OpenNews: Выявлен факт подстановки бэкдора в код phpMyAdmin на одном из зеркал SourceForge.net

25.09.2012 23:29 Выявлен факт подстановки бэкдора в код phpMyAdmin на одном из зеркал SourceForge.net

Разработчики свободного проекта phpMyAdmin заявили о выявлении факта распространения на одном из зеркал SourceForge.net модифицированного архива phpMyAdmin-3.5.2.2-all-languages.zip, в который был внедрён бэкдор. Поражёнными оказались системы пользователей, которые при загрузке с официального сайта phpMyAdmin были перенаправлены на зеркало cdnetworks-kr-1.

Вредоносный код был внедрён через добавление файла server_sync.php и позволял злоумышленнику выполнить произвольный код на сервере. Кроме того, злоумышленниками был модифицирован файл js/cross_framing_protection.js. Всем пользователям рекомендуется проверить присутствие файла server_sync.php в установленных копиях phpMyAdmin и при его наличии переустановить phpMyAdmin c заслуживающего доверия зеркала.

Представители хостинга SourceForge.net признали факт компрометации одного из серверов в системе зеркал и инициировали доскональное разбирательство по данному инциденту. В настоящее время зеркало cdnetworks-kr-1 удалено из системы доставки контента SourceForge.net. Владелец проблемного зеркала подтвердил информацию об атаке на сервер и указал на то, что взлом был совершён приблизительно 22 сентября. Проверка по контрольным суммам показала, что злоумышленниками был подменён только файл phpMyAdmin-3.5.2.2-all-languages.zip, остальные архивы на зеркале не пострадали. Судя по логу, архив с вредоносным ПО успели загрузить приблизительно 400 пользователей.

исправить +15 +/–

Главная ссылка к новости (http://sourceforge.net/blog/ph...)

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: security, backdoor, phpmyadmin

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Zenitur, 23:42, 25/09/2012 [ответить] [смотреть все]	+1 +/–
Как они так быстро обнаруживают подмену исходного кода? Это не первая новость о подмене исходного кода, в которой подмену обнаружили очень быстро. Если с http://kernel.org/ всё понятно, то в менее популярных программах я не могу понять, как подмену исходного кода обнаруживают так быстро. Сегодня скачивал с sourceforge.net несколько архивов с исходным кодом. У этой программы было всего лишь 150 скачиваний исходного кода и около 10 тысяч скачиваний бинарников.

2.2, ovg, 23:48, 25/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Какие бинарники? Он на PHP деланный.

3.3, Анонимус42, 00:04, 26/09/2012 [^] [ответить] [смотреть все]	–3 +/–
Имеется ввиду установочная часть.

2.5, all_glory_to_the_hypnotoad, 00:31, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+8 +/–
Вот ставишь это мускульное дерьмо на какой-нибудь генте, а оно говорит - сука, не совпадает sha1 ;-(

3.29, тигар, 09:41, 26/09/2012 [^] [ответить] [смотреть все]	+1 +/–
tiger laptop cat usr ports databases phpmyadmin distinfo SHA256 phpMyAdmi... весь текст скрыт [показать]

4.36, Аноним, 10:17, 26/09/2012 [^] [ответить] [смотреть все]	+3 +/–
не, в генте это не совсем тривиально, т е просто сказать нельзя, ну или по край... весь текст скрыт [показать]

5.40, тигар, 10:49, 26/09/2012 [^] [ответить] [смотреть все]	+3 +/–
так в этом вся и прелесть подобных систем дистрибутивов, что ногу прострелить мо... весь текст скрыт [показать]

6.70, BratSinot, 22:21, 26/09/2012 [^] [ответить] [смотреть все]	–3 +/–
В этом не прелесть, а кривость. Если я хочу что-то сделать, я это сделаю.

7.75, тигар, 23:19, 26/09/2012 [^] [ответить] [смотреть все]	+/–
да ладно аналогичный пример пропасть, ограждение ты через него перелазишь ... весь текст скрыт [показать]

4.54, Аноним, 15:47, 26/09/2012 [^] [ответить] [смотреть все]	+/–
Палишься, ыксперт ... весь текст скрыт [показать]

5.57, тигар, 15:49, 26/09/2012 [^] [ответить] [смотреть все]	+/–
палюсь, прости, в чем, аптгетинсталлер ты наш ... весь текст скрыт [показать]

6.62, Michael Shigorin, 18:29, 26/09/2012 [^] [ответить] [смотреть все]	+/–
В полном отсутствии понимания модели угрозы ... весь текст скрыт [показать]

7.67, тигар, 21:06, 26/09/2012 [^] [ответить] [смотреть все]	+/–
из чего вывод сделан буду рад цитатам, доказывающим, что это утверждение не ест... весь текст скрыт [показать]

8.78, Michael Shigorin, 02:21, 27/09/2012 [^] [ответить] [смотреть все]	+/–
Из 40 целиком Предлагаю домашнее задание подумать, откуда берётся тарбол и хэ... весь текст скрыт [показать]

9.84, тигар, 07:51, 27/09/2012 [^] [ответить] [смотреть все]	+/–
ну не все же кругом тупые, попробуй представить себе такое из интернетов они из ... весь текст скрыт [показать]

10.89, Michael Shigorin, 14:06, 27/09/2012 [^] [ответить] [смотреть все]	+/–
Два балла Нет Да тарбол -- с зеркала, хэш -- с сайта Доступ на запись к эти... весь текст скрыт [показать]

11.91, тигар, 00:16, 28/09/2012 [^] [ответить] [смотреть все]	+/–
смс с хэшем от того кто паковал или сайт интернет в общем случае что нет... весь текст скрыт [показать]

2.16, Аноним, 03:48, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
это сила 1 среди 400 скачавших пользователей, 4 всё равно догадаются проверить... весь текст скрыт [показать] [показать ветку]

3.44, Клыкастый, 11:54, 26/09/2012 [^] [ответить] [смотреть все]	+2 +/–
остальные 396 виндовсятнеков до сих пор не в курсе ... весь текст скрыт [показать]

4.47, terr0rist, 12:59, 26/09/2012 [^] [ответить] [смотреть все]	+4 +/–
а ведь ты прав, ибо архивы zip скорее всего кроме виндовсятнеков никто не скачи... весь текст скрыт [показать]

5.72, Pilat, 23:08, 26/09/2012 [^] [ответить] [смотреть все]	–6 +/–
Скорее всего в zip было проще добавить файл, не перепаковывая архив tar gz этог... весь текст скрыт [показать]

6.76, ILYA INDIGO, 23:32, 26/09/2012 [^] [ответить] [смотреть все]	+/–
Начнём с того, что линуксоиды сами себе устанавливают нужный им софт, а не прося... весь текст скрыт [показать]

7.85, тигар, 09:44, 27/09/2012 [^] [ответить] [смотреть все]	+/–
щито сурове однинэ не умеют делать вливать дамп без pma alter ить тоже не на... весь текст скрыт [показать]

6.79, Michael Shigorin, 02:23, 27/09/2012 [^] [ответить] [смотреть все]	+/–
Давайте встретимся ... весь текст скрыт [показать]

6.82, arisu, 03:13, 27/09/2012 [^] [ответить] [смотреть все]	+2 +/–
тебя где-то жестоко обманули, это были не линуксоиды ... весь текст скрыт [показать]

4.55, Аноним, 15:48, 26/09/2012 [^] [ответить] [смотреть все]	+/–
С точки зрения товарищмайора есть как минимум с десяток будущих подследственных,... весь текст скрыт [показать]

2.24, Аноним, 08:22, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
Меня больше удивляет как на одном из зеркал могла находиться копия отличающаяся ... весь текст скрыт [показать] [показать ветку]

3.43, Клыкастый, 11:53, 26/09/2012 [^] [ответить] [смотреть все]	+/–
упаси аллах чтоб оно на остальные переползло КС проверяется у конечного пользо... весь текст скрыт [показать]

1.4, grayich, 00:10, 26/09/2012 [ответить] [смотреть все]	+6 +/–
вывод - не игнорируйте сверку md5

2.6, Xasd, 00:34, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
даж не знаю как это делать в венде - в Command Prompt такой команды нет как ... весь текст скрыт [показать] [показать ветку]

3.7, Andrew, 00:47, 26/09/2012 [^] [ответить] [смотреть все]	+3 +/–
Например вот так http www implbits com hashtab aspx ... весь текст скрыт [показать]

4.9, Аноним, 01:07, 26/09/2012 [^] [ответить] [смотреть все]	+/–
Что за бред Не стыдно на опеннете такую ссылку постить Пусть компилит из сырцо... весь текст скрыт [показать]

5.20, Аноним, 05:25, 26/09/2012 [^] [ответить] [смотреть все]	+2 +/–
ты чего такой серьезный?

3.8, Аноним, 01:05, 26/09/2012 [^] [ответить] [смотреть все]	+/–
есть total commander Правда он кроме CRC16 32 , md5, и sha1 не считает ничего ... весь текст скрыт [показать]

4.53, Аноним, 15:30, 26/09/2012 [^] [ответить] [смотреть все]	+1 +/–
Понабежали виндузятники md5sum наше все

3.11, анон, 01:25, 26/09/2012 [^] [ответить] [смотреть все]	+/–
php -n -r echo hash md5 ,file_get_contents phpMyAdmin-3 5 2 2-all-languages zi... весь текст скрыт [показать]

4.22, Аноним, 07:36, 26/09/2012 [^] [ответить] [смотреть все]	+2 +/–
ну есть же md5_file()

5.61, анон, 17:43, 26/09/2012 [^] [ответить] [смотреть все]	–1 +/–
вы недостаточно прониклись духом PHP

3.28, Аноним, 09:23, 26/09/2012 [^] [ответить] [смотреть все]	+/–
http://unxutils.sourceforge.net/

4.42, Имя, 11:53, 26/09/2012 [^] [ответить] [смотреть все]	+/–
А архивы на зеркалах с этим чудом тоже уже подменили? ;)

3.45, Клыкастый, 11:56, 26/09/2012 [^] [ответить] [смотреть все]	+2 +/–
даже не знаю как сформулировать совет, не употребляя снестинах а как же любим... весь текст скрыт [показать]

4.51, mihalych, 14:09, 26/09/2012 [^] [ответить] [смотреть все]	+/–
Да, настощие вендовсятнеги настолько суровы, что проверяют контрольные суммы tat... весь текст скрыт [показать]

5.73, Pilat, 23:11, 26/09/2012 [^] [ответить] [смотреть все]	+/–
и настолько малообразованы, что найти утилиту, проверяющую под windows контрольн... весь текст скрыт [показать]

6.77, mavriq, 02:06, 27/09/2012 [^] [ответить] [смотреть все]	+/–
ручками я USE-ы выставляю, предварительно грамотно вникнув в имеющиеся Ручками ... весь текст скрыт [показать]

7.80, Pilat, 02:37, 27/09/2012 [^] [ответить] [смотреть все]	–2 +/–
Типичный подход недоучки, привыкшего что за него всё делает пакетный менеджер ... весь текст скрыт [показать]

8.81, Michael Shigorin, 02:49, 27/09/2012 [^] [ответить] [смотреть все]	+1 +/–
Что, прям в windows - Вообще-то чтоб выбрать систему, в которой действительно... весь текст скрыт [показать]

8.83, mavriq, 04:14, 27/09/2012 [^] [ответить] [смотреть все]	–1 +/–
Естественно, в cygwin умные дяди добавили в системы наших крутых специалист... весь текст скрыт [показать]

9.87, Pilat, 11:20, 27/09/2012 [^] [ответить] [смотреть все]	–1 +/–
Единственно возможном Кто бы знал ту же утилиту для проверки md5 желающие мо... весь текст скрыт [показать]

10.90, arisu, 21:12, 27/09/2012 [^] [ответить] [смотреть все]	+/–
ужасно некошерно почему в системе, установщик которой занимает целый DVD, нет д... весь текст скрыт [показать]

8.92, Аноним, 05:13, 29/09/2012 [^] [ответить] [смотреть все]	+/–
Извините, стесняюсь спросить, а контрольную сумму cygwin-а, при скачивании, вы к... весь текст скрыт [показать]

9.94, Клыкастый, 16:17, 02/10/2012 [^] [ответить] [смотреть все]	+/–
просто творится молитва Балмеру и рука на голографическую наклейку ... весь текст скрыт [показать]

6.93, Клыкастый, 09:39, 02/10/2012 [^] [ответить] [смотреть все]	+/–
если человек не хочет искать в мусорных баках что-то чем можно побриться, это не... весь текст скрыт [показать]

2.30, тигар, 09:42, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
а где все еще используется проверка md5 ... весь текст скрыт [показать] [показать ветку]

3.34, grayich, 10:00, 26/09/2012 [^] [ответить] [смотреть все]	+1 +/–
почти везде не отрываясь от сабжа - http www phpmyadmin net home_page download... весь текст скрыт [показать]

2.56, Аноним, 15:49, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
Капитан намекает что хакер может его и пересчитать как бы Вот цифровые подписи ... весь текст скрыт [показать] [показать ветку]

3.86, saNdro, 09:46, 27/09/2012 [^] [ответить] [смотреть все]	+/–
Ломанув ВСЕ зеркала на которых лежит архив, или от чего ещё там контрольная сумм... весь текст скрыт [показать]

1.10, JL2001, 01:23, 26/09/2012 [ответить] [смотреть все]	–5 +/–
к вопросу о взломе репозиториев ещё остались убеждённые в том что репы панацея и... весь текст скрыт [показать]

2.12, an, 01:33, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+5 +/–
sourceforge is not repositary

3.13, JL2001, 01:39, 26/09/2012 [^] [ответить] [смотреть все]	–11 +/–
ага, конешно, принципиально и диаметрально противоположная вещь... весь текст скрыт [показать]

4.23, Конь, 08:19, 26/09/2012 [^] [ответить] [смотреть все]	+2 +/–
В репозиториях автоматом проверяется подпись пакета Внедрить код можно только е... весь текст скрыт [показать]

4.63, Michael Shigorin, 18:37, 26/09/2012 [^] [ответить] [смотреть все]	+1 +/–
sf -- это средство публикации в данном случае на системе зеркал Репозиторий ... весь текст скрыт [показать]

2.25, Аноним, 08:33, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Репозиторий зеркало С подписанными пакетами ты вообще ничего не сделаешь По... весь текст скрыт [показать] [показать ветку]

3.52, JL2001, 14:53, 26/09/2012 [^] [ответить] [смотреть все]	+/–
нет, я считаю что репы хорошее решение и лучше них ничего не могу предложить но ... весь текст скрыт [показать]

4.64, Michael Shigorin, 18:38, 26/09/2012 [^] [ответить] [смотреть все]	+/–
> но надёжность репов не 101% А это уже к вопросу доверия.

5.65, JL2001, 20:34, 26/09/2012 [^] [ответить] [смотреть все]	+/–
доверия много не бывает в плане что всему надо недоверять даже в моей собственно... весь текст скрыт [показать]

6.69, анон, 21:54, 26/09/2012 [^] [ответить] [смотреть все]	+1 +/–
rm -rf /usr /lib/nvidia-current/xorg/xorg сори за боян

1.14, Жорж, 01:40, 26/09/2012 [ответить] [смотреть все]	+/–
А разве не проверяются контрольные суммы при установке из репозиториев? В новости написано "примерно 400 скачавших", что вовсе не значит "установивших". Ну скачали, чексуммы не совпали, ну и ладно.

2.15, Crazy Alex, 03:11, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Собственно как раз обычно phpMyAdmin качают чтобы руками куда-то запихнуть - а е... весь текст скрыт [показать] [показать ветку]

3.31, тигар, 09:45, 26/09/2012 [^] [ответить] [смотреть все]	+/–
у тех, кто так делает, и без phpmyadmin ос дырявая остальные ставят из репо, ес... весь текст скрыт [показать]

2.49, terr0rist, 13:06, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
Как правильно заметил выше Клыкастый, архивы zip качают в основном юзеры окон, ... весь текст скрыт [показать] [показать ветку]

1.35, Аноним, 10:02, 26/09/2012 [ответить] [смотреть все]	+/–
Коллизии подписей никто не отменял А зеркала иногда могут быть злом, для адми... весь текст скрыт [показать]

2.38, Нанобот, 10:19, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
>или с проверенной CDN. и сколько CDN ты Лично проверил?

3.58, Аноним, 15:51, 26/09/2012 [^] [ответить] [смотреть все]	+/–
и как проверить что это именно тот сайт, а не какой-то му на проводе ... весь текст скрыт [показать]

4.59, Аноним, 16:31, 26/09/2012 [^] [ответить] [смотреть все]	+/–
побасенка о том, что не проверенно не довереный не отменяет данный на откуп ... весь текст скрыт [показать]

1.60, Аноним, 17:14, 26/09/2012 [ответить] [смотреть все]	+/–
Ох уж это ё корейское зеркало Им и так интернет на черепахах завозят, не и... весь текст скрыт [показать]

1.66, Аноним, 20:36, 26/09/2012 [ответить] [смотреть все]	+/–
Забабахали какой нить демон Висит в памяти тихонечко обращается к базе контроль... весь текст скрыт [показать]

2.74, Pilat, 23:15, 26/09/2012 [^] [ответить] [смотреть все] [показать ветку]	+/–
tripwire он называется Только неспешной проверки больших файловых архивов не бы... весь текст скрыт [показать] [показать ветку]

1.71, ILYA INDIGO, 22:45, 26/09/2012 [ответить] [смотреть все]	+/–
>был подменён только файл phpMyAdmin-3.5.2.2-all-languages.zip Прекрасно, что я качаю всегда только *.7z :)

Добавить комментарий