Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Интегрированный в код сервера бэкдор позволял получить shell-доступ к системе с правами суперпользователя, после ввода FTP-команды "HELP ACIDBITCHEZ". При запуске, модифицированный сервер отправлял уведомление на определенный IP в Саудовской Аравии, давая знать о готовности принять команды злоумышленников.

Взлом сервера проекта был осуществлен в результате несвоевременного обновления ProFTPD, обслуживающего FTP-сервер проекта - в версии 1.3.3c была исправлена опасная уязвимость, важность которой была недооценена разработчиками. Бэкдор был внедрен 28 ноября в 20:00 (UTC), а обнаружен только вечером первого декабря.

Проверить уязвимость своего сервера, можно при помощи следующей последовательности команд:


$ telnet 1.2.3.4 21
Trying 1.2.3.4...
Connected to 1.2.3.4
Escape character is '^">'.
220 ProFTPD 1.3.3c Server (ProFTPD Default Installation) [1.2.3.4">

HELP ACIDBITCHEZ

id ;

uid=0(root) gid=0(root) groups=0(root),65534(nogroup)


Дополнение: появилась информация, что взлом мог быть совершен через новую (zero-day) уязвимость в модуле ProFTPD, используемом для аутентификации на SQL-сервере. Исправление для данной уязвимости пока не выпущено.