Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3200

В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор


Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор сверхзащищенного FTP-сервера vsftpd, опубликовал уведомление об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine (Крис является сотрудником Google).

Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет собой классический бэкдор, запускающий shell на TCP-порту 6200 при указании в имени пользователя смайлика ":)". Код бэкдора не был запутан и легко поддается анализу (изменения составляют около десятка строк). Удивление вызывают непродуманные действия совершивших атаку, которые не предусмотрели в бэкдоре механизма для отправки уведомления о возможности проникновения. Непонятно, как злоумышленники пытались выявить пораженные бэкдором хосты. Средства оповещения и запутывание кода являются непременными атрибутами современных бэкдоров. Все это позволяет сделать вывод, что поражение vsftpd скорее хулиганская выходка, чем целенаправленная атака.

Автор vsftpd настоятельно рекомендует проверять цифровую подпись для всех распространяемых архивов с кодом. В частности, при выполнении "gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается явное предупреждение о нарушении цифровой подписи ("gpg: BAD signature..." вместо "gpg: Good signature..."). Пока не ясно каким образом злоумышленникам удалось взломать аккаунт на хостинге проекта (судя по всему vsftpd размещался на shared-хостинге, поддержка которого осуществлялась сторонней компанией).

Дополнение: Согласно анализу содержимого архива, работа над бэкдором была закончена около 2011-06-30 14:15 UTC, т.е. распространяться с официального сайта проекта он мог около 3-4 дней.


Источник: opennet.ru

  5 июля 2011 600
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 8 и 11*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 37 и 3*:


Яндекс цитирования
сообщить о неточности