ProFTPD 1.3.3c - кто кто в теремке живет ?..

В воскресенье 28 ноября неизвестными хакерами был взломан ftp.proftpd.org
Все кто качал последнюю стабильную версию популярного сервера (ProFTPD 1.3.3c) в промежутке с 28 ноября по 2 декабря — качали бэкдор



Оригинал оповещения.
ProFTPD Compromise Report

On Sunday, the 28th of November 2010 around 20:00 UTC the main
distribution server of the ProFTPD project was compromised.  The
attackers most likely used an unpatched security issue in the FTP daemon
to gain access to the server and used their privileges to replace the
source files for ProFTPD 1.3.3c with a version which contained a backdoor.
The unauthorized modification of the source code was noticed by
Daniel Austin and relayed to the ProFTPD project by Jeroen Geilman on
Wednesday, December 1 and fixed shortly afterwards.

The fact that the server acted as the main FTP site for the ProFTPD
project (ftp.proftpd.org) as well as the rsync distribution server
(rsync.proftpd.org) for all ProFTPD mirror servers means that anyone who
downloaded ProFTPD 1.3.3c from one of the official mirrors from 2010-11-28
to 2010-12-02 will most likely be affected by the problem.

The backdoor introduced by the attackers allows unauthenticated users
remote root access to systems which run the maliciously modified version
of the ProFTPD daemon.

Users are strongly advised to check systems running the affected code for
security compromises and compile/run a known good version of the code.
To verify the integrity of the source files, use the GPG signatures
available on the FTP servers as well on the ProFTPD homepage at:

  http://www.proftpd.org/md5_pgp.html.

The MD5 sums for the source tarballs are:

 8571bd78874b557e98480ed48e2df1d2  proftpd-1.3.3c.tar.bz2
 4f2c554d6273b8145095837913ba9e5d  proftpd-1.3.3c.tar.gz

Проверить пробэкдорен ли исходный код просто: НЕинфицированные тарболы имеют следующие хеш суммы:

8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

Синтаксис проверки: 
#Linux
> md5sum filename
#FreeBSD
> md5 filename

Реакция руководителей проекта ProFTP:

To clarify: any suggestion that a new or "zero day" vulnerability was used to compromise ftp.proftpd.org is currently speculation.
We currently believe the vulnerability used to gain access to
ftp.proftpd.org was previously announced and fixed in ProFTPD, but was
unpatched on the system in question.


или говоря простым языков:

«Все разговоры о том, что обнаруженная уязвимость является уязвимостью нулевого дня (zero day) — жалкие спекуляции»
Уязвимость через которую был осуществлен взлом — давно известна, мы просто не обновили вовремя сервер"

ИМХО — клоуны.
  • +2
  • 03 декабря 2010, 12:52
  • Exorcist

Комментарии (4)

RSS свернуть / развернуть
+
0
Ого во дают=\
avatar

FRAGcollection

  • 06 декабря 2010, 18:58
+
+1
Проверить пробэкдорен ли исходный код просто: инфицированные тарболы имеют следующие хеш суммы
на самом деле НЕинфицированные тарболы имеют такую сумму. перевод некорректен.
avatar

fergus

  • 19 января 2011, 16:39
+
0
Да. все верно. Спасибо за поправку. Очень существенно.

[root@Exorcist ~/tmp]# wget ftp://ftp.servus.at/ProFTPD/distrib/source/proftpd-1 .3.3c.tar.bz2
--2011-01-19 16:54:57-- ftp://ftp.servus.at/ProFTPD/distrib/source/proftpd-1.3. 3c.tar.bz2
=> `proftpd-1.3.3c.tar.bz2'
Resolving ftp.servus.at… 193.170.194.26
Connecting to ftp.servus.at|193.170.194.26|:21… connected.
Logging in as anonymous… Logged in!
==> SYST… done. ==> PWD… done.
==> TYPE I… done. ==> CWD /ProFTPD/distrib/source… done.
==> SIZE proftpd-1.3.3c.tar.bz2… 4166609
==> PASV… done. ==> RETR proftpd-1.3.3c.tar.bz2… done.
Length: 4166609 (4.0M)

100%[=================================================>] 4,166,609 86.0K/s in 39s

2011-01-19 16:55:32 (104 KB/s) — `proftpd-1.3.3c.tar.bz2' saved [4166609]

[root@Exorcist ~/tmp]# ls
proftpd-1.3.3c.tar.bz2
[root@Exorcist ~/tmp]# md5 proftpd-1.3.3c.tar.bz2
MD5 (proftpd-1.3.3c.tar.bz2) = 8571bd78874b557e98480ed48e2df1d2
[root@Exorcist ~/tmp]# wget ftp://ftp.servus.at/ProFTPD/distrib/source/proftpd-1..3.3c.tar.gz
--2011-01-19 16:56:28-- ftp://ftp.servus.at/ProFTPD/distrib/source/proftpd-1.3.3c.tar.gz
=> `proftpd-1.3.3c.tar.gz'
Resolving ftp.servus.at… 193.170.194.26
Connecting to ftp.servus.at|193.170.194.26|:21… connected.
Logging in as anonymous… Logged in!
==> SYST… done. ==> PWD… done.
==> TYPE I… done. ==> CWD /ProFTPD/distrib/source… done.
==> SIZE proftpd-1.3.3c.tar.gz… 4885847
==> PASV… done. ==> RETR proftpd-1.3.3c.tar.gz… done.
Length: 4885847 (4.7M)

100%[=================================================>] 4,885,847 74.3K/s in 49s

2011-01-19 16:57:09 (98.1 KB/s) — `proftpd-1.3.3c.tar.gz' saved [4885847]

[root@Exorcist ~/tmp]# ls
proftpd-1.3.3c.tar.bz2 proftpd-1.3.3c.tar.gz
[root@Exorcist ~/tmp]# md5 proftpd-1.3.3c.tar.gz
MD5 (proftpd-1.3.3c.tar.gz) = 4f2c554d6273b8145095837913ba9e5d
avatar

Exorcist

  • 19 января 2011, 17:01
+
0
jfyi:
если я не ошибаюсь, бэкдор заключался в рут привелегиях после фразы `ACIDBITCHEZ`.
так что, если у вас 1.3.3с и тарбол у вас где-то затёрся, то можете проверить.
avatar

fergus

  • 31 января 2011, 16:52

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.