Backdoor-t találtak a vsftpd 2.3.4 letölthető forrásában

 ( trey | 2011. július 4., hétfő - 18:37 )

Chris Evans - a vsftpd fejlesztője - megerősítette, hogy a vsftpd master oldaláról korábban letölthető vsftpd-2.3.4.tar.gz csomagban található forráskódba valaki backdoor-t csempészett. A backdoor kód a ":)" felhasználónévvel bejelentkező támadónak a 6200-as porton nyit shell-t kapcsolódás esetén. További részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Érdekes, hogy megint egy ftp daemon, a proftpd-ben is volt már backdoor. :)

--
Don't be an Ubuntard!

volt? :)

Most mar elore tettek a bejarast, mert hatul mar kezdett elhasznalodni, es ugyis mindenki megfordult mar arrafele.

--
|8]

Ez jó... :D

Tényleg?

hát ez ciki... én természetesen alaposan átolvastam a kódot, mielőtt ész nélkül telepítettem volna, így mákom voltengem nem érint. :)

Dicséretes, hogy átolvastad (értem én), de csont felesleges volt, mert ahogy a mellékelt ábra mutatja, a hozzád hasonló biztonságra adó embereknek már a GPG signature-ön elbukott a mutatvány. Így derült ki és miután kiderült, értesítették Evans-t. ;)

--
trey @ gépház

hint: nekem még a clean tarball lett letöltve

hint: akkor sem kell legközelebb átolvasnod a kódot, mert más (gyorsabb) módszerek is vannak az integritás ellenőrzésére

--
trey @ gépház

jaaa, az persze igaz. én máshogy értelmeztem amit írtál. :) (majd máskor átolvasom kétszer is :D)

Kész szerencse, hogy zárt forrású programokban nem lehet backdoor. Szerencsére te nem ilyeneket használsz...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Ott a bináris kódot olvassa végig előtte kétszer. :-)

A felfedezés előtt letöltött forráskódot a javítás utánival korrelálva, saját backdoor generálására van lehetőség, különösebb görcsölés nélkül.

Mit csinálsz?

--
trey @ gépház

megnézte, hogy kell backdoort csinálni.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Valami hasonló ilyesmi jutott a eszembe:
Még az "Impossible Machine" idejében (azon a floppy-n amin kaptam) egyszercsak feltűnt, hogy a command.com mintha hosszabb lenne - hát az is volt.
Gyártottam egy négy byte-os .com és egy 268 byte-os .exe programot amik arról szóltak, hogy program befejezve kilépés. Aztán felmásoltam a floppy-ra, vinyó kihúz, A:-ról boot.
.com .exe megfertőz.
Tisztán disassemble a kód.
Ennek folyománya, hogy az én gépemen akkor sem tudott senki pasziánszot elindítani, ha frissen telepítette ellenőrzött exe-ből :D

C64-es kazettás egységre is írtam olyan fejlécet, hogy "verify"-ra sem állt meg, hanem behúzta utána a programot, elíndította onnan ahonnan én akartam (nem csak basic-ről van szó)
16 byte a névnek, 0310-03C6 (??) között volt 182 byte üres hely, utána 6 pointer - az első mindjárt az, hova ugorjon magnózás után: niná, hogy 0310-re miután túlcsordulással behúzattam a 201 byte-os file-nevet.

Harmadik lehetőséget nem használtam még ki :D

Az nem Impossible Mission volt vagy esetleg The Incredible Machine? BTW. jó mókának tűnnek amiket csináltál :)

yes sir, " Incredible Machine"

C64-en C400 előtt a basic-rom alatti ram-ban volt hely ahova akár 40%-os valószínűséggel kikapcsolásig megmaradó reprodukáló kódot is írhattam volna új mentésekhez (a 182 byte - normálisan nem felülíródó, ezért megmaradó kód segítségével)
:D

Nem véletlenül bitvadász a nickneve :))))

:D

Nem eroltettek meg magukat kulonosebben az elrejtessel.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Jah, ezek vagy kiddiek voltak, akiktől ennyire tellett, vagy igaza van Chrisnek és csak a "lulz" miatt csinálták...

És ilyenkor nem lehet visszanézni, hogy ki commitolta az adott kódrészletet?

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

mégsem

Szerintem olvasd el a cikket megegyszer.

--
|8]

a shadowrun tipusu nethez mar csak a HCI hianyzik

--
Live free, or I f'ing kill you.

Az csak engem zavar, hogy egy projekt master FTP-jere csak ugy "akarki" feltolthet akarmit? Eleve, FTP-n feltolthet akarmit?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Úgy tűnik, hogy Evans arra gyanakodott, hogy a hosting cég, ahol eddig szolgáltattak neki nem megbízható:

"I also took the liberty of moving most of the vsftpd site and latest download to a hosting provider I have more faith in"

--
trey @ gépház

"A(z) ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.3.4.tar.gz.asc weboldal lehet, hogy ideiglenesen nem érhető el, vagy véglegesen új címre költözött."

Ezt a vicces képet hasonló témában például pár hete lőttem :-)
http://href.hu/x/fm5c

és nem, nem én töltöttem fel :D
__
http://fodi.be

Feltölteni fel tudsz az incomingba, de már ugyanazt a fájlt se tudod letölteni vissza magadhoz :D

Ezek szerint neked nincs support előfizetésed. Másképp nem lenne újdonság számodra.

-
Debian Squeeze

subscribe
------------------------------------
Az 1337-es számú linuxfanboy

Akkor indítsunk újabb szálat:D

Milyen FTP-t használjunk? :)

vsftpd.

--
|8]

Miért pont ez? Miért nem ProFTPD pl?

Nezd meg hany exploit volt proftpdhez, es mennyi vsftpdhez. Aztan tedd fel ujra ezt a kerdest.

Valamint nezd meg ki irta a vsftpd-t.

--
|8]

Nemenvoltam :-)

Egyebkent a proftpd talan annyibol jobb, hogy Apache-szeru konfigja van, nem log ki egy LAMP szerveren annyira.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ez minden, csak nem szempont.

---
pontscho / fresh!mindworkz

Hat, kinek a pap, kinek a paplan. Amikor eloszor kellett FTP szervert valasztanom, en tobbek kozt ezt is figyelembe vettem, mert nekem egyszerubb volt az ilyen stilusu konfigok kezelese.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ez nem paplan hanem "kornyezettudatossag" kerdese. Elso korben az szamit egy publikus szolgaltatasnal, h mennyire biztonsagos, illetve stabil. Es csak ezek utan, a sor legvegen szamit az, h a heten a konfiguracios allomanyban hogyan hivjak a Listen valtozot.

---
pontscho / fresh!mindworkz

Nalam ez igen eros negativum. ;)

(Es eleve a config filet kb akkor veszi figyelembe az ember, ha minden mas szempont alapjan egyenlonek talaltatott ket adott termek. proftpd idaig sehogy sem juthat el :P)

--
|8]

Otthoni gepre biztonsagi szempontbol nagyjabol mindegy milyen FTP szervert rakok, ha nem akarom kirakni az internetre. Nalam tehat mindegyik egyenlo eselyekkel indult - akkor.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

FTP az csak egy van, FTP szerver ellenben...

Amugy pure-ftpd. Egyszeru, amire kell arra általában elég.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal