С бэкдором от AcidBitches. Не вижу что помешает тамошним майнтайнерам повторить подвиг для чуточку более популярного vsftpd.

     
     
  • 5.121, wechat (?), 02:53, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.
    > Мы уже увидели как гентусятники раздали Unreal IRCD. С бэкдором от AcidBitches.
    > Не вижу что помешает тамошним майнтайнерам повторить подвиг для чуточку более
    > популярного vsftpd.

    Ты хотя бы Gentoo живую в глаза собственную видел?

     

  • 1.25, Аноним (-), 16:55, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    запускающий shell на TCP-порту 6200 при наличии в имени пользователя смайлика ":)"
    так далеко не в каждом имени пользователя есть смайлик ...
     
     
  • 2.27, анонимный аноним (?), 17:09, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так шелл был вставлен в функцию str_contains_space. Т.е. передаем имя несуществующего пользователя содержащего ":)" и вперед, поднимается бэкдор.
     
  • 2.71, Аноним (-), 00:56, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > так далеко не в каждом имени пользователя есть смайлик ...

    Так далеко не каждый пользователь - хаксор :)

     

  • 1.30, Имени нету (?), 17:57, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ("gpg: BAD signature..." вместо "gpg: Good signature...")

    Спасибо, Кэп.

     
  • 1.36, Аноним (-), 19:47, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно почему ":)" доступно в именах пользователя. Я думал ':' - это запрещённый символ в UNIX-именах пользователя, т.к. им обычно разделяют имя пользователя от имени группы.
     
     
  • 2.38, Sylvia (ok), 19:54, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а пользователь не обязательно должен существовать, в строке ввода должен присутствовать смайлик, этого достаточно ;)
     
  • 2.53, Клыкастый (ok), 22:32, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Странно почему ":)" доступно в именах пользователя. Я думал ':' - это
    > запрещённый символ в UNIX-именах пользователя, т.к. им обычно разделяют имя пользователя
    > от имени группы.

    Всё логично: легальные пользователи не взведут случайно бэкдорный шелл.

     
     
  • 3.57, yopt (ok), 23:23, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Всё логично: легальные пользователи не взведут случайно бэкдорный шелл.

    случайно постучавшись на порт 6200. а так да

     
     
  • 4.83, WhiteWind (ok), 03:01, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    FTP работает на стандартном порту, на 6200 открывается шелл
     

  • 1.37, Sylvia (ok), 19:52, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    учитывая то, что бэкдор не претендует на серьезность, это просто демонстрация того, что стоит больше уделять внимания размещению кода в безопасном месте и проверке контрольных сумм и подписей, ну а vsftpd был замечательным выбором еще и потому, что претендует на звание самого защищенного ftp сервера.
    Подписывать и проверять по умолчанию нужно всё, а то многие (даже дистрибутивная политика бывает) доверяют просто размещению файлов на зеркале, не беря во внимание то, что зеркало может быть взломано или еще каким либо образом организована подстава с подменой файлов. Год-полгода назад дебиан вспоминали, что можно было с зеркала скармливать старые дырявые пакеты, но проходящие проверку подписи.
     
     
  • 2.47, Аноним (-), 22:12, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно те кто сильно много верещит о безопасности, потом за это страдают. Это как красная тряпка для быка. Безопасность всех ресурсов заявлявшего скорее всего досканально проверят. Не пострадал за это разве что D.J. Berstein, который свое дело знал и выплачивал премию только 1 раз :)
     
     
  • 3.60, Аноним (-), 23:49, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А причём здесь dj? Ошибку же не в исходном коде vsftpd нашли, а в его хостинге.
     
     
  • 4.70, Аноним (-), 00:55, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > а в его хостинге.

    "Безопасность имеет 2 уровня: hi и нехай".

     
     
  • 5.93, Аноним (-), 10:57, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы доверяете своему провайдеру DNS? :)
     
     
  • 6.112, Аноним (-), 00:36, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мы доверяем, но проверяем В случае каких либо подозрений делается многоточечная... большой текст свёрнут, показать
     

  • 1.41, Пиу (?), 20:07, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    $ cat /usr/portage/net-ftp/vsftpd/Manifest | grep vsftpd-2.3.4.tar.gz
    DIST vsftpd-2.3.4.tar.gz 187043 RMD160 4097b495b5b03833e18b1639931939c3176e498b SHA1 b774cc6b4c50e20f4fe9ca7f6aa74169ce7fe5ea SHA256 b466edf96437afa2b2bea6981d4ab8b0204b83ca0a2ac94bef6b62b42cc71a5a
    $


    В нормальных дистрах всё ок.

     
  • 1.46, Аноним (-), 22:08, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > судя по всему vsftpd размещался на shared-хостинге

    Еще один дятел проверил на себе что бывает когда соседнего пионера разломали? Малацца, шареды рулят. Если, конечно, вы за команду хакеров болеете, а не за команду админов сайтов :)

     
  • 1.48, Аноним (-), 22:13, 04/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объясните мне в чем сила цифровой подписи ? Чем она может помочь в случае взлома сервера ? Если бы взломавший не только vsftpd-2.3.4.tar.gz заменил, но и на коленке своим приватным ключом создал фиктивный vsftpd-2.3.4.tar.gz.asc, который бы при проверке писал, что сигнатура нормальная. Какой момент я упускаю ?
     
     
  • 2.49, Аноним (-), 22:16, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В продолжение. Для дистрибутивов все ясно, проверочный публичный ключ изначально идет в комплекте. Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть.
     
     
  • 3.56, Аноним (-), 23:05, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть.

    Во-первых, лично я там его не нашел, киньте ссылку плз?
    Во-вторых, каким нужно быть идиотом, чтобы брать публичный ключ с сервера разработчика? Все публичные ключи должны находиться в sks-пуле, и вытягиваются оттуда автоматически.

     
  • 2.55, Аноним (-), 23:02, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Объясните мне в чем сила цифровой подписи ? Чем она может помочь
    > в случае взлома сервера ? Если бы взломавший не только vsftpd-2.3.4.tar.gz
    > заменил, но и на коленке своим приватным ключом создал фиктивный vsftpd-2.3.4.tar.gz.asc,
    > который бы при проверке писал, что сигнатура нормальная. Какой момент я
    > упускаю ?

    К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым ключом.
    Информация к размышлению: закрытый ключ можно и нужно хранить так, чтобы злобный дядя при всем желании не смог бы его получить. А без этого ключа корректную подпись он не сделает.

     
     
  • 3.58, Аноним (-), 23:43, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Информация к размышлению: закрытый ключ можно и нужно хранить так, чтобы злобный
    > дядя при всем желании не смог бы его получить. А без
    > этого ключа корректную подпись он не сделает.

    Вы не поняли. Закрытый ключ здесь вообще не причем. Мне не нужен чужой закрытый ключ, когда я могу сгенерировать на коленке свой закрытый ключ, сделать vsftpd-2.3.4.tar.gz.asc на основе своего ключа и заменить лежащий неподалеку публичный колюч, которым осуществляется проверка.

     
     
  • 4.61, Аноним (-), 23:52, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые ключи удалять нельзя) и подделать все подписи доверенных людей на ключе.
     
     
  • 5.68, Аноним (-), 00:53, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые
    > ключи удалять нельзя) и подделать все подписи доверенных людей на ключе.

    А также удалить все ключи у тех кто их уже скачал и объяснить почему ключ изменился :).

     
  • 3.59, Аноним (-), 23:48, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым
    > ключом.

    К сожалению, вы ничего не понимайте в механизмах социальной инжинерии. Для того чтобы создать иллюзию успешной проверки не нужно иметь доступ к оригинальному закрытому ключу, можно подсунуть фиктивную подпись.

     
     
  • 4.62, Аноним (-), 23:55, 04/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым
    >> ключом.
    > К сожалению, вы ничего не понимайте в механизмах социальной инжинерии. Для того
    > чтобы создать иллюзию успешной проверки не нужно иметь доступ к оригинальному
    > закрытому ключу, можно подсунуть фиктивную подпись.

    Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать другие люди, удостоверяя тем самым его подлинность, плюс у всех ключей есть уникальный отпечаток который обычно публикуется не на одном сервере.

     
     
  • 5.66, Аноним (-), 00:01, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать
    > другие люди, удостоверяя тем самым его подлинность, плюс у всех ключей
    > есть уникальный отпечаток который обычно публикуется не на одном сервере.

    Ну елки палки, разжёвываю. Если удалось подменить архив, то можно подписать его _другим_ ключом, который также будет доступен, но это будет другой ключ. Когда вы запустите gpg vsftpd-2.3.4.tar.gz.asc, он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики.

     
     
  • 6.67, Аноним (-), 00:43, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики.

    Собственно, на этом история "взлома" и закончится, коварный злодейский замысел будет раскрыт. Криптография в действии.

     
     
  • 7.80, Аноним (-), 02:25, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Собственно, на этом история "взлома" и закончится, коварный злодейский замысел будет раскрыт.
    > Криптография в действии.

    И каким образом "криптография в действии" поможет определить подставной характер того файла Васе Пупкину, попытавшемуся первый раз скачать и проверить архив ? Ситуация обсуждается, когда все постоянные пользователи и дистростроители давно скачали и проверили архив ещё до его замены, замены была совершена спустя пол года после релиза.

     
     
  • 8.84, Аноним (-), 03:30, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Для юзеров придуманы репы Если вы совсем уж Пупкин, на кой черт вам сорц Так и... текст свёрнут, показать
     
  • 6.69, Аноним (-), 00:54, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ключ и этот ключ будет _другим_ ключом,

    ... после чего у окружающих будет много вопросов - а какого, собственно, не подходит старый ключ?!

     
     
  • 7.81, Аноним (-), 02:29, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ... после чего у окружающих будет много вопросов - а какого, собственно,
    > не подходит старый ключ?!

    Для этого и ломают через полгода после релиза, чтобы постоянных клиентов отсеять и максимально затянуть факт обнаружения. Речь не о том, что кто-то заметит. А о том, что файл с цифровой подписью не для всех на 100% гарантирует оригинальность релиза. В вашем случае вы слепо доверяйте подобным проверкам и я привел пример возможного вектора атаки.

     
     
  • 8.94, Аноним (-), 11:01, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы привели всем известную очевидную вещь о которой GPG кричит при любой проверке... большой текст свёрнут, показать
     
     
  • 9.97, Аноним (-), 13:10, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И кто мешает взломщику использовать свой полноценный заверенный ключ Ключ злоу... текст свёрнут, показать
     
     
  • 10.113, Аноним (-), 00:38, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное, 1 Необходимость чтобы этот ключ заверили, а это еще не факт что сдел... текст свёрнут, показать
     
     
  • 11.125, Аноним (-), 09:15, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С этим никак проблем, можно и украденный ключ использовать, их тонны можно набра... текст свёрнут, показать
     

  • 1.76, bircoph (ok), 01:09, 05/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проверил у себя на серверах с Gentoo:

    1) Бэкдор не работает. 2) Аудит кода обработки пароля подозрительного ничего не выявил. 3) Контрольные суммы тарбола совпадают с чистыми.

     
     
  • 2.82, Клыкастый (ok), 02:34, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Проверил у себя на серверах с Gentoo:

    чётко. значит не успели черпануть. с другой стороны в полный росто встаёт вопрос: если планируется выходить на серьёзный уровень требуется аудит кода.

     
     
  • 3.85, Аноним (-), 03:31, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут с серверов что попало.
     
     
  • 4.92, Клыкастый (ok), 10:50, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    в FreeBSD есть секурити тим и аудит пакетов - хотя казалось бы та же петрушка.
    в генте контрольные суммы в количестве 3 штук лежат на ИХ серверах. Т.е. чтобы стянуть и поставить ломаную версию не так просто. Другое дело если в портежи добавят уже ломаный софт. Опять возвращаемся к исходной мысли: не так важно откуда тянется софт. Важно чтобы была служба, которая хотя бы подобие анализа проводит. Этого зачастую нет, посему это - слабое место. И бить будут туда. Слом серверов разработчиков - раз. А при хорошей оплате и казачка засланного в команду разработчиков можно.
     
  • 4.98, Аноним (-), 13:12, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут
    > с серверов что попало.

    угу, а еще держат протухший софт и сами пытаются бекпартировать секюрные патчи, в результате получаем такие истории как: дебиан и экзим.

     
     
  • 5.115, Аноним (-), 00:50, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В случае дебиана - не все так однозначно их програмеры увидели возможную оптими... большой текст свёрнут, показать
     
     
  • 6.122, bircoph (ok), 03:15, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее, авторы openssl не стали включать эту возможность в апстрим, а не на пустом месте. Они просто отписались дебиану в духе ну можно, ну делайте под вашу ответственность. Ну вот и сделали.
     
  • 6.129, anonymous (??), 09:55, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    поразительно, сколько слов, маскирующих неправду а теперь правда 8212 как её... большой текст свёрнут, показать
     
     
  • 7.131, Аноним (-), 13:01, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы передергивайте, "отладка" - лишь цепляние к словам и отговорка. В том коде черт ногу сломит и никаких комментариев по поводу отсутствия инициализации для формирования энтропии. Реально, разработчики OpenSSL сами давно забыли о том, что у них совершенно неявно энтропия формируется. И ни при каком анализе патчей ничего выявлено небыло, столкнулись с глюком и после долгих разбирательств нашли причину. А ваше упоминане "любого вменяемого человека, который немного понимает в криптографии" доказывает, что вы даже не заглядывали в тот код и не разбирались в чем суть патча, так потрепаться на пустом месте вылезли, отрывочными знаниями и домыслами блеснуть.
     
     
  • 8.132, anonymous (??), 14:22, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    дадада когда говорят 171 для отладки можно 187 8212 это, конечно, значит... текст свёрнут, показать
     
     
  • 9.134, Аноним (-), 17:52, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы желчью попусту не истекайте, а вместо пустого трепа ссылку про упоминание тол... текст свёрнут, показать
     
     
  • 10.135, anonymous (??), 18:11, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я и не собираюсь тратить время на повторные поиски успокойся, всё нормально, бе... текст свёрнут, показать
     
  • 8.133, anonymous (??), 14:24, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    кстати, камент выше 8212 реакция типического бебианщка 171 в гуано могут в... текст свёрнут, показать
     
  • 3.106, Michael Shigorin (ok), 20:31, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > если планируется выходить на серьёзный уровень требуется аудит кода.

    Именно этим альт примерно до Master 2.4 включительно и занимался, в числе прочего... (ldv@ и inger@, чтоб быть точным)

     

  • 1.91, Axel (??), 10:46, 05/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По-любому vsftpd ze best.
     
     
  • 2.104, Аноним (-), 15:06, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SFTP the best. FTP/TELNET/RLOGIN - каменный век.
     
     
  • 3.107, Michael Shigorin (ok), 20:33, 05/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > SFTP the best. FTP/TELNET/RLOGIN - каменный век.

    Для анонимной отдачи годится, хотя латентность у HTTP поменьше.  А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю (кроме широкой доступности ftp-клиентов, в т.ч. интегрированных, на виндах всяких).

     
     
  • 4.118, Sergey Kovalyov (?), 01:29, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю

    Нагрузка на проц (из-за ssh) на хорошем канале?

     
     
  • 5.137, Michael Shigorin (ok), 21:15, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю
    > Нагрузка на проц (из-за ssh) на хорошем канале?

    Ммм... да, ты прав, на десятке и без сжатия упирается в одно ядро 2.93GHz (95..99% на обеих сторонах при ~82..84Mb/s).  Но если бы в подобных ограниченных окружениях была типична такая задача (т.е. для начала поверх TCP и вообще эзернетных кадров), то начинал бы с просто rsync://.

    BTW помнится, кто-то ковырял openssh насчёт как раз или слишком коротких (на кластерах), или слишком длинных (internet2), но в обоих случаях весьма толстых каналов.

     
  • 5.139, nagual (ok), 13:06, 07/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю
    > Нагрузка на проц (из-за ssh) на хорошем канале?

    Если это интел атом то и нагрузка на проц от ssh и нагрузка на проц от сетевой и агрузка на проц от контролера sata ... в нем же все девайсы как софтмодем.

     
     
  • 6.143, Michael Shigorin (ok), 14:29, 07/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > atom [...] в нем же все девайсы как софтмодем.

    AFAIK нет, просто слабенький CPU не так скрадывает ущербность какого rtl8168.

     
  • 3.116, Аноним (-), 00:51, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > SFTP the best.

    Не всегда. Попробуйте гигабитный канал, да еще с слабого нетбука например? Когда все упрется в шифрование а не в канал - будет не прикольно, да :). Особенно смешно если нетбук и машина прямым проводом соединены. В общем глупо утверждать что 1 размера хватит всем.

     

  • 1.108, Аноним (-), 23:15, 05/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то бекдор не работает На любые команды ругается command not found bin l... большой текст свёрнут, показать
     
     
  • 2.117, Аноним (-), 00:52, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то бекдор не работает. На любые команды ругается:

    Use strace, Luke!

     
     
  • 3.123, Аноним (-), 05:11, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да нифига он не работает в том виде что он есть. Ну то есть соединение принимает, но ничего запустить из него не возможно.
     
     
  • 4.124, Аноним (-), 05:18, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да нифига он не работает в том виде что он есть. Ну
    > то есть соединение принимает, но ничего запустить из него не возможно.

    А не работает, но как-то частично. Нормально только echo заработало, типа:
    echo aaa > /tmp/1.log
    или echo $PWD

    Остальные башевские команды почему-то не работают.

     
     
  • 5.127, anonymous (??), 09:42, 06/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А не работает, но как-то частично. Нормально только echo заработало, типа:
    > echo aaa > /tmp/1.log
    > или echo $PWD
    > Остальные башевские команды почему-то не работают.

    наверное потому, что ls и ты пы — вовсе не «башевские команды», и, видимо, демон предварительно чрутнулся: чтобы вот таким вот бэкдорам маленько кайф поломать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру